1.基于门控卷积和特征金字塔的网络入侵检测方法,其特征在于:该方法应用GLU门控机制改进常规卷积,并结合特征金字塔网络融合模型深层的各个特征图,得到更全面丰富的特征信息进行分类判决,实现网络入侵检测;包括以下步骤:步骤1)将所用的数据进行预处理;
步骤2)采用门控卷积神经网络按深度提取出网络入侵数据不同程度的语义特征;
步骤3)采用特征金字塔网络将模型深层的特征图进行融合;
步骤4)对融合后的各模型深层特征图应用全连接神经网络进行分类判决;
步骤5)采用FocalLoss损失函数对整体模型进行多监督训练;
所述步骤1)具体包括以下步骤:
步骤11)将网络入侵数据的字符型特征编码成数值;
步骤12)采用Z-score标准化方法将转化成数值的数据进行归一化处理;
所述步骤2)具体包括以下步骤:
步骤21)将预处理后的数据送入门控卷积层进行特征提取;模型一共有5层门控卷积层,每一层都是在标准卷积层后接一个由Sigmoid函数激活的标准卷积输出来作为软门控,从而构造出一个GLU单元;门控卷积层一共使用了1*1、3*3和5*5三种卷积核;在网络的浅层用5*5的卷积核,在网络的中间层用3*3的卷积核,在网络的深层用1*1的卷积核;
GLU的表达式如下:
其中X是每个卷积层的输入数据,W和V是两个不同卷积核的权重参数,b和c是W和V的偏差参数,δ是Sigmoid激活函数,表达式δ(X*V+c)是(X*W+b)的“激活函数”;
所述步骤3)具体包括以下步骤:
步骤31)对于步骤2)中网络末端的三个门控卷积层的输出用特征金字塔网络进行特征融合;对末端网络输出的特征图用上采样的方式将尺寸拓展到与上一层网络输出的特征图相同大小,然后将这两份特征图合并得到包含不同程度语义信息的综合特征图,输出到模型的判决网络部分进行更准确的判决;上采样采用的是双线性插值的方式,即在特征图的两个维度方向上分别进行线性插值;
所述步骤4)具体包括以下步骤:
步骤41)对步骤3)中得到的多层综合特征图应用Flatten操作将其压缩成一维的向量,送入全连接神经网络进行降维提取,最终由Softmax层输出预测的多分类结果;
Softmax公式如下:
其中yi表示样本预测为类别i的输出值,n表示数据集总的类别数量,通过Softmax函数将多分类的输出值转换为范围在[0,1]和为1的概率分布;
所述步骤5)具体包括以下步骤:
步骤51)将步骤4)中多层综合特征图输出的多分类结果与真实的数据类别标签进行对照,应用Focal Loss损失函数将预测误差损失值实时记录并反馈给模型,通过多轮次的数据迭代训练,不断更新网络节点的权值与偏置,使最终分类结果接近真实标签,在完成上述参数训练后,对测试数据进行决策响应;
FocalLoss损失函数的表达式如下:
FL(Pt)=-at(1-pt)γlog(pt)
其中pt表示样本被分类为类别t的概率,at表示t类别的样本在计算损失函数时占的权重,γ为调变因子。