基于可解释人工智能的云系统入侵检测方法

背景技术：

技术实现思路

1、本发明的目的在于提供一种新的云系统入侵检测方法，兼具高准确率和可解释性，该模型包含以下步骤：

2、步骤1：获取网络流量数据集，提取主要相关特征，由于数据中各攻击类型数量不平衡，需要对数量少的攻击类型进行过采样。使用处理好的数据集训练mlp模型。

3、步骤2：根据步骤1中得到的mlp，通过将目标网络中每个节点的激活函数拟合到一棵决策树来构建多层决策结构(mld)，然后将他们聚合在一起。

4、步骤3：根据步骤2生成的mld，使用前向决策生成算法和后向规则归纳算法，前向决策生成算法生成样本决策，而后向规则归纳算法则可以递归生成决策规则。

5、步骤4：将步骤3生成的决策结果和决策规则上传至分析节点，动态调整防御策略。

技术特征：

1.一种基于可解释人工智能的云系统入侵检测方法，其特征在于，包括步骤：

2.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法，其特征在于，在选择最优特征时把训练集拆分为新训练集和验证集，采用新训练集和所有特征变量训练模型，之后使用验证集评估模型，计算所有特征变量重要性并进行排序。重复上述过程，得到最优变量。

3.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法，其特征在于，在离散化激活函数时，可能会遇到输入向量相同但是输出向量可能不同的情况，这不符合函数映射的条件。在这种情况下，进一步将不同的输出值简化为共享相同输入的输出的模式。

4.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法，其特征在于，生成决策结果和决策规则过程中，生成决策结果时，使用前向决策生成算法，通过各个激活函数的拟合的决策树，从第一层开始传播，第一层激活函数的决策树输出作为第二层决策树的输出，以此类推，直到得到最后一层决策树的输出。生成决策规则时，根据决策树本身的可解释性，从最后得到的结果开始向前推导，可得到每层激活函数的激活程度，以此不断向前推导，最终可得各输入层的重要程度。

5.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法，其特征在于，将检测结果和决策规则上传至处理节点并分析时，处理节点设置一个阈值，当所有节点的某个特征达到这个阈值时，需要对该特征异常的流量进行限制，动态调整防御策略。

技术总结
最近，越来越多的企业以云计算的形式对外提供服务，客户可以根据需求，请求适度的资源，有效避免了资源浪费。随之而来的是一系列安全问题，如何对异常流量进行检测就是其中之一。本方法使用可解释人工智能对云系统各个节点中流量进行分析，拦截其中的异常流量，并将异常信息和可解释报告上传到处理节点。处理节点统一对异常信息和解释报告进行分析，动态调整安全策略。该方法的优点是没有把模型部署在网关处，减少了网关服务器的压力，而且充分利用了云系统的分布式架构，实现了计算资源的合理分配。

技术研发人员：刘伟豪,于晓雯,徐雷,蔡志成,宋晓勤
受保护的技术使用者：南京理工大学
技术研发日：
技术公布日：2024/1/14