背景技术:
技术实现思路
1、本发明的目的在于提供一种新的云系统入侵检测方法,兼具高准确率和可解释性,该模型包含以下步骤:
2、步骤1:获取网络流量数据集,提取主要相关特征,由于数据中各攻击类型数量不平衡,需要对数量少的攻击类型进行过采样。使用处理好的数据集训练mlp模型。
3、步骤2:根据步骤1中得到的mlp,通过将目标网络中每个节点的激活函数拟合到一棵决策树来构建多层决策结构(mld),然后将他们聚合在一起。
4、步骤3:根据步骤2生成的mld,使用前向决策生成算法和后向规则归纳算法,前向决策生成算法生成样本决策,而后向规则归纳算法则可以递归生成决策规则。
5、步骤4:将步骤3生成的决策结果和决策规则上传至分析节点,动态调整防御策略。
1.一种基于可解释人工智能的云系统入侵检测方法,其特征在于,包括步骤:
2.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法,其特征在于,在选择最优特征时把训练集拆分为新训练集和验证集,采用新训练集和所有特征变量训练模型,之后使用验证集评估模型,计算所有特征变量重要性并进行排序。重复上述过程,得到最优变量。
3.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法,其特征在于,在离散化激活函数时,可能会遇到输入向量相同但是输出向量可能不同的情况,这不符合函数映射的条件。在这种情况下,进一步将不同的输出值简化为共享相同输入的输出的模式。
4.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法,其特征在于,生成决策结果和决策规则过程中,生成决策结果时,使用前向决策生成算法,通过各个激活函数的拟合的决策树,从第一层开始传播,第一层激活函数的决策树输出作为第二层决策树的输出,以此类推,直到得到最后一层决策树的输出。生成决策规则时,根据决策树本身的可解释性,从最后得到的结果开始向前推导,可得到每层激活函数的激活程度,以此不断向前推导,最终可得各输入层的重要程度。
5.根据权利要求1所述的一种基于可解释人工智能的云系统入侵检测方法,其特征在于,将检测结果和决策规则上传至处理节点并分析时,处理节点设置一个阈值,当所有节点的某个特征达到这个阈值时,需要对该特征异常的流量进行限制,动态调整防御策略。