一种基于深度学习的自适应网络入侵检测与响应系统的制作方法

本发明属于网络入侵检测，具体涉及一种基于深度学习的自适应网络入侵检测与响应系统。

背景技术：

1、工业物联网的出现为全球发展带来了新机遇，与此同时，信息安全问题也愈发凸显。入侵检测技术作为一种有效的网络安全保护措施已经成为工业物联网安全领域得研究热点。在日益复杂的工业物联网环境下，传统的网络入侵检测模型面临庞大复杂的网络流量数据存在检测性能不佳、流量数据泄露以及难以应对复杂网络环境的问题。因此，高效且可靠的网络入侵检测系统在确保网络安全方面发挥着至关重要的作用。

2、随着大数据和人工智能技术的发展，机器学习技术已被用于构建有效的网络入侵检测系统。传统的机器学习方法通常需要根据专家经验去手动提取流量特征，并伴随繁琐的特征选择过程，导致特征提取质量不稳定，影响检测系统的性能。基于深度学习技术的网络入侵检测系统，包括卷积神经网络、循环神经网络、强化学习及其众多变体，但其主要关注网络流量的统计特征，未能充分建模复杂网络拓扑结构及随时间演变的ip间通信交互，未能充分捕捉网络流量的时空特征，导致检测精度下降。因此，如何充分考虑网络流量的时空特征，以及复杂的网络环境，来提高网络入侵检测与响应的精确度是当前需要解决的问题。

技术实现思路

1、为解决现有技术中存在的上述问题，本发明提供了一种基于深度学习的自适应网络入侵检测与响应系统，

2、本发明的目的可以通过以下技术方案实现：

3、一种基于深度学习的自适应网络入侵检测与响应系统，包括数据采集模块、数据预处理模块、特征提取模块、入侵检测模块、入侵响应模块；

4、所述数据采集模块用于通过libpcap嗅探网络流量并对所述网络流量进行存储得到存储临时文件，通过libcurl将所述存储临时文件中的网络流量数据上传至所述数据预处理模块；

5、所述数据预处理模块用于根据所述网络流量数据通过数据预处理模型得到网络流量预处理数据；

6、所述特征提取模块用于根据所述网络流量预处理数据通过边残差注意力动态图神经网络模型进行特征提取得到网络流量时空特征；

7、所述入侵检测模块用于根据所述网络流量时空特征通过感知机模型得到入侵检测结果；

8、所述入侵响应模块用于根据所述入侵检测结果通过响应模型进行入侵响应。

9、优选的，所述根据所述网络流量数据通过数据预处理模型得到网络流量预处理数据包括：

10、通过pandas包获取数据详细信息，根据所述数据详细信息对所述网络流量数据进行空值和重复值清除得到网络流量清洗数据；

11、根据所述网络流量清洗数据通过归一化处理得到所述网络流量预处理数据。

12、优选的，所述根据所述网络流量预处理数据通过边残差注意力动态图神经网络模型进行特征提取得到网络流量时空特征包括：

13、根据所述网络流量预处理数据通过离散时间动态图方法进行构建得到网络流量动态时空图；

14、根据所述网络流量动态时空图通过边残差注意力机制图神经网络得到网络流量空间特征；

15、根据所述网络流量动态时空图和所述网络流量空间特征通过双向门控循环单元得到所述网络流量时空特征。

16、优选的，所述网络流量预处理数据包括通信时间、输出ip地址、输出端口、网络流统计信。

17、优选的，所述根据所述网络流量预处理数据通过离散时间动态图方法进行构建得到网络流量动态时空图包括：

18、将所述输出ip地址和所述输出端口作为动态图节点，将所述网络流统计信息作为动态图边；

19、通过所述动态图边和所述动态图节点构建得到动态图；

20、根据所述通信时间通过对所述动态图进行切片得到动态图快照；

21、根据所述动态图快照通过占位符插入方法得到所述网络流量动态时空图。

22、优选的，所述占位符插入方法包括获取动态图快照空边，预设占位符标签，通过对所述动态图快照空边插入占位符边得到所述动态时空图，通过所述占位符标签标记所述动态时空图得到所述网络流量动态时空图。

23、优选的，所述根据所述网络流量动态时空图通过边残差注意力机制图神经网络得到网络流量空间特征包括：

24、获取网络流量动态时空图节点特征、网络流量动态时空图边特征、权重矩阵，根据所述网络流量动态时空图节点特征和所述网络流量动态时空图边特征通过串联操作得到串联序列；

25、根据所述串联序列通过注意力机制计算得到注意力权重；

26、根据所述注意力权重通过softmax函数计算得到归一化注意力系数；

27、根据所述归一化注意力系数和所述权重矩阵通过激活函数计算得到聚合信息；

28、根据所述聚合信息和所述网络流量动态时空图边特征通过特征更新计算得到所述网络流量空间特征。

29、优选的，所述根据所述网络流量动态时空图和所述网络流量空间特征通过双向门控循环单元得到所述网络流量时空特征包括：

30、根据所述网络流量空间特征通过正向门控循环单元计算得到正向隐藏特征；

31、根据所述网络流量空间特征通过逆向门控循环单元计算得到逆向隐藏特征；

32、根据所述正向隐藏特征和所述逆向隐藏特征通过拼接得到所述网络流量时空特征。

33、优选的，所述根据所述入侵检测结果通过响应模型进行入侵响应包括：

34、获取snort响应方式作为规则树，预设增加规则动作，通过添加listhead节点将所述增加规则动作添加到所述规则树得到完成规则树；

35、根据所述入侵检测结果通过所述完成规则树进行入侵响应。

36、优选的，所述增加规则动作包括增加drop动作和增加reject动作；所述增加drop动作包括丢弃入侵数据包，并给出一个报警信息；所述增加reject动作包括丢弃数据包，并向源地址发送数据包中止当前会话。

37、本发明的有益效果为：

38、（1）通过pandas对网络流量数据进行清洗，清除空值和重复值，同时通过归一化处理增强数据一致性，能够提高后续特征提取和入侵检测的准确性和稳定性。

39、（2）通过边残差注意力动态图神经网络模型提取网络流量的时空特征，能够捕捉流量中的动态关系和复杂的依赖关系，增强入侵检测模型对于异常行为的辨识能力；同时结合感知机模型对时空特征进行检测，能够快速定位入侵行为，提高入侵检测的准确率和响应速度。

40、（3）通过将边残差注意力动态图神经网络模型中的注意力机制整合到边中，将边数据视为关键因素，将节点视为相邻边数据的传输接口，从而避免了通过聚合节点特征而增加计算成本；同时在边更新计算中加入残差连接，能够更好地适应网络入侵检测中的复杂网络结构。

技术特征：

1.一种基于深度学习的自适应网络入侵检测与响应系统，其特征在于，包括数据采集模块、数据预处理模块、特征提取模块、入侵检测模块、入侵响应模块；

2.根据权利要求1所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述根据所述网络流量数据通过数据预处理模型得到网络流量预处理数据包括：

3.根据权利要求1所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述根据所述网络流量预处理数据通过边残差注意力动态图神经网络模型进行特征提取得到网络流量时空特征包括：

4.根据权利要求3所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述网络流量预处理数据包括通信时间、输出ip地址、输出端口、网络流统计信。

5.根据权利要求4所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述根据所述网络流量预处理数据通过离散时间动态图方法进行构建得到网络流量动态时空图包括：

6.根据权利要求5所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述占位符插入方法包括获取动态图快照空边，预设占位符标签，通过对所述动态图快照空边插入占位符边得到所述动态时空图，通过所述占位符标签标记所述动态时空图得到所述网络流量动态时空图。

7.根据权利要求3所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述根据所述网络流量动态时空图通过边残差注意力机制图神经网络得到网络流量空间特征包括：

8.根据权利要求3所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述根据所述网络流量动态时空图和所述网络流量空间特征通过双向门控循环单元得到所述网络流量时空特征包括：

9.根据权利要求1所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述根据所述入侵检测结果通过响应模型进行入侵响应包括：

10.根据权利要求9所述的基于深度学习的自适应网络入侵检测与响应系统，其特征在于，所述增加规则动作包括增加drop动作和增加reject动作；所述增加drop动作包括丢弃入侵数据包，并给出一个报警信息；所述增加reject动作包括丢弃数据包，并向源地址发送数据包中止当前会话。

技术总结
本发明涉及一种基于深度学习的自适应网络入侵检测与响应系统，属于网络入侵检测技术领域。其中，该系统包括数据采集模块、数据预处理模块、特征提取模块、入侵检测模块、入侵响应模块；数据采集模块通过libcurl将存储临时文件中的网络流量数据上传至数据预处理模块；数据预处理模块根据网络流量数据通过数据预处理模型得到网络流量预处理数据；特征提取模块根据网络流量预处理数据通过边残差注意力动态图神经网络模型进行特征提取得到网络流量时空特征；入侵检测模块根据网络流量时空特征通过感知机模型得到入侵检测结果；入侵响应模块根据入侵检测结果通过响应模型进行入侵响应。实现了基于深度学习的自适应网络入侵检测和响应。

技术研发人员：汪晨
受保护的技术使用者：上海吨吨信息技术有限公司
技术研发日：
技术公布日：2025/1/23