(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210355242.7 (22)申请日 2022.04.06 (65)同一申请的已公布的文献号 申请公布号 CN 114492768 A (43)申请公布日 2022.05.13 (73)专利权人 南京众智维信息科技有限公司 地址 211300 江苏省南京市高淳区龙井路3 号 (72)发明人 孙捷　车洵　孙翰墨　胡牧　 梁小川　 (74)专利代理 机构 南京知识律师事务所 32 207 专利代理师 张苏沛 (51)Int.Cl. G06N 3/04(2006.01) G06N 3/08(2006.01) G06V 10/762(2022.01) G06K 9/62(2022.01)H04L 9/40(2022.01) (56)对比文件 CN 112381121 A,2021.02.19 CN 114266342 A,202 2.04.01 CN 112101404 A,2020.12.18 CN 113612733 A,2021.1 1.05 CN 113886821 A,202 2.01.04 JP 20180 67304 A,2018.04.26 杨晓庆.网络安全中用户和实体行为分析技 术的研究与应用. 《中国优秀博硕士学位 论文全 文数据库(硕士)信息科技 辑》 .2020, Zhou X 等.Siamese Neural Netw ork Based Few-Shot Learn ing for An omaly Detection in Industrial Cyber-Physical Systems. 《IEEE Transacti ons on Industrial Informatics》 .2020, 审查员 武茹茹 (54)发明名称 一种基于小样本学习的孪生胶囊网络入侵 检测方法 (57)摘要 本发明公开了一种基于小样本学习的孪生 胶囊网络入侵检测方法， 包括步骤： 在训练阶段， 将充足的不同攻击类型样本和正常网络流量样 本通过K均值聚类方法进行聚类； 将聚类好的样 本， 通过无监督子类型抽样方法进行抽样； 将抽 样好的平衡数据集和从稀缺的攻击类型中收集 的数据样 本用作孪生胶囊网络的训练集， 并进行 训练； 在测试阶段， 将正 常流量样本、 已知攻击样 本和未知攻击样本用作测试集； 将训练集用作测 试阶段的支持集， 然后将已标记样 本与测试样本 作为输入进行相似性度量； 取支持集中与测试样 本相似度最高的样本类型作为测试样本的类型， 输出其标签； 本方案有效的解决了异常网络流量 训练数据的稀缺性， 并加强了对 未知攻击的检测 识别。 权利要求书3页 说明书8页 附图2页 CN 114492768 B 2022.07.15 CN 114492768 B 1.一种基于小样本学习的孪生胶囊网络入侵检测方法， 其特 征在于， 包括以下步骤： S1： 在训练 阶段， 将充足的不同攻击类型样本和正常网络流量样本通过K均值聚类方法 进行聚类； S2： 将S1中聚类好的样本， 通过 无监督子类型抽样方法进行抽样； S3： 将S2中抽样好的平衡数据集和从稀缺的攻击类型中收集的数据样本用作孪生胶囊 网络的训练集， 并对孪生胶囊网络进行训练； S4： 在测试阶段， 将正常流 量样本、 已知攻击样本和未知攻击样本用作测试集； S5： 将S3中的训练集用作测试阶段的支持集， 然后将支持集中的已标记样本与测试集 中的测试样本作为孪生胶囊网络的输入进行相似性度量； S6： 取支持集中与测试样本相似度最高的样本类型作为测试样本的类型， 输出其标签。 2.根据权利要求1所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于， 所述S1包括步骤： 在入侵检测算法的训练阶段， 将来自不同类型 的攻击和正常网络流量的 数据样本进行聚类， 并根据提出的无监 督子类型抽样方案进行抽样； 在进行无监督子类型采样时， 使用自适应K均值聚类方法将样本聚类为每个攻击类型 的子类型， 用于再采样方案， 然后对每个子类型逐一进 行随机抽样， 以获得代表该类型的子 集， 供训练使用， 表达式为： 其中 表示样本 的轮廓系数， 代表聚类中的样本 到聚类中所有其他样本的距 离的平均值， 代表聚类中的样本 到其他聚类中最接近该样本的所有样本的平均距离 的最小值， 表示选取两者中最大的值； 在设定一组候选K值并使用K均值聚类方法对各攻击类型的数据进行聚类后， 选择各类 型的最终K值， 即从前n个最大的轮廓系数中选择最小的聚类数， K值表达式为： 其中， K是根据轮廓系数 自适应确定， 用于平衡内聚和分离因素， 代表最大的 前 个轮廓系数 所对应的聚类数。 3.根据权利要求2所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于， 所述S2包括步骤： 在获得最合适的聚类数量后， 从聚类后的每个子类型中抽取一个样 本， 建 立一个足够多类别的小样本训练集； 再使用无监督聚类得到一个带有子类型标签的类型集 后， 从不同的子类型中抽取一个样本， 并生成这个 类型的子集作为训练集。 4.根据权利要求3所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于， 所述S3包括步骤： 在对原始数据集进行重新采样后， 将平衡的数据集和从稀缺的攻击类型 中收集的数据样本用于形成孪生胶囊神经网络的训练集。 5.根据权利要求4所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于，权　利　要　求　书 1/3 页 2 CN 114492768 B 2所述S5包括步骤： 在测试阶段将平衡的小样本训练集用作支持集， 用于识别异常的网络行 为； 使用支持集中最相似的样本， 在从孪生胶囊神经网络中提取特征后对被测样本进行分 类。 6.根据权利要求5所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于， 所述孪生胶 囊神经网络包括孪生神经网络和胶 囊网络， 所述孪生神经网络通过比较测试样 本和支持集中的标记样本之间的相似度来对样本进行分类。 7.根据权利要求6所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于， 所述孪生神经网络通过比较测试样本和支持集中的标记样本之间的相似度来对样本进行 分类包括 步骤： M1： 确定类型的数量C和每种类型的采样值K， 构建一个小样本学习数据集， 包括训练 集、 支持集和 测试集； M2： 选择合适的特征提取神经网络算法， 构建具有权重共享的骨干网络， 选择合适的相 似度测量方法， 构建比较网络； M3： 随机抽取相同类型和不同类型的样本对作为孪生神经网络的输入， 若输入样本对 中的两个样本类型相同， 则相似度标签为1， 若类型不同， 则相似度标签为0； M4： 将输出 标签与真实标签进行比较， 得到损失， 并一 步步迭代建立网络模型； M5： 将被测 样本和支持集中的样本组成的样本对输入到模型中， 测量相似度， 取支持集 中与被测样本相似度最高的样本类型作为被测样本类型。 8.根据权利要求7所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于， 所述S5还包括步骤： 样本通过初始卷积层运算提取出特征， 其中卷积层由一维卷积核和 ReLu激活函数组成， 再通过初始胶 囊层将特征转化为矢量， 作为胶 囊路由算法的输入， 胶 囊 路由算法在对向量进行矩阵变换、 输入加权、 求和、 非线性变换操作后， 输出一个代表图像 特征的向量V， 胶囊网络的输出作为比较网络的输入； 使用孪生胶囊神经网络进行入侵检测， 度量模型作为小样本学习方法的关键部分， 使 用度量学习方法的孪生神经网络， 通过结合小样本学习和胶囊网络构建的孪生神经网络处 理入侵检测中攻击样本稀少和样本特 征位置。 9.根据权利要求8所述的基于小样本学习的孪生胶囊 网络入侵检测方法， 其特征在于， 所述S5还包括步骤： 在共享权重的骨干网络中， 样本通过二维卷积运算获得初始特征提取 后的特征向量， 特征重塑后， 输入到胶 囊网络进 行方向性提取， 并使用扁平化层将胶 囊网络 输出的向量压缩为 一维， 将不同样本的一维向量在比较网络中进行相似性比较。 10.根据权利要求9所述的基于小样本学习的孪生胶囊网络入侵检测方法， 其特征在 于， 所述S 6包括： 在相似比较中， 将 两个一维向量相减， 再将绝对值相加， 得到两个特征向量 之差的范数， 将其输入到全连接网络层中， 其中两次全连接到这个范数， 且第二次全连接到 一个神经元， 用Sigmoid激活函数激活神经元的输出， 使其数值在[0， 1]之间， 使用二元交叉 熵来计算损失， 表达式为： 其中， , 是一次输入的两个随机样本， 表示相似度标签， 表示权　利　要　求　书 2/3 页 3 CN 114492768 B 3