CN102075383A - 一种基于神经网络的低幅值网络流量异常检测方法 - Google Patents

一种基于神经网络的低幅值网络流量异常检测方法 Download PDF

Info

Publication number
CN102075383A
CN102075383A CN 201010611206 CN201010611206A CN102075383A CN 102075383 A CN102075383 A CN 102075383A CN 201010611206 CN201010611206 CN 201010611206 CN 201010611206 A CN201010611206 A CN 201010611206A CN 102075383 A CN102075383 A CN 102075383A
Authority
CN
China
Prior art keywords
flow
neural network
recurrent neural
link
multilayer recurrent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN 201010611206
Other languages
English (en)
Inventor
李宗林
戚建淮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHENZHEN RONGDA ELECTRONICS CO Ltd
Original Assignee
SHENZHEN RONGDA ELECTRONICS CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENZHEN RONGDA ELECTRONICS CO Ltd filed Critical SHENZHEN RONGDA ELECTRONICS CO Ltd
Priority to CN 201010611206 priority Critical patent/CN102075383A/zh
Publication of CN102075383A publication Critical patent/CN102075383A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于神经网络的低幅值网络流量异常检测方法,其中神经网络模块包括第二和第一多层递归神经网络,第二多层递归神经网络的输入为可直接测得的链路流量,输出为部分OD流估计流量;第一多层递归神经网络的输入为所述链路流量和作为补充约束输入的第二多层递归神经网络的输出部分OD流估计流量,输出为特征参数的估计值。本发明跳过链路到OD流的反演步骤,能有效避免推测过程形成的误差给检测步骤带来的影响,还可提供下一时刻OD流相关性的实时预测;应用本发明,更利于隐蔽流量异常的检测;不仅使检测过程不再完全依赖于链路到OD流的估计,解决了反演误差影响检测的问题,且该框架允许链路流量到多条OD流特征参数的估计。

Description

一种基于神经网络的低幅值网络流量异常检测方法
技术领域
本发明涉及一种网络流量异常检测方法,尤其涉及一种基于神经网络的低幅值网络流量异常检测方法。
背景技术
网络中的异常行为,如设备故障、链路或节点错误、突发访问,以及一些由恶意原因引起的诸如DDoS攻击和蠕虫传播的异常行为,都会导致网络性能下降,甚至导致网络不可用。这些异常具有分布式特征,即同时存在于多条链路中,形成分布式的流量异常;并且异常流量从单条链路上来看,可能极其隐蔽,并不表现出显著的异常特征。对于网络管理人员来说,及时有效地检测并响应处理这些低幅值的隐蔽流量异常十分困难。
现有的网络流量异常检测方法包括链路流量记录和OD流流量记录。
(1)链路流量记录是一种高聚集程度的统计,包含了经过该链路所有OD流流量的叠加,可用于网络元素错误引起的异常流量诊断,这些事件通常对链路流量具有明显影响,造成链路幅值陡然上升或下降,然而对于一些造成低幅值网络流量异常的网络级别异常事件来说,链路流量的分析是不够的。
(2)与链路流量记录相比,由于OD流呈现出端到端流量本质特征且聚集程度更低,OD流流量记录是一种低聚集程度的统计,每条OD流对应网络中的一条路径,选择性地挑选某些OD流子集进行分析,能更符合异常发生的现实情况:如设备节点发生故障时,经过该节点的多条OD流都会有所影响;DDoS攻击发生时,所有指向受害者的OD流上都具有相似特征的攻击流量,这些同时发生在多条OD流上的潜在相似异常特征,可能引起他们之间的相关性,即一种OD流级别的特征参数,较正常情况下产生改变。由此所述OD流更利于检测低幅值网络流量的异常。但是,OD流流量是无法直接测量得到的,一般由两种方式获得,一种是由netflow取得的流级别数据结合路由协议分析得到,该方式通常不能用于实时在线检测过程中;另一种是由直接测量的链路数据通过反演方式得到,然而各种反演技术存在严重的欠定性问题,所述欠定性问题虽然可以通过引入先验信息或对OD流建立模型来克服,但流量异常发生时与正常情况下的先验信息不符,或者很难找到某种确定的数学模型对OD流进行建模,使得OD流反演结果并不准确,进而直接影响基于OD反演结果的检测步骤。
发明内容
本发明目的在于提供一种可以有效避免OD流反演误差给检测步骤带来的影响且可提供下一时刻OD流相关性预测的基于神经网络的低幅值网络流量异常检测方法。
为实现上述目的,本发明中的神经网络模块包括第二和第一多层递归神经网络,所述第二多层递归神经网络的输入为可直接测量得到的链路流量,输出为部分OD流估计流量;所述第一多层递归神经网络的输入为所述链路流量和作为补充约束输入的部分OD流估计流量,输出为特征参数的估计值。
进一步的,所述基于神经网络的低幅值网络流量异常检测方法包括以下步骤:
11)准备第二多层递归神经网络的训练样本,训练第二多层递归神经网络的输入样本为链路流量样本,由所述链路流量样本得到链路节点间的OD流流量,所述第二多层递归神经网络的输出样本为从所述OD流流量中选择出的OD流子集;
12)准备第一多层递归神经网络的训练样本,训练第一多层递归神经网络的输入样本为所述链路流量样本和所述OD流子集,所述第一多层递归神经网络的输出样本为特征参数样本;
13)根据第一与第二多层递归神经网络的训练样本分别训练所述第一和第二多层递归神经网络的权值;
14)将实际网络的链路流量输入至训练完成后的所述神经网络模块内,所述神经网络模块的输出值为特征参数的估计值,根据所述特征参数的估计值判断所述实际网络的链路流量的状态。
进一步的,所述OD流子集的选择方法包括,第一种选择方法,所述第一种选择方法针对多源到单目的地的特征,所述OD流子集包括指向该节点的多条OD流;第二种选择方法,所述第二种选择方法针对单源到多目的的特征,所述OD流子集包括由同一源节点发出的多条OD流;以及,第三种选择方法,所述第三种选择方法为针对链路或节点存在错误的特征,所述OD流子集包括经过同一节点或链路的多条OD流。
进一步的,所述特征参数样本为多条OD流变化特征相关系数,所述多条OD流变化特征相关系数满足公式其中a表示当前采样时刻,coff(i,j,a)表示第i个和第j个OD流变化特征相关系数,m为OD流两两组合且i≠j时coff(i,j,a)的数目。
本发明的有益效果在于,所述基于神经网络的低幅值网络流量异常检测方法跳过链路到OD流的反演步骤,能有效避免推测过程形成的误差给检测步骤带来的影响,还可提供下一时刻OD流相关性的预测,适用于实时检测;由链路数据出发,但检测对象聚集程度更低的OD流间的相关性,从流量聚集程度的角度上讲,本发明对OD流的分析更利于隐蔽流量异常的展现;应用本发明,不仅使检测过程不再完全依赖于链路到OD流的估计,解决了反演误差影响检测的问题,并且该框架允许链路流量到多种OD流特征参数的估计。
附图说明
图1示出了本发明中神经网络组成模块示意图。
图2示出了本发明所述检测方法的流程图。
图3示出了本发明所述检测方法所采用的滑动时窗的示意图。
具体实施方式
下面结合附图对本发明做进一步说明。
图1示出了本发明中神经网络模块原理示意图。所述神经网络模块包括第一和第二多层递归神经网络2;所述第二多层递归神经网络2的输入为可直接测量得到的链路流量L(m)={l1(m),l2(m),…,ln(m)},其中n为链路流量数,m为当前采样时刻,ln(m)为第n路链路流量;所述第二多层递归神经网络2的输出为部分OD流估计流量,所述部分OD流估计流量表示为所述第一多层递归神经网络1的输入为所述链路流量L(m)和作为补充约束输入的部分OD流估计流量,由于所述部分OD流估计流量为第二多层递归神经网络2的输出,其与链路流量L(m)相比总是滞后的,因此所述部分OD流估计流量表示为
Figure BSA00000401950100042
所述第一多层递归神经网络1的输出为特征参数的估计值。对于第一多层递归神经网络1来说,所述部分OD流估计流量是辅助输入,作为一种后验知识,在一定程度上起到引导神经网络模块权值训练的作用。
图2示出了本发明所述检测方法的流程图。所述基于神经网络的低幅值网络流量异常检测方法包括以下步骤:
11)准备第二多层递归神经网络2的训练样本,训练第二多层递归神经网络2的输入样本为链路流量样本,由所述链路流量样本得到链路节点间的OD流流量,所述第二多层递归神经网络2的输出样本为从所述OD流流量中选择出的OD流子集;
12)准备第一多层递归神经网络1的训练样本,训练第一多层递归神经网络1的输入样本为所述链路流量样本和所述OD流子集,所述第一多层递归神经网络1的输出样本为特征参数样本;
13)根据第一与第二多层递归神经网络2的训练样本分别训练所述第一和第二多层递归神经网络2的权值;
14)将实际网络的链路流量输入至训练完成后的所述神经网络模块内,所述神经网络模块的输出值为特征参数的估计值,根据所述特征参数的估计值判断所述实际网络的链路流量的状态。
进一步的,所述OD流子集的选择方法包括第一种、第二种和第三种选择方法,可以采用所述这三种选择方法的一种或多种进行所述OD流子集的选择。所述第一种选择方法针对DDoS攻击和FC发生时多源到单目的地的特征,所述OD流子集包括指向该节点的多条OD流;所述第二种选择方法针对蠕虫扫描时单源到多目的的特征,所述OD流子集包括由同一源节点发出的多条OD流;所述第三种选择方法为针对链路或节点存在错误的特征,所述OD流子集包括经过同一节点或链路的多条OD流。
所述特征参数样本的求取方法如下:由于网络路径、时延等原因,分布式的网络异常流可能不在同一时刻产生,只考虑同样时间段内OD流变化特征的相关性可能导致结果不准确,因此引入两个滑动时窗,考虑邻近时间段内OD流变化特征的相关性。如图3所示,Oi和Oj分别为两条不同的OD流变化特征,时窗w1以时刻点a为起始点,截取时间序列Oi中长度为w1的子段,作为一个向量。Oj序列中截取的子段的起始位置点,可在(a-w2,a+w2)中滑动,同样截取的长度为w1为另一个向量;在Oj中的截取向量的起始位置点每滑动一次,可得到一个相关系数,取这2w2个相关系数中最大值作为Oi和Oj在时间点a上的相关系数:
Figure BSA00000401950100051
其中aj为在Oj中的截取向量起始位置点的滑动范围。a时刻某节点的多条OD流变化特征相关系数为多条OD流变化特征两两相关系数的均值,其满足公式
Figure BSA00000401950100052
其中m为某规则下,选择OD流子集,所述OD流子集中的元素两两组合且i≠j时coff(i,j,a)的数目。根据上述公式可以求得OD流子集中多条OD流变化特征相关系数,该相关系数属于范围(0,1),若该相关系数接近1,则表示输入的OD流子集相关程度高,具有相类似的特征,即网络出现异常;反之,若该相关系数接近0,则表示输入的OD集子集相关程度低,不具有相似特征,即网络没有出现异常。
进一步的,训练第一或第二多层递归神经网络2权值的方法,包括以下步骤:
21)网络初始化,初始化所述多层递归神经网络的前向权值wf和网络反馈权值wg为均值接近于0的正态分布或者均匀分布随机值;
22)输入训练数据,训练样本为(u(m),Z(m)),其中u(m)为输入向量,Z(m)为期望响应向量;
23)前向计算,层l的神经元j的诱导局部域vj (l)(m)为,
Figure BSA00000401950100061
其中yi (l-1)(n)为第l-1层神经元i的输出信号,wji (l)(m)为第l-1层神经元i指向第l层的神经元j的权值;
24)反向训练,定义代价函数为
Figure BSA00000401950100062
定义局部梯度为
Figure BSA00000401950100063
当阶段深度为h时,n-h<m≤n;权值更新,一旦执行反向传播的计算回到n-h+1,对神经元j的权值即按照DEKF算法的计算结果进行调整。
25)迭代,不断把阶段训练数据序列循环输入到多层递归神经网络,计算RMSE训练误差,所述训练误差RMSE表示为
Figure BSA00000401950100064
其中Z(m)为时刻m的期望输出,为估计结果,M为估计总点数。若所述RMSE训练误差小于预设的训练门限,则迭代停止,并保存结果,否则返回步骤23。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (4)

1.一种基于神经网络的低幅值网络流量异常检测方法,其特征在于:所述基于神经网络的低幅值网络流量异常检测方法中的神经网络模块包括,
第二多层递归神经网络,所述第二多层递归神经网络的输入为可直接测量得到的链路流量,输出为部分OD流估计流量;以及,
第一多层递归神经网络,所述第一多层递归神经网络的输入为所述链路流量和作为补充约束输入的部分OD流估计流量,输出为特征参数的估计值。
2.根据权利要求1所述基于神经网络的低幅值网络流量异常检测方法,其特征在于:包括以下步骤,
11)准备第二多层递归神经网络的训练样本,训练第二多层递归神经网络的输入样本为链路流量样本,由所述链路流量样本得到链路节点间的OD流流量,所述第二多层递归神经网络的输出样本为从所述OD流流量中选择出的OD流子集;
12)准备第一多层递归神经网络的训练样本,训练第一多层递归神经网络的输入样本为所述链路流量样本和所述OD流子集,所述第一多层递归神经网络的输出样本为特征参数样本;
13)根据第一与第二多层递归神经网络的训练样本分别训练所述第一和第二多层递归神经网络的权值;
14)将实际网络的链路流量输入至训练完成后的所述神经网络模块内,所述神经网络模块的输出值为特征参数的估计值,根据所述特征参数的估计值判断所述实际网络的链路流量的状态。
3.根据权利要求2所述基于神经网络的低幅值网络流量异常检测方法,其特征在于:所述OD流子集的选择方法包括,
第一种选择方法,所述第一种选择方法针对多源到单目的地的特征,所述OD流子集包括指向该节点的多条OD流;
第二种选择方法,所述第二种选择方法针对单源到多目的的特征,所述OD流子集包括由同一源节点发出的多条OD流;以及,
第三种选择方法,所述第三种选择方法为针对链路或节点存在错误的特征,所述OD流子集包括经过同一节点或链路的多条OD流。
4.根据权利要求2所述基于神经网络的低幅值网络流量异常检测方法,其特征在于:所述特征参数样本为多条OD流变化特征相关系数,所述多条OD流变化特征相关系数满足公式
Z ( a ) = 1 m Σ i Σ j coff ( i , j , a ) ,
其中a表示当前采样时刻,coff(i,j,a)表示第i个和第j个OD流变化特征相关系数,m为OD流两两组合且i≠j时coff(i,j,a)的数目。
CN 201010611206 2010-12-29 2010-12-29 一种基于神经网络的低幅值网络流量异常检测方法 Pending CN102075383A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010611206 CN102075383A (zh) 2010-12-29 2010-12-29 一种基于神经网络的低幅值网络流量异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010611206 CN102075383A (zh) 2010-12-29 2010-12-29 一种基于神经网络的低幅值网络流量异常检测方法

Publications (1)

Publication Number Publication Date
CN102075383A true CN102075383A (zh) 2011-05-25

Family

ID=44033736

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010611206 Pending CN102075383A (zh) 2010-12-29 2010-12-29 一种基于神经网络的低幅值网络流量异常检测方法

Country Status (1)

Country Link
CN (1) CN102075383A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119734A (zh) * 2015-07-15 2015-12-02 中国人民解放军防空兵学院 基于健壮多元概率校准模型的全网络异常检测定位方法
CN107948166A (zh) * 2017-11-29 2018-04-20 广东亿迅科技有限公司 基于深度学习的流量异常检测方法及装置
CN108574668A (zh) * 2017-03-10 2018-09-25 北京大学 一种基于机器学习的DDoS攻击流量峰值预测方法
CN108900542A (zh) * 2018-08-10 2018-11-27 海南大学 基于LSTM预测模型的DDoS攻击检测方法及装置
CN109714322A (zh) * 2018-12-14 2019-05-03 中国科学院声学研究所 一种检测网络异常流量的方法及其系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1809000A (zh) * 2006-02-13 2006-07-26 成都三零盛安信息系统有限公司 一种网络入侵的检测方法
CN101051953A (zh) * 2007-05-14 2007-10-10 中山大学 基于模糊神经网络的异常检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1809000A (zh) * 2006-02-13 2006-07-26 成都三零盛安信息系统有限公司 一种网络入侵的检测方法
CN101051953A (zh) * 2007-05-14 2007-10-10 中山大学 基于模糊神经网络的异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《电信科学》 20101031 杨松等 一种基于高聚集链路测量的网络级别OD流异常检测框架 第121-126页 1-4 , 第10期 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119734A (zh) * 2015-07-15 2015-12-02 中国人民解放军防空兵学院 基于健壮多元概率校准模型的全网络异常检测定位方法
CN105119734B (zh) * 2015-07-15 2018-04-17 中国人民解放军防空兵学院 基于健壮多元概率校准模型的全网络异常检测定位方法
CN108574668A (zh) * 2017-03-10 2018-09-25 北京大学 一种基于机器学习的DDoS攻击流量峰值预测方法
CN108574668B (zh) * 2017-03-10 2020-10-20 北京大学 一种基于机器学习的DDoS攻击流量峰值预测方法
CN107948166A (zh) * 2017-11-29 2018-04-20 广东亿迅科技有限公司 基于深度学习的流量异常检测方法及装置
CN108900542A (zh) * 2018-08-10 2018-11-27 海南大学 基于LSTM预测模型的DDoS攻击检测方法及装置
CN108900542B (zh) * 2018-08-10 2021-03-19 海南大学 基于LSTM预测模型的DDoS攻击检测方法及装置
CN109714322A (zh) * 2018-12-14 2019-05-03 中国科学院声学研究所 一种检测网络异常流量的方法及其系统
CN109714322B (zh) * 2018-12-14 2020-04-24 中国科学院声学研究所 一种检测网络异常流量的方法及其系统

Similar Documents

Publication Publication Date Title
Comert Simple analytical models for estimating the queue lengths from probe vehicles at traffic signals
Shih et al. Unicast inference of network link delay distributions from edge measurements
CN110491129A (zh) 基于时空图的发散卷积循环神经网络的交通流预测方法
CN103888315B (zh) 一种自适应的突发流量检测装置及其检测方法
CN102075383A (zh) 一种基于神经网络的低幅值网络流量异常检测方法
CN104954192A (zh) 一种网络流量监测方法和设备
CN112132430B (zh) 一种配电主设备分布式状态传感器可靠性评估方法及系统
CN107945510B (zh) 一种考虑交通需求和道路网络运行效率的路段检测方法
CN103281256B (zh) 基于网络层析的端到端路径丢包率探测方法
CN110460622A (zh) 一种基于态势感知预测方法的网络异常检测方法
Grover et al. Traffic control using V-2-V based method using reinforcement learning
CN105227689A (zh) 基于局部时延分布相似性度量的目标ip定位算法
Teng et al. Detection-delay-based freeway incident detection algorithms
CN102739527B (zh) 网络丢包率探测方法
JP3430930B2 (ja) パケット交換ネットワーク網におけるトラフィック推定方法および装置
Ghods et al. Real-time estimation of turning movement counts at signalized intersections using signal phase information
Tsanakas et al. O–D matrix estimation based on data-driven network assignment
Zhang et al. Towards universal freeway incident detection algorithms
Yang et al. Networked sensor data error estimation
CN114401145A (zh) 一种网络流量检测系统及方法
Bhaskar et al. Hybrid model for motorway travel time estimation considering increased detector spacing
Horvath et al. Sensor fault diagnosis of inland navigation system using physical model and pattern recognition approach
CN109104307A (zh) 一种动态数据链网络的关键节点感知方法
Tokuyama et al. The effect of using attribute information in network traffic prediction with deep learning
Biswas et al. A model-agnostic method for PMU data recovery using optimal singular value thresholding

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20110525