CN106411597A - 一种网络流量异常检测方法及系统 - Google Patents

一种网络流量异常检测方法及系统 Download PDF

Info

Publication number
CN106411597A
CN106411597A CN201610899218.4A CN201610899218A CN106411597A CN 106411597 A CN106411597 A CN 106411597A CN 201610899218 A CN201610899218 A CN 201610899218A CN 106411597 A CN106411597 A CN 106411597A
Authority
CN
China
Prior art keywords
sample
data
subsequence
obtains
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610899218.4A
Other languages
English (en)
Inventor
刘文印
程敏
李青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong University of Technology
Original Assignee
Guangdong University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong University of Technology filed Critical Guangdong University of Technology
Priority to CN201610899218.4A priority Critical patent/CN106411597A/zh
Publication of CN106411597A publication Critical patent/CN106411597A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络流量异常检测方法及系统,方法包括:对网络流量进行采样,采样获得由流量数据样本构成的时间序列;以预设尺度的时间窗口,从时间序列中提取样本子序列;将样本子序列作为输入样本输入到分类模型中进行模型训练,以确定分类模型的参数;根据参数确定后的分类模型,测试获得网络流量正常和异常的分类结果。本发明网络流量异常检测方法及系统,将提取的以流量数据样本构成的时间序列作为样本进行模型训练及分类检测,考虑了网络流量的变化具有时间上的延续性和相关性,引入了时间信息到异常流量的检测和分类中,与现有方法相比,可提高对网络流量异常行为检测的准确度。

Description

一种网络流量异常检测方法及系统
技术领域
本发明涉及网络信息安全技术领域,特别是涉及一种网络流量异常检测方法及系统。
背景技术
随着计算机网络技术的发展以及网络设施覆盖的不断扩大,网络系统越来越复杂,网络设备也越来越多样化,使出现网络流量异常情况的机会增大。网络流量异常是指网络的流量行为偏离其正常行为的情形,网络流量异常会给网络及网络上的计算机带来极大危害,因此对网络流量行为进行监控并及时地发现异常情况,对提高网络的可靠性和可用性具有十分重要的意义。
近年来,对网络流量异常的检测方法使用较多的是使用机器学习方法来训练模型,这些研究使用K-Means聚类的方法、支持向量机(Support Vector Machine)、隐马尔科夫模型(Hidden Markov Model)、朴素贝叶斯( Bayes)等成熟的机器学习方法和特征提取方法,在检测流量异常方面取得了一定的效果。但现有方法存在以下缺点:对于采集的网络流量的数据样本,在模型训练时是以单个流量数据样本为输入样本进行模型训练,该方法中没有考虑历史信息对当前数据的影响,因此对网络流量异常检测的准确度较低。
发明内容
本发明提供一种网络流量异常检测方法及系统,以流量数据样本序列为输入进行模型训练,考虑了流量数据在时间上的相关性,可提高对流量异常行为检测的准确度。
为实现上述目的,本发明提供如下技术方案:
一种网络流量异常检测方法,包括:
对网络流量进行采样,采样获得由流量数据样本构成的时间序列;
以预设尺度的时间窗口,从所述时间序列中提取样本子序列;
将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;
根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
可选地,所述以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:
以预设尺度的时间窗口,从所述时间序列中提取子序列;
对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。
可选地,所述分类模型采用神经网络模型,所述神经网络模型包括:
由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;
用于对各所述神经元节点的输出值进行平均处理的池化操作层;
通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层。
可选地,所述神经元节点包括输入门、遗忘门和输出门,所述神经元节点对输入的流量数据样本的处理过程包括:
步骤S1:所述遗忘门丢弃冗余信息,描述为:ft=σ(Wf·[ht-1,xt]+bf);
步骤S2:保存新的有用信息,描述为:it=σ(Wi·[ht-1,xt]+bt),
步骤S3:更新神经元节点状态,描述为:
步骤S4:输入到下一组神经元节点,描述为:ot=σ(Wo·[ht-1,xt]+bo),ht=ot*tanh(Ct);
其中,xt表示在时刻t输入的流量数据样本,ht-1表示所述神经元节点在时刻t-1的输出值,ht表示所述神经元节点在时刻t的输出值,Ct表示所述神经元节点在时刻t的状态,Ct-1表示所述神经元节点在时刻t-1的状态,表示隐含层神经元节点在时刻t的值,Wi、Wf、Wc、Wo表示模型中的权重矩阵,bi、bf、bo表示模型中的偏置向量。
可选地,所述根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果包括:
将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;
通过池化操作层,对获得的各输出值进行平均处理;
将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。
可选地,所述对网络流量进行采样,采样获得由流量数据样本构成的时间序列包括:
将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得所述流量数据样本,构成所述时间序列。
一种网络流量异常检测系统,包括:
采样模块,用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列;
特征提取模块,用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列;
模型训练模块,用于将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;
测试模块,用于根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
可选地,所述特征提取模块用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:
所述特征提取模块具体用于:
以预设尺度的时间窗口,从所述时间序列中提取子序列;
对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。
可选地,所述分类模型采用神经网络模型,所述神经网络模型包括:
由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;
用于对各所述神经元节点的输出值进行平均处理的池化操作层;
通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层;
所述测试模块包括:
神经元节点层,用于将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;
池化操作层,用于对获得的各输出值进行平均处理;
逻辑回归处理层,用于将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。
可选地,所述采样模块用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列包括:
所述采样模块具体用于:将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得所述流量数据样本,构成所述时间序列。
由上述技术方案可知,本发明所提供的网络流量异常检测方法及系统,首先对网络流量进行采样,采样获得由流量数据样本构成的时间序列,通过以预设尺度的时间窗口,从时间序列中提取样本子序列,将样本子序列输入到分类模型中进行模型训练,确定所述分类模型的参数,进而根据参数确定后的分类模型,测试获得网络流量正常和异常的分类结果。
本发明网络流量异常检测方法及系统,以预设尺度的时间窗口从采样获得的时间序列中提取样本子序列,将由流量数据样本构成的样本子序列进行模型训练,基于此获得的分类模型中考虑了时间信息的影响,该检测方法中考虑了流量数据在时间上的相关性,与现有方法相比,可提高对网络流量异常行为检测的准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络流量异常检测方法的流程图;
图2为本发明实施例提供的一种网络流量异常检测系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明实施例提供一种网络流量异常检测方法,包括:
对网络流量进行采样,采样获得由流量数据样本构成的时间序列;
以预设尺度的时间窗口,从所述时间序列中提取样本子序列;
将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;
根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
可以看出,本实施例网络流量异常检测方法,首先对网络流量进行采样,采样获得由流量数据样本构成的时间序列,通过以预设尺度的时间窗口,从时间序列中提取样本子序列,将样本子序列输入到分类模型中进行模型训练,确定所述分类模型的参数,进而根据参数确定后的分类模型,测试获得网络流量正常和异常的分类结果。
本发明网络流量异常检测方法,以预设尺度的时间窗口从采样获得的时间序列中提取样本子序列,将由流量数据样本构成的样本子序列进行模型训练,基于此获得的分类模型中考虑了时间信息的影响,该检测方法中考虑了流量数据在时间上的相关性,与现有方法相比,可提高对网络流量异常行为检测的准确度。
下面对本实施例网络流量异常检测方法进行详细说明。请参考图1,本实施例网络流量异常检测方法包括步骤:
S10:对网络流量进行采样,采样获得由流量数据样本构成的时间序列。
可采用网络探针,从网络流量中采集一时间段内的网络流量信号,将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得流量数据样本,构成所述时间序列。
假设采样获得包含n个流量数据样本的时间序列,该时间序列表示为:xt1,xt2,…,xtn。其中,每一所述流量数据样本是一个多维向量。
以BGP(Border Gateway Protocol)流量为例,采样获得的流量数据样本是33维的向量。BGP流量是以MRT table形式存放,因此在采样时将其转化为ASCII文本格式。BGP(Border Gateway Protocol)是因特网中不同自治域之间交换链路可达等路由信息的默认协议,其中BGP的update信息包流量可以反映出两个自治域之间的信息交换健康程度,因此监控BGP流量对于提高因特网安全和稳定性具有重要意义。
S11:以预设尺度的时间窗口,从所述时间序列中提取样本子序列。
具体的,本步骤包括:
S110:以预设尺度的时间窗口,从所述时间序列中提取子序列。
假设时间窗口的尺度大小为e,通过滑动时间窗口,从时间序列中依次提取子序列,提取的第i个子序列描述为那么流量数据样本xti的状态与其前e个流量数据样本构成的所述子序列相关。
S111:对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。
具体的,假设对每个子序列以值为P的时间尺度进行压缩,得到压缩后的子序列Si=(d1,d2,…,de/p),该子序列中的每一个元素为原来子序列中p个流量数据样本的均值。
根据不同的时间尺度p对提取的子序列进行压缩,从而得到不同尺度压缩的新的子序列,作为输入样本进行模型训练,实现原始数据的多尺度时间序列分析。可以根据不同时间尺度的样本训练出多尺度的神经网络模型,可以提高分类的精确度,提高对网络流量分类检测的准确度。
对于包含n个流量数据样本的时间序列,可提取得到n-e+1个子序列,可以设置每个样本子序列的标记为子序列中最后一个样本的标记。
S12:将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;
本实施例中,所述分类模型采用神经网络模型,所述神经网络模型包括由神经元节点构成的神经网络层、池化操作层和逻辑回归层。
其中,所述神经网络层由神经元节点构成,所述神经元节点用于对输入的流量数据样本进行处理;
池化操作层用于对各神经元节点的输出值进行平均处理;
逻辑回归输出层通过逻辑回归函数对经平均处理后得到的数据处理。
其中,所述神经元节点包括输入门、遗忘门和输出门,所述神经元节点通过所述三个门控制信息流的传导,假设神经元节点在时刻t的输入表示为St,在时刻t的输出表示为ht。所述神经元节点对输入的流量数据样本的处理过程包括:
步骤S1:所述遗忘门丢弃冗余信息,描述为:ft=σ(Wf·[ht-1,xt]+bf);
步骤S2:保存新的有用信息,描述为:it=σ(Wi·[ht-1,xt]+bt),
步骤S3:更新神经元节点状态,描述为:
步骤S4:输入到下一组神经元节点,描述为:ot=σ(Wo·[ht-1,xt]+bo),ht=ot*tanh(Ct);
其中,xt表示在时刻t输入的流量数据样本,ht-1表示所述神经元节点在时刻t-1的输出值,ht表示所述神经元节点在时刻t的输出值,Ct表示所述神经元节点在时刻t的状态,Ct-1表示所述神经元节点在时刻t-1的状态,表示隐含层神经元节点在时刻t的值,Wi、Wf、Wc、Wo表示模型中的权重矩阵,bi、bf、bo表示模型中的偏置向量。
Ct表示所述神经元节点在时刻t的状态,具体表示记住了多少输入层的信息,以及记住了多少关于上一时刻的神经元的信息。
表示隐含层神经元节点在时刻t的值,例如隐含层的神经元节点个数为100,则表示在时刻t的一个100维的向量值,值的大小表示记忆了多少该时刻的输入信息和上一个时刻的记忆信息。
对于输入的一个样本子序列,该样本子序列包含的各流量数据样本分别输入到神经元节点中,对应各流量数据样本得到的输出值,输入到池化操作层进行平均处理,将经平均处理后得到的数据输入到逻辑回归函数处理,得到分类概率。
经过模型训练后,确定该分类模型的各项参数。
S13:根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
在分类模型的参数确定后,将从时间序列中提取的样本子序列输入到该分类模型中,测试获得网络流量异常和正常的分类概率,得到检测分类结果。
具体的,该步骤包括:将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;通过池化操作层,对获得的各输出值进行平均处理;将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。
本实施例网络流量异常检测方法,一方面,以流量数据样本构成的序列作为输入样本进行模型训练及分类,而不是将输入数据直接应用机器学习模型进行分类,因此在模型训练及分类中考虑了网络流量的变化具有时间上的延续性和相关性,每一个样本的类型不仅与自身特征有关,还与前面若干个样本序列有关,即引入了时间信息到异常流量的检测和分类中。另一方面,根据不同的时间尺度p对子序列进行压缩,从而得到不同尺度下的新的子序列,实现原始数据的多尺度时间序列分析。可以根据不同时间尺度的样本训练出多尺度的神经网络模型,考虑不同时间尺度下输入到神经网络模型的子序列呈现出不同的特征模式,并对模型的分类输出性能产生影响。提高分类的准确度。
相应的,请参考图2,本发明实施例还提供一种网络流量异常检测系统,包括:
采样模块20,用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列;
特征提取模块21,用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列;
模型训练模块22,用于将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;
测试模块23,用于根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
可以看出,本实施例网络流量异常检测系统,首先对网络流量进行采样,采样获得由流量数据样本构成的时间序列,通过以预设尺度的时间窗口,从时间序列中提取样本子序列,将样本子序列输入到分类模型中进行模型训练,确定所述分类模型的参数,进而根据参数确定后的分类模型,测试获得网络流量正常和异常的分类结果。本实施例网络流量异常检测系统,以预设尺度的时间窗口从采样获得的时间序列中提取样本子序列,将由流量数据样本构成的样本子序列进行模型训练,基于此获得的分类模型中考虑了时间信息的影响,该检测方法中考虑了流量数据在时间上的相关性,与现有方法相比,可提高对网络流量异常行为检测的准确度。
本实施例中,所述特征提取模块21用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:
所述特征提取模块21具体用于:以预设尺度的时间窗口,从所述时间序列中提取子序列;对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。
根据不同的时间尺度p对提取的子序列进行压缩,从而得到不同尺度压缩的新的子序列,作为输入样本进行模型训练,实现原始数据的多尺度时间序列分析。可以根据不同时间尺度的样本训练出多尺度的神经网络模型,可以提高分类的精确度,提高对网络流量分类检测的准确度。
本实施例中,所述分类模型采用神经网络模型,所述神经网络模型包括:
由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;
用于对各所述神经元节点的输出值进行平均处理的池化操作层;
通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层;
相应的,所述测试模块23包括:
神经元节点层,用于将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;
池化操作层,用于对获得的各输出值进行平均处理;
逻辑回归处理层,用于将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。
在模型确定后,通过测试模块23将从时间序列中提取的子序列输入到神经网络模型中,测试获得网络流量异常和正常的分类概率,以检测网络流量是否异常。
本实施例中,所述采样模块20用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列包括:
所述采样模块20具体用于:将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得所述流量数据样本,构成所述时间序列。
以上对本发明所提供的一种网络流量异常检测方法及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种网络流量异常检测方法,其特征在于,包括:
对网络流量进行采样,采样获得由流量数据样本构成的时间序列;
以预设尺度的时间窗口,从所述时间序列中提取样本子序列;
将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;
根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
2.根据权利要求1所述的网络流量异常检测方法,其特征在于,所述以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:
以预设尺度的时间窗口,从所述时间序列中提取子序列;
对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。
3.根据权利要求1所述的网络流量异常检测方法,其特征在于,所述分类模型采用神经网络模型,所述神经网络模型包括:
由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;
用于对各所述神经元节点的输出值进行平均处理的池化操作层;
通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层。
4.根据权利要求3所述的网络流量异常检测方法,其特征在于,所述神经元节点包括输入门、遗忘门和输出门,所述神经元节点对输入的流量数据样本的处理过程包括:
步骤S1:所述遗忘门丢弃冗余信息,描述为:ft=σ(Wf·[ht-1,xt]+bf);
步骤S2:保存新的有用信息,描述为:it=σ(Wi·[ht-1,xt]+bt),
步骤S3:更新神经元节点状态,描述为:
步骤S4:输入到下一组神经元节点,描述为:ot=σ(Wo·[ht-1,xt]+bo),ht=ot*tanh(Ct);
其中,xt表示在时刻t输入的流量数据样本,ht-1表示所述神经元节点在时刻t-1的输出值,ht表示所述神经元节点在时刻t的输出值,Ct表示所述神经元节点在时刻t的状态,Ct-1表示所述神经元节点在时刻t-1的状态,表示隐含层神经元节点在时刻t的值,Wi、Wf、Wc、Wo表示模型中的权重矩阵,bi、bf、bo表示模型中的偏置向量。
5.根据权利要求3所述的网络流量异常检测方法,其特征在于,所述根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果包括:
将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;
通过池化操作层,对获得的各输出值进行平均处理;
将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。
6.根据权利要求1-5任一项所述的网络流量异常检测方法,其特征在于,所述对网络流量进行采样,采样获得由流量数据样本构成的时间序列包括:
将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得所述流量数据样本,构成所述时间序列。
7.一种网络流量异常检测系统,其特征在于,包括:
采样模块,用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列;
特征提取模块,用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列;
模型训练模块,用于将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;
测试模块,用于根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
8.根据权利要求7所述的网络流量异常检测系统,其特征在于,所述特征提取模块用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:
所述特征提取模块具体用于:
以预设尺度的时间窗口,从所述时间序列中提取子序列;
对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。
9.根据权利要求7所述的网络流量异常检测系统,其特征在于,所述分类模型采用神经网络模型,所述神经网络模型包括:
由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;
用于对各所述神经元节点的输出值进行平均处理的池化操作层;
通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层;
所述测试模块包括:
神经元节点层,用于将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;
池化操作层,用于对获得的各输出值进行平均处理;
逻辑回归处理层,用于将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。
10.根据权利要求7-9任一项所述的网络流量异常检测系统,其特征在于,所述采样模块用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列包括:
所述采样模块具体用于:将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得所述流量数据样本,构成所述时间序列。
CN201610899218.4A 2016-10-14 2016-10-14 一种网络流量异常检测方法及系统 Pending CN106411597A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610899218.4A CN106411597A (zh) 2016-10-14 2016-10-14 一种网络流量异常检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610899218.4A CN106411597A (zh) 2016-10-14 2016-10-14 一种网络流量异常检测方法及系统

Publications (1)

Publication Number Publication Date
CN106411597A true CN106411597A (zh) 2017-02-15

Family

ID=58011677

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610899218.4A Pending CN106411597A (zh) 2016-10-14 2016-10-14 一种网络流量异常检测方法及系统

Country Status (1)

Country Link
CN (1) CN106411597A (zh)

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656637A (zh) * 2017-02-24 2017-05-10 国网河南省电力公司电力科学研究院 一种异常检测方法及装置
CN106921676A (zh) * 2017-04-20 2017-07-04 电子科技大学 一种基于OPCClassic的入侵检测方法
CN106951783A (zh) * 2017-03-31 2017-07-14 国家电网公司 一种基于深度神经网络的伪装入侵检测方法及装置
CN107733737A (zh) * 2017-10-10 2018-02-23 国网天津市电力公司 一种监控网络流量异常的方法
CN107846402A (zh) * 2017-10-30 2018-03-27 北京邮电大学 一种bgp稳定性异常检测方法、装置及电子设备
CN107948166A (zh) * 2017-11-29 2018-04-20 广东亿迅科技有限公司 基于深度学习的流量异常检测方法及装置
CN108564167A (zh) * 2018-04-09 2018-09-21 杭州乾圆科技有限公司 一种数据集之中异常数据的识别方法
CN108874813A (zh) * 2017-05-10 2018-11-23 腾讯科技(北京)有限公司 一种信息处理方法、装置及存储介质
CN108900432A (zh) * 2018-07-05 2018-11-27 中山大学 一种基于网络流行为的内容感知方法
CN109039797A (zh) * 2018-06-11 2018-12-18 电子科技大学 基于强化学习的大流检测方法
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法
CN109413071A (zh) * 2018-10-31 2019-03-01 新华三信息安全技术有限公司 一种异常流量检测方法及装置
CN109445417A (zh) * 2018-11-13 2019-03-08 浙江大学 一种基于归一化处理的工控系统数据异常检测方法
CN109510805A (zh) * 2017-09-15 2019-03-22 中国科学院声学研究所 一种基于安全基线模型的网络数据安全检测方法及系统
CN109739904A (zh) * 2018-12-30 2019-05-10 北京城市网邻信息技术有限公司 一种时间序列的标记方法、装置、设备和存储介质
WO2019095719A1 (zh) * 2017-11-14 2019-05-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
CN109842563A (zh) * 2017-11-24 2019-06-04 中国电信股份有限公司 内容分发网络流量调度方法、装置和计算机可读存储介质
CN110032596A (zh) * 2019-04-17 2019-07-19 中国联合网络通信集团有限公司 流量异常用户识别方法及系统
CN110062410A (zh) * 2019-03-28 2019-07-26 东南大学 一种基于自适应谐振理论的小区中断检测定位方法
CN110460458A (zh) * 2019-04-15 2019-11-15 清华大学深圳研究生院 基于多阶马尔科夫链的流量异常检测方法
CN111625516A (zh) * 2020-01-10 2020-09-04 京东数字科技控股有限公司 检测数据状态的方法、装置、计算机设备和存储介质
CN111860081A (zh) * 2019-04-30 2020-10-30 北京嘀嘀无限科技发展有限公司 一种时间序列信号的分类方法、装置以及电子设备
CN111931868A (zh) * 2020-09-24 2020-11-13 常州微亿智造科技有限公司 时间序列数据异常检测方法和装置
CN112134875A (zh) * 2020-09-18 2020-12-25 国网山东省电力公司青岛供电公司 一种IoT网络异常流量检测方法及系统
CN112131274A (zh) * 2020-09-22 2020-12-25 平安科技(深圳)有限公司 时间序列异常点的检测方法、装置、设备及可读存储介质
CN112383516A (zh) * 2020-10-29 2021-02-19 博雅正链(北京)科技有限公司 图神经网络构建方法、基于图神经网络的异常流量检测方法
CN112529678A (zh) * 2020-12-23 2021-03-19 华南理工大学 一种基于自监督判别式网络的金融指数时序异常检测方法
CN112714024A (zh) * 2020-12-31 2021-04-27 上海磐御网络科技有限公司 一种网络流量分析技术
CN112995104A (zh) * 2019-12-16 2021-06-18 海信集团有限公司 一种通信设备及网络安全预测方法
CN113364752A (zh) * 2021-05-27 2021-09-07 鹏城实验室 一种流量异常检测方法、检测设备及计算机可读存储介质
CN117041017A (zh) * 2023-10-08 2023-11-10 北京金信润天信息技术股份有限公司 数据中心的智能运维管理方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 中国移动通信集团河南有限公司信阳分公司 网络流量异常检测方法和系统
CN105469065A (zh) * 2015-12-07 2016-04-06 中国科学院自动化研究所 一种基于递归神经网络的离散情感识别方法
CN105844239A (zh) * 2016-03-23 2016-08-10 北京邮电大学 一种基于cnn和lstm的暴恐视频检测方法
CN105975504A (zh) * 2016-04-28 2016-09-28 中国科学院计算技术研究所 一种基于循环神经网络的社交网络消息爆发检测方法及系统
US20160299938A1 (en) * 2015-04-10 2016-10-13 Tata Consultancy Services Limited Anomaly detection system and method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 中国移动通信集团河南有限公司信阳分公司 网络流量异常检测方法和系统
US20160299938A1 (en) * 2015-04-10 2016-10-13 Tata Consultancy Services Limited Anomaly detection system and method
CN105469065A (zh) * 2015-12-07 2016-04-06 中国科学院自动化研究所 一种基于递归神经网络的离散情感识别方法
CN105844239A (zh) * 2016-03-23 2016-08-10 北京邮电大学 一种基于cnn和lstm的暴恐视频检测方法
CN105975504A (zh) * 2016-04-28 2016-09-28 中国科学院计算技术研究所 一种基于循环神经网络的社交网络消息爆发检测方法及系统

Cited By (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656637A (zh) * 2017-02-24 2017-05-10 国网河南省电力公司电力科学研究院 一种异常检测方法及装置
CN106656637B (zh) * 2017-02-24 2019-11-26 国网河南省电力公司电力科学研究院 一种电网异常检测方法及装置
CN106951783A (zh) * 2017-03-31 2017-07-14 国家电网公司 一种基于深度神经网络的伪装入侵检测方法及装置
CN106951783B (zh) * 2017-03-31 2021-06-01 国家电网公司 一种基于深度神经网络的伪装入侵检测方法及装置
CN106921676A (zh) * 2017-04-20 2017-07-04 电子科技大学 一种基于OPCClassic的入侵检测方法
CN106921676B (zh) * 2017-04-20 2020-05-08 电子科技大学 一种基于OPCClassic的入侵检测方法
CN108874813B (zh) * 2017-05-10 2022-07-29 腾讯科技(北京)有限公司 一种信息处理方法、装置及存储介质
CN108874813A (zh) * 2017-05-10 2018-11-23 腾讯科技(北京)有限公司 一种信息处理方法、装置及存储介质
CN109510805B (zh) * 2017-09-15 2020-06-16 中国科学院声学研究所 一种基于安全基线模型的网络数据安全检测方法及系统
CN109510805A (zh) * 2017-09-15 2019-03-22 中国科学院声学研究所 一种基于安全基线模型的网络数据安全检测方法及系统
CN107733737A (zh) * 2017-10-10 2018-02-23 国网天津市电力公司 一种监控网络流量异常的方法
CN107846402B (zh) * 2017-10-30 2019-12-13 北京邮电大学 一种bgp稳定性异常检测方法、装置及电子设备
CN107846402A (zh) * 2017-10-30 2018-03-27 北京邮电大学 一种bgp稳定性异常检测方法、装置及电子设备
WO2019095719A1 (zh) * 2017-11-14 2019-05-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
CN109842563A (zh) * 2017-11-24 2019-06-04 中国电信股份有限公司 内容分发网络流量调度方法、装置和计算机可读存储介质
CN107948166A (zh) * 2017-11-29 2018-04-20 广东亿迅科技有限公司 基于深度学习的流量异常检测方法及装置
CN107948166B (zh) * 2017-11-29 2020-09-25 广东亿迅科技有限公司 基于深度学习的流量异常检测方法及装置
CN108564167A (zh) * 2018-04-09 2018-09-21 杭州乾圆科技有限公司 一种数据集之中异常数据的识别方法
CN108564167B (zh) * 2018-04-09 2020-07-31 杭州乾圆科技有限公司 一种数据集之中异常数据的识别方法
CN109039797B (zh) * 2018-06-11 2021-11-23 电子科技大学 基于强化学习的大流检测方法
CN109039797A (zh) * 2018-06-11 2018-12-18 电子科技大学 基于强化学习的大流检测方法
CN108900432B (zh) * 2018-07-05 2021-10-08 中山大学 一种基于网络流行为的内容感知方法
CN108900432A (zh) * 2018-07-05 2018-11-27 中山大学 一种基于网络流行为的内容感知方法
CN109274673B (zh) * 2018-09-26 2021-02-12 广东工业大学 一种网络流量异常检测和防御方法
CN109274673A (zh) * 2018-09-26 2019-01-25 广东工业大学 一种网络流量异常检测和防御方法
CN109413071A (zh) * 2018-10-31 2019-03-01 新华三信息安全技术有限公司 一种异常流量检测方法及装置
CN109413071B (zh) * 2018-10-31 2021-08-06 新华三信息安全技术有限公司 一种异常流量检测方法及装置
CN109445417A (zh) * 2018-11-13 2019-03-08 浙江大学 一种基于归一化处理的工控系统数据异常检测方法
CN109739904A (zh) * 2018-12-30 2019-05-10 北京城市网邻信息技术有限公司 一种时间序列的标记方法、装置、设备和存储介质
CN109739904B (zh) * 2018-12-30 2021-08-10 北京城市网邻信息技术有限公司 一种时间序列的标记方法、装置、设备和存储介质
CN110062410B (zh) * 2019-03-28 2021-09-28 东南大学 一种基于自适应谐振理论的小区中断检测定位方法
CN110062410A (zh) * 2019-03-28 2019-07-26 东南大学 一种基于自适应谐振理论的小区中断检测定位方法
CN110460458B (zh) * 2019-04-15 2022-03-11 清华大学深圳研究生院 基于多阶马尔科夫链的流量异常检测方法
CN110460458A (zh) * 2019-04-15 2019-11-15 清华大学深圳研究生院 基于多阶马尔科夫链的流量异常检测方法
CN110032596A (zh) * 2019-04-17 2019-07-19 中国联合网络通信集团有限公司 流量异常用户识别方法及系统
CN111860081A (zh) * 2019-04-30 2020-10-30 北京嘀嘀无限科技发展有限公司 一种时间序列信号的分类方法、装置以及电子设备
CN112995104B (zh) * 2019-12-16 2022-05-20 海信集团有限公司 一种通信设备及网络安全预测方法
CN112995104A (zh) * 2019-12-16 2021-06-18 海信集团有限公司 一种通信设备及网络安全预测方法
CN111625516B (zh) * 2020-01-10 2024-04-05 京东科技控股股份有限公司 检测数据状态的方法、装置、计算机设备和存储介质
CN111625516A (zh) * 2020-01-10 2020-09-04 京东数字科技控股有限公司 检测数据状态的方法、装置、计算机设备和存储介质
CN112134875A (zh) * 2020-09-18 2020-12-25 国网山东省电力公司青岛供电公司 一种IoT网络异常流量检测方法及系统
CN112131274B (zh) * 2020-09-22 2024-01-19 平安科技(深圳)有限公司 时间序列异常点的检测方法、装置、设备及可读存储介质
CN112131274A (zh) * 2020-09-22 2020-12-25 平安科技(深圳)有限公司 时间序列异常点的检测方法、装置、设备及可读存储介质
CN111931868A (zh) * 2020-09-24 2020-11-13 常州微亿智造科技有限公司 时间序列数据异常检测方法和装置
CN112383516A (zh) * 2020-10-29 2021-02-19 博雅正链(北京)科技有限公司 图神经网络构建方法、基于图神经网络的异常流量检测方法
CN112529678A (zh) * 2020-12-23 2021-03-19 华南理工大学 一种基于自监督判别式网络的金融指数时序异常检测方法
CN112529678B (zh) * 2020-12-23 2023-06-23 华南理工大学 一种基于自监督判别式网络的金融指数时序异常检测方法
CN112714024A (zh) * 2020-12-31 2021-04-27 上海磐御网络科技有限公司 一种网络流量分析技术
CN113364752A (zh) * 2021-05-27 2021-09-07 鹏城实验室 一种流量异常检测方法、检测设备及计算机可读存储介质
CN117041017A (zh) * 2023-10-08 2023-11-10 北京金信润天信息技术股份有限公司 数据中心的智能运维管理方法及系统
CN117041017B (zh) * 2023-10-08 2024-01-05 北京金信润天信息技术股份有限公司 数据中心的智能运维管理方法及系统

Similar Documents

Publication Publication Date Title
CN106411597A (zh) 一种网络流量异常检测方法及系统
Mohan et al. An approach to forecast impact of Covid‐19 using supervised machine learning model
Peel et al. Detecting change points in the large-scale structure of evolving networks
CN107948166B (zh) 基于深度学习的流量异常检测方法及装置
CN108173708A (zh) 基于增量学习的异常流量检测方法、装置及存储介质
CN107276805A (zh) 一种基于入侵检测模型的样本预测方法、装置及电子设备
CN111343147B (zh) 一种基于深度学习的网络攻击检测装置及方法
CN108761377A (zh) 一种基于长短时记忆模型的电能计量装置异常检测方法
CN106779215B (zh) 一种基于机器学习的电网全局延时态势感知方法
CN112085621B (zh) 一种基于K-Means-HMM模型的分布式光伏电站故障预警算法
US20200012944A1 (en) Method and system for detecting switch degradation and failures
CN113822366A (zh) 业务指标异常检测方法及装置、电子设备、存储介质
CN109634820A (zh) 一种云端移动端协同的故障预警方法、相关设备及系统
CN110664412A (zh) 一种面向可穿戴传感器的人类活动识别方法
Khan et al. Efficient behaviour specification and bidirectional gated recurrent units‐based intrusion detection method for industrial control systems
CN115391670B (zh) 一种基于知识图谱的互联网行为分析方法与系统
CN113516228A (zh) 一种基于深度神经网络的网络异常检测方法
CN108459933B (zh) 一种基于深度递归网络的大数据计算机系统故障检测方法
CN114978968A (zh) 微服务的异常检测方法、装置、计算机设备和存储介质
CN113988210A (zh) 结构监测传感网失真数据修复方法、装置及存储介质
CN112215307B (zh) 一种应用机器学习自动检测地震仪器信号异常的方法
CN106054859B (zh) 基于修正型独立元分析的双层集成式工业过程故障检测方法
CN113033845B (zh) 一种电力传输资源共建共享的建设方法及装置
CN110874506A (zh) 一种低温设备故障预测的方法
CN111614083B (zh) 一种适用于400v供电网络拓扑识别的大数据分析方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170215

RJ01 Rejection of invention patent application after publication