CN110650124A - 一种基于多层回声状态网络的网络流量异常检测方法 - Google Patents

Abstract

一种基于多层回声状态网络的网络流量异常检测方法，对原始数据进行包聚合特征提取、特征编码、归一化处理，并对回声状态网络增加多个储备池来提高线性组合的复杂度，大大降低模型的检测时间，提高了检测效率。该方法能够有效地检测到异常数据，且具有较低的假阳率，极大地降低了误报情况的出现，具有较高的实用价值。

Description

一种基于多层回声状态网络的网络流量异常检测方法

技术领域

本发明涉及网络安全技术领域，具体一种基于多层回声状态网络的网络流量异常检测方法。

背景技术

随着智能电网的高速发展，当代电力自动化系统正面临形式多样、数量繁多、连续不断的网络攻击。近期，针对电力行业等国家重点产业发起的有组织的恶意网络攻击活动愈演愈烈。维护网络安全的常用设备有防火墙、入侵检测系统、入侵防御系统、漏洞扫描系统、防病毒系统、终端管理系统以及安全监控平台等。但是在流量爆炸的大数据+5G网络时代，网络流量日益庞大，这些网络安全设备不足以满足智能时代对大量数据异常检测的需求。

发明内容

针对现有技术的上述不足，本发明的目的在于提供一种运算速度快、准确率高的基于多层回声状态网络的网络流量异常检测方法，通过对原始数据包进行包聚合特征提取、特征编码、归一化操作，有效地提高了运算效率，通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数，使得在增强其鲁棒性的同时改善拟合效果。提高检测系统的分类效果。

为实现上述目的，本发明采用以下技术方案：

一种基于多层回声状态网络的网络流量异常检测方法，其特征在于，包括步骤：

S1:对原始数据包进行包聚合特征提取:将.pcap文件分割成若干条网络流，并分别遍历其中的数据包以提取五元组；

S2:对包聚合特征提取后的数据进行去冗余；

S3:特征编码处理：对标签型特征变量进行label encoding编码，选取与标签编码不同数量级的数值来编码缺失值；

S4:对特征编码后的数据集进行归一化处理；

S5:对优化后的数据集采用分层抽样法划定训练集和测试集，并从所述训练集中抽取部分样本对模型进行空转，在所述训练集上对多层回声状态网络进行训练，然后在所述测试集上进行验证，确定待测样本为正常网络流量还是异常网络流量。

优选的，所述数据集为包聚合特征提取后的网络异常流量检测原始.pcap数据包。

优选的，只需更新输出权重矩阵W_readout。

优选的，步骤S5包括：

S501：对经步骤S4归一化后的数据集采用分层抽样法划分好训练集和测试集，在所述训练集中抽取部分样本，在回声状态网络进行空转；

S502：设u(t)＝(u₁(t),u₂(t),...,u_n(t))，y(t)＝(y₁(t),y₂(t),...,y_n(t))和x(t)＝(x₁(t),x₂(t),...,x_n(t))分别是在t时刻的输入序列、输出序列和储备池的状态序列，随机初始化以下参数：输入单元权重矩阵W_in∈R^N×K、储备池内部连接权重矩阵W∈R^N×N，并设定输入单元个数K、储备池大小N和输出单元个数L；

S503:进行

和

计算，其中生W矩阵和W_external矩阵分别为储备池内部链接和储备池之间的权重矩阵，λ_in与λ_external分别是W和W_external矩阵的谱半径，将W与W_external的谱半径调整为α；

S504:对所有t＝1,2,...,T构建M＝[x(t+1)；u(t+1)]矩阵与D＝[e(t)]矩阵；

S505:采用岭回归计算W_readout，正则化方程如公式(1)所示：

W_readout＝DM^T(MM^T+βI)^-1 (1)

其中β为岭回归参数，I矩阵为单位矩阵，D＝[e(t)]和M＝[x(t+1)；u(t+1)]分别为期望输出矩阵和状态收集矩阵，前者收集t＝1,2,...,T时刻下的期望输出信号e(t)，后者收集t＝1,2,...T时刻下的输入信号u(t)和储备池状态x(t)；

S506:通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数，使用训练集训练回声状态网络，更新多个储备池的状态和网络输出如公式(2)和公式(3)所示：

y(t+1)＝f_out(W_readout[x(t+1)；u(t+1)]) (3)

其中γ为储备池的保留率也就是储备池稀疏程度，通常为1％-2％左右，f()和f_out()为激活函数，本发明将其分别设为softmax函数与sigmoid函数。

本发明一种实施方式的有益效果：

研究了一种自学习的网络流量异常检测方法。通过增加多个储备池来提高线性组合的复杂度，实现了对电力网络流量异常检测的高分类精度。通过对原始数据集进行包聚合特征提取并优化，使其更适合于分析和智能处理。优化步骤主要包括:去冗余、特征编码、归一化。为了实现网络流量的分类和识别，构造了一个能够较好地反映恶意代码网络行为的电力网络流量，并统计行为特征。

附图说明

图1是本发明一种实施方式的方法流程框架图；

图2是本发明使用模型多层回声状态网络流程图；

图3是本发明使用模型多层回声状态网络的网络结构；

图4是本发明根据各异常检测结果计算出来的F1-Score值；

图5是本发明测试结果的ROC曲线；

具体实施方式

下面通过附图及具体实施方式对本发明进行详细的说明。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。在下文对本发明的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。为了避免混淆本发明的实质，公知的方法、过程、流程等并没有详细叙述。

本发明的网络流量异常检测方法采用多层回声状态网络，解决检测实时性差、检测准确率不高和假阳率过高的问题。其一种实施方式为：采用网络节点上采集大量同时包含正常类型和异常类型的具有现代网络流量特征的原始数据流构建训练集和测试集。对原始数据进行包聚合特征提取、特征编码、归一化处理，并通过训练集来训练多层回声状态网络，最后借助于训练好的模型在测试集上进行测试，实现未知样本分类，以确定其属于正常类型还是异常类型。

更优选的实施方式，如图1所示，包括步骤：

步骤1：对捕捉到的大量原始流量进行包聚合特征提取工作，将.pcap文件分割成若干条网络流，对每条网络流遍历其中的数据包并提取源IP地址、源端口号、目标IP地址、目标端口号、协议字段五元组，最后计算该条流所有统计特征。

包、流、特征等都封装为对象使得后续实验可以根据需要进行较好地扩展和调整，为之后训练多层回声状态网络和特征提取工作提供了一个扩展性很好的功能模块。对经过特征提取的特征向量A＝{y₁,y₂,y₃,...,y_n}进行类别标记预处理并转化为ARFF文件格式。

步骤2：考虑到某些特征变量存在重复值、噪声等问题，对包聚合特征提取后的数据进行去冗余处理，提高模型计算效率。

步骤3：针对特征提取后的数据集中的标签型特征变量采用label encoding进行编码，也就是将某一个特征变量的所有标签进行排序并用序号替代这些标签，同时，考虑到某些特征变量存在缺失值的问题，选取与该序号不同数量级的数值来编码缺失值。

步骤4：对特征编码后的数据集进行归一化处理将特征统一缩放至(0，1)区间，公式如(1)所示：

其中x′为对特征归一化后的数据值，x_min和x_max分别为每个特征所对应其所有特征值的最小值和最大值。

步骤5:在优化后的数据集按照8：2的比例采用分层抽样法划定训练集和测试集，并从所述训练集中抽取部分样本对模型进行空转。本发明在保证预测准确率的情况下摒弃输出反馈步骤，极大的缩短了模型训练的复杂度，提高了网络流量异常检测的效率。

多层回声状态网络的优势在于只需要调整输出权重W_readout，本发明使用回归算法来计算。考虑到奇异矩阵不可逆的情况，采用岭回归计算输出权重。

在所述训练集上对多层回声状态网络进行训练，然后在所述测试集上进行验证，确定待测样本为正常网络流量还是异常网络流量。具体的实现过程可分为以下几个步骤：

(501)：对经步骤4归一化后的数据集采用分层抽样法划分好训练集和测试集，本发明采用多层回声状态网络来分离出异常网络流量，多层回声状态网络是在回声状态网络的基础上使用了多个储备池来提高预测模型的泛化能力。

(502)：设u(t)＝(u₁(t),u₂(t),...,u_n(t))，y(t)＝(y₁(t),y₂(t),...,y_n(t))和x(t)＝(x₁(t),x₂(t),...,x_n(t))分别是在t时刻的输入序列、输出序列和储备池的状态序列。适当选择随机因子并随机初始化以下参数：输入单元权重矩阵W_in∈R^N×K、储备池内部连接权重矩阵W∈R^N×N、储备池之间的权重矩阵W_external，并设定输入单元个数K、储备池大小N和输出单元个数L，其中输入单元个数为网络流样本的个数。

(503)：为了保证回声状态属性，在所述训练集中抽取部分样本，在多层回声状态网络中进行空转后进行

和

计算，其中λ_in与λ_external分别是W和W_external矩阵的谱半径，将W与W_external的谱半径调整为α，从而建立一个松散的连接，使得输入特征信息得以在多层回声状态网络中多个储备层各自的一小部分回荡，不能迅速的传播到其他部分，确保其状态和输入在空转足够长的时间后对模型参数计算和线性拟合的影响消失。

(504)：对所有t＝1,2,...,T构建M＝[x(t+1)；u(t+1)]矩阵与D＝[e(t)]矩阵，并采用岭回归计算W_readout，正则化方程如公式(2)所示：

W_readout＝DM^T(MM^T+βI)^-1 (2)

其中β为岭回归参数，I矩阵为单位矩阵，D＝[e(t)]和M＝[x(t+1)；u(t+1)]分别为期望输出矩阵和状态收集矩阵，前者收集t＝1,2,...,T时刻下的期望输出信号e(t)，后者收集t＝1,2,...T时刻下的输入信号u(t)和储备池状态x(t)；

(505):通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数，使用训练集训练回声状态网络，更新多个储备池的状态和网络输出如公式(3)和公式(4)所示：

y(t+1)＝f_out(W_readout[x(t+1)；u(t+1)]) (4)

其中γ为储备池的保留率也就是储备池稀疏程度，通常为1％-2％左右，f()和f_out()为激活函数，本发明将其分别设为softmax函数与sigmoid函数。

通过岭回归计算出的权重W_readout应用于输出值的预测，在所述训练集上对所述多层回声状态网络进行训练，构建一种基于多层回声状态网络的网络流量异常检测，然后在所述测试集上进行验证，确定待测样本属于正常类型还是异常类型。

在实际应用中，初始值的随机设定、样本的数量及其他参数值可以根据经验取值，还可以设定不同的参数组合，选取测试效果满足要求且分类效果最佳的方案作为最终的模型参数。

该方法的具体实例如下：

分别抓取大量网络流量并对每种类别的网络流量进行包聚合特征提取和标记操作，构成特征向量A＝{a₁,a₂,…,a_n}，特征提取后其特征集合如表1所示，数据集作为实验数据集，每条样本的特征数量为40，样本的类型分别为0和1，其中0表示正常，1表示异常。

表1包聚合特征提取后的数据

将去冗余的数据集中的非数值型特征进行编码，如Protocol特征，对其每个标签的编码方式如表2所示。其中，为了区别缺失值与正常值，以一个较大的数值来编码缺失值‘-’。

表2 Protocol特征编码处理

采用公式(1)对特征编码后的实验数据进行归一化处理，最终使特征向量的数值处于[0，1]之间以方便后续实验的进行。

按照8：2的比例采用分层抽样法将数据集分成训练集和测试集，构造t时刻的输入序列u(t)＝(u₁(t),u₂(t),...,u_n(t))，输出序列y(t)＝(y₁(t),y₂(t),...,y_n(t))和储备池的状态序列x(t)＝(x₁(t),x₂(t),...,x_n(t)。适当选择随机因子并随机初始化以下参数：输入单元权重矩阵W_in∈R^N×K、储备池内部连接权重矩阵W∈R^N×N、储备池之间的权重矩阵W_external，并设定输入单元个数K、储备池大小N和输出单元个数L，其中输入单元个数为网络流样本的个数。

进行

和计算，其中λ_in与λ_external分别是W和W_external矩阵的谱半径，将W与W_external的谱半径调整为α，其中α<1。

对所有t＝1,2,...,T构建期望输出矩阵M＝[x(t+1)；u(t+1)]和状态收集矩阵D＝[e(t)]，为模型的计算训练做准备。对T个样本通过公式(2)岭回归的方式计算输出权重矩阵W_readout。

对模型进行3000次的空转消除输入特征信息对模型训练的影响，让第一个样本的输入向量u(1)进入输入层，通过公式(3)(4)计算出x(1)与y(1)，让第二个样本也通过上述同样的操作计算出x(2)和y(2)，依次类推计算出y(1),y(2),...,y(n),(n是训练集样本数)。

实验结果如图3所示，根据各异常检测结果计算出来的F1-Score值可知，本方法对异常网络流的检测具有良好效果，尤其是Worms、Fuzzers、Analysis、Shellcode，它们的F1-score值分别达到了100％、99％、99％、99％。其他异常种类的F1-score值最低也达到了85％。

为了更客观地评价方法，本实验进一步采用ROC曲线来评价多层回声状态网络方法的检测结果。ROC曲线图如图4所示。经过对比可以看出多层回声状态网络的ROC曲线最靠近(0，1)点，最偏离45°对角线，充分说明了本方法对异常网络流的检测具有良好的效果。

以上实施例是对本发明的解释，但是，本发明并不局限于上述实施方式中的具体细节，本领域的技术人员在本发明的技术构思范围内进行的多种等同替代或简单变型方式，均应属于本发明的保护范围。

Claims (4)

1.一种基于多层回声状态网络的网络流量异常检测方法，其特征在于，包括步骤：

S1:对原始数据包进行包聚合特征提取:将.pcap文件分割成若干条网络流，并分别遍历其中的数据包以提取五元组；

S2:对包聚合特征提取后的数据进行去冗余；

S3:特征编码处理：对标签型特征变量进行label encoding编码，选取与标签编码不同数量级的数值来编码缺失值；

S4:对特征编码后的数据集进行归一化处理；

S5:对优化后的数据集采用分层抽样法划定训练集和测试集，并从所述训练集中抽取部分样本对模型进行空转，在所述训练集上对回声状态网络进行训练，然后在所述测试集上进行验证，确定待测样本为正常网络流量还是异常网络流量。

2.根据权利要求1所述的基于多层回声状态网络的网络流量异常检测方法，其特征在于，所述数据集为包聚合特征提取后的网络异常流量检测原始.pcap数据包。

3.根据权利要求1所述的基于多层回声状态网络的网络流量异常检测方法，其特征在于，只需更新输出权重矩阵W_readout。

4.根据权利要求1-3任意一项所述的基于多层回声状态网络的网络流量异常检测方法，其特征在于，步骤S5包括：

S501：对经步骤S4归一化后的数据集采用分层抽样法划分好训练集和测试集，在所述训练集中抽取部分样本，在回声状态网络进行空转；

S502：设u(t)＝(u₁(t),u₂(t),...,u_n(t))，y(t)＝(y₁(t),y₂(t),...,y_n(t))和x(t)＝(x₁(t),x₂(t),...,x_n(t))分别是在t时刻的输入序列、输出序列和储备池的状态序列，随机初始化以下参数：输入单元权重矩阵W_in∈R^N×K、储备池内部连接权重矩阵W∈R^N×N，并设定输入单元个数K、储备池大小N和输出单元个数L；

S503:进行

和

计算，其中生W矩阵和W_external矩阵分别为储备池内部链接和储备池之间的权重矩阵，λ_in与λ_external分别是W和W_external矩阵的谱半径，将W与W_external的谱半径调整为α；

S504:对所有t＝1,2,...,T构建M＝[x(t+1)；u(t+1)]矩阵与D＝[e(t)]矩阵；

S505:采用岭回归计算W_readout，正则化方程如公式(1)所示：

W_readout＝DM^T(MM^T+βI)^-1 (1)

其中β为岭回归参数，I矩阵为单位矩阵，D＝[e(t)]和M＝[x(t+1)；u(t+1)]分别为期望输出矩阵和状态收集矩阵，前者收集t＝1,2,...,T时刻下的期望输出信号e(t)，后者收集t＝1,2,...T时刻下的输入信号u(t)和储备池状态x(t)；

S506:通过采用堆叠的方式构造储备池并减少单个储备池的神经元个数，使用训练集训练回声状态网络，更新多个储备池的状态和网络输出如公式(2)和公式(3)所示：

y(t+1)＝f_out(W_readout[x(t+1)；u(t+1)]) (3)

其中γ为储备池的保留率也就是储备池稀疏程度，通常为1％-2％左右，f()和f_out()为激活函数，本发明将其分别设为softmax函数与sigmoid函数。

Images