CN112583852A - 一种异常流量检测方法 - Google Patents

Abstract

本发明公开了一种异常流量检测方法，包括以下步骤：步骤1：从抓包软件中获取网络原始流量文件，对原始流量文件进行预处理，并将预处理后的数据作为数据样本；步骤2：利用卷积神经网络对流量数据进行空间域的表征特征提取；步骤3：利用LSTM对经过空间域特征提取后的数据进行时序特征提取；步骤4：使用softmax对提取后的特征进行分类，判定网络流量异常与否。本发明异常流量检测方法，提高了网络空间安全态势感知问题中流量异常检测方法的实时性和准确性。

Description

一种异常流量检测方法

技术领域

本发明涉及一种异常流量检测方法，属于信息安全技术领域。

背景技术

随着互联网基础设施的飞速发展和新应用的不断涌现，网络在规模和拓扑上都日趋扩大化、复杂化，各种层出不穷、更新换代的网络攻击给安全管理者带来了巨大的挑战。现阶段面对传统安全防御体系失效的风险，态势感知开始逐渐应用于网络安全领域，它能够全面感知网络安全威胁态势，洞悉网络及应用运行健康状态，通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员采取针对性的响应处置措施。

网络安全态势感知的基本处理流程如下：首先进行数据采集，包括终端数据、流量采集、中间件数据、第三方设备日志、威胁情报对接。然后进行数据预处理，对采集的数据进行预处理，包括数据清洗、数据归并、数据富化，最终数据转换为平台可理解的格式化数据，以文件的形式存储，等待分析。最后进行大数据分析，进行全网安全数据的检测、分析和统计，并结合威胁情报、行为分析、智能分析等技术，发现安全威胁现状，同时内置的多条安全关联规则可将数据进行归并告警。同时，内置异常行为检测引擎，实时匹配流量，当发现存在异常行为时会将流量片段在采集的流量数据中进行标记，传给平台，由平台进行深度关联分析，挖掘潜在的威胁。若要做到全网威胁感知，则必须具备多维度的监测、分析体系。安全感知平安体从脆弱性、外部攻击、内部异常进行三大维度的安全实时监测能力构建，来达成全面的检测体系。

发明内容

本发明目的在于针对网络入侵检测中存在的问题，提出一种网络异常流量感知检测方法，用以提高网络安全态势感知的实时性和准确性。

为解决上述技术问题，本发明所采用的技术方案如下：

一种异常流量检测方法，包括以下步骤：

步骤1：从抓包软件中获取网络原始流量文件，对原始流量文件进行预处理，并将预处理后的数据作为数据样本；

步骤2：利用卷积神经网络对流量数据进行空间域的表征特征提取；

步骤3：利用LSTM对经过空间域特征提取后的数据进行时序特征提取；

步骤4：使用softmax回归对提取后的特征进行分类，判定网络流量异常与否。

上述方法提高了网络安全态势感知的实时性和准确性。

上述步骤1中，对原始流量文件进行预处理包括如下步骤：

步骤1.1：流量切分：将原始流量数据集按照五元组信息〈源IP，源端口，目的IP，目的端口，传输层协议〉是否相同划分为多条数据流；

步骤1.2流量清理：去除或匿名化数据分组中的IP地址和MAC地址，以及舍弃没有实际内容的空数据分组；

步骤1.3长度截断：数据流长度为l，当l＞1500B对数据l进行裁剪至l＝1500B，当l＜1500B，填充0x00至1500B大小；

步骤1.4归一化：对数据流分组中每个字节转换为十进制数值后除以255。

步骤2中，使用混合深度学习模型对数据进行特征提取，具体包括如下步骤：

步骤2.1卷积：将归一化后的网络流量特征序列X＝[X₁，X₂，…，X_n]输入到卷积神经网络中，其中，n为从预处理中得到的每一组数据长度，n＝1500/8，并对其进行卷积与池化操作。具体来说，卷积层设置多个卷积核W，卷积核大小d，步长为1，每个卷积核对卷积窗口D中的特征进行计算并生成一个新的特征，卷积窗口D对应大小为d的卷积核处理的数据的大小，对于卷积窗口D中的一个网络流量特征子序列表示X_i：i+d-1，其中i表示一组长度为n的数据的第i个元素，卷积核W_l(1≤l≤L，L代表卷积核的个数)按式

生成新的特征v^l，其中，f为ReLU，W_l为该卷积层第l个卷积核，b代表该卷积核的偏置，X_i：i+d-1是X_i，X_i+1，…，X_i+d-1拼接而成的网络流量特征子序列，当一个卷积核对到X_0：d-1到X_n-d+1：n中的每个特征子序列进行遍历后，得到该卷积核生成的特征图

其中n-d+1表示数据向量可划分为n-d+1个窗口的数据，将所有卷积核生成的特征图进行堆叠得到新的序列表示V_s＝[v₁，v₂，…，v_n-d+1]，其中

其中，下标数据中的i表示原数据向量中第i个卷积窗口内的数据向量，是由L个卷积核处理的特征拼接而成，由于原始数据被划分为n-d+1个小组，因此V_s中的元素v是从1到n-d+1个；

步骤2.2池化：池化层对卷积后生成的序列V_s进行池化操作，首先特征图V^l经过池化分成N块，并将每块中的最大值顺序拼接起来，得到长度为N的向量

其中，单个卷积核与原始数据向量生成的特征图向量V^l被划分为N块，maxpool最大池化作用于每块，取最大数值从而完成特征采样，将L个特征图经过池化后得到的p^l堆叠在一起，可得P＝[p¹，p²，…，p^L]。

步骤3中，时序特征提取包括：

步骤3.1：将池化后的特征图序列P视为一个时间序列并输入LSTM网络中，依次输入P＝[p¹，p²，…，p^L]＝[p₁，p₂，…，p_T]，其中，T＝N×L，t作为序列的下标，通过LSTM计算每个特征前后特征响下的输出状态，得到包含网络流量数据空间特征与时间特征的向量，在时间步t上，LSTM按下式对p_t进行特征提取:

i_t＝σ(W_i·[h_t-1，p_t]+b_i)

f_t＝σ(W_f·[h_t-1，p_t]+b_f)

q_t＝tanh(W_q·[h_t-1，p_t]+b_q)

o_t＝σ(W_o·[h_t-1，p_t]+b_o)

c_t＝f_t*c_t-1+i_t*q_t

b_t＝o_t*tanh(c_t)

其中，σ是sigmoid函数；tanh为双曲正切函数；W_i、W_f、W_q、W_o为权重矩阵；b_i、b_f、b_q、b_o为偏置项；b_t为t时刻的输出；i_t为t时刻的输入门，对输入信息进行选择操作；f_t为t时刻的遗忘门，对需要被遗忘的信息进行遗忘操作；o_t为t时刻的输出门，用来对输出信息行选择；c_t为t时刻的细胞状态，用来判断哪些信息应该被存储；*为按元素乘；

步骤3.2：池化后的特征图序列P经过LSTM网络的处理，在此使用异步的序列到序列模式，即编码器-解码器模式进行处理，输入长度为T，输出长度为M的包含网络流量数据空间特征与时间特征的向量B：

B＝[b_T+1，b_T+2，…，b_T+M]。

步骤4中，使用softmax回归对提取后的特征进行分类，包括：异常检测分类器构建过程中，首先基于CNN-LSTM提取样本的流量深度特征B，并输入softmax，处理后输出样本X的预测类别Y_c，其中类别标签y∈{1，2，…，C}，C＝M：

其中，ω_c是第c类的权重向量，softmax回归决策表示为：

本发明未提及的技术均参照现有技术。

本发明异常流量检测方法，提高了网络空间安全态势感知问题中流量异常检测方法的实时性和准确性。

附图说明

图1为本发明流量异常检测流程图；

具体实施方式

为了更好地理解本发明，下面结合实施例进一步阐明本发明的内容，但本发明的内容不仅仅局限于下面的实施例。

异常流量检测方法，包括以下步骤：

步骤1：从抓包软件中获取网络原始流量文件，对原始流量文件进行预处理，并将预处理后的数据作为数据样本：

步骤1.1流量切分：将原始流量数据集按照五元组信息〈源IP，源端口，目的IP，目的端口，传输层协议〉是否相同划分为多条数据流。每条数据流都由五元组相同的数据分组按通信时间的先后顺序组合而成。

步骤1.2流量清理：去除或匿名化数据分组中的IP地址和MAC地址，以及舍弃没有实际内容的空数据分组。分组中特定的IP地址和MAC地址会对深度学习模型提取特征造成影响，此外只含有头部信息而无实际内容的数据分组也会对特征学习造成干扰。

步骤1.3长度截断：数据流长度为l，当l＞1500B对数据l进行裁剪至l＝1500B，当l＜1500B，填充0x00至1500B大小。

经上述两步骤处理后得到的各数据流所包含的字节数大小不一，为了提取相同维度的特征，要求输入数据的维度必须一致，因此对所有数据流的长度进行统一截取。

步骤1.4归一化：对数据流分组中每个字节转换为十进制数值后除以255。为提高训练时网络收敛速度，对每条数据流中分组字节进行归一化处理，将其归一化0～1。

本实验使用DARPA1999入侵检测数据集，该数据集的仿真环境是一空军基地内网受到外网入侵攻击的模式，局域网内部终端环境包括：solaris主机、Windows NT、Linux、sunOS,网络嗅探器嗅探局域网内部通过路由与外网进行的信息流量交互，第一周和第三周的训练数据不包含任何攻击，第二周的训练数据包含多种攻击，最终，关于网络信息交互的数据被收集为一下几类：外部嗅探数据、内部嗅探数据、BSM审计数据、NT审计数据、长目录树、dump选择树、文件系统节点信息报告，在此我们使用嗅探得到的dump数据包。

在实际数据处理阶段，使用wireshark软件对inside.tcpdump文件操作，打开解码该文件，文件解码后，一个数据包属性内容可见如下：

Frame 115:60 bytes on wire(480bits),60 bytes captured(480bits)

Ethernet II,Src:Dell_a3:58:23(00:c0:4f:a3:58:23),Dst:Cisco_38:46:32(00:10:7b:38:46:32)

Internet Protocol Version 4,Src:196.227.33.189,Dst:172.16.114.207

Transmission Control Protocol,Src Port:25,Dst Port:1026,Seq:333,Ack:1461,Len:0

从解码内容可见，原始流量数据的五元组信息〈源IP，源端口，目的IP，目的端口，传输层协议〉，使用wireshark自带的过滤器功能，按照五元组信息进行过滤数据,过滤条件语句如下:

ip.src＝＝196.227.33.189 and ip.dst＝＝172.16.114.207 and tcp.srcport＝＝25 and tcp.dstport＝＝1026 and tcp

过滤结果如下：

"94","38.913612","196.227.33.189","172.16.114.207","TCP","60","25→1026[SYN,ACK]Seq＝0 Ack＝1 Win＝32736 Len＝0 MSS＝1460"

"98","39.702046","196.227.33.189","172.16.114.207","SMTP","136","S:220saturn.kiwi.org Sendmail 4.1/SMI-4.1 ready at Mon,1 Mar 1999 08:00:42-0500"

"100","39.704810","196.227.33.189","172.16.114.207","SMTP","80","S:500 Command unrecognized"

"102","39.705887","196.227.33.189","172.16.114.207","SMTP","102","S:250(pigeon.eyrie.af.mil)pleased to meet you."

"104","39.706971","196.227.33.189","172.16.114.207","SMTP","102","S:250<lucjanm@pigeon.eyrie.af.mil>...Sender Ok"

……

将过滤结果以源数据形式提取，按照长度为1500B的大小划分，并去除五元组，以及无用的头部信息，进行归一化，打上流量状态类别标签，作为数据使用。

步骤2：利用卷积神经网络对流量数据进行空间域的表征特征提取，使用混合深度学习模型对数据进行特征提取，包括如下步骤：

步骤2.1卷积：将归一化后的网络流量特征序列X＝[X₁，X₂，…，X_n]输入到卷积神经网络中，其中n为从预处理中得到的每一组数据长度。并对其进行卷积与池化操作。具体来说，卷积层设置多个卷积核W，卷积核大小d，步长为1，每个卷积核对卷积窗口D中的特征进行计算并生成一个新的特征，卷积窗口D对应大小为d的卷积核处理的数据的大小，对于卷积窗口D中的一个网络流量特征子序列表示X_i：i+d-1，其中i表示一组长度为n的数据的第i个元素，卷积核W_l(1≤l≤L，L代表卷积核的个数)按式

生成新的特征v^l，其中，f为ReLU，W_l为该卷积层第l个卷积核，b代表该卷积核的偏置，X_i：i+d-1是X_i，X_i+1，…，X_i+d-1拼接而成的网络流量特征子序列，当一个卷积核对到X_0：d-1到X_n-d+1：n中的每个特征子序列进行遍历后，得到该卷积核生成的特征图

其中n-d+1表示数据向量可划分为n-d+1个窗口的数据，将所有卷积核生成的特征图进行堆叠得到新的序列表示V_s＝[v₁，v₂，…，v_n-d+1]，其中

其中，下标数据中的i表示原数据向量中第i个卷积窗口内的数据向量，是由L个卷积核处理的特征拼接而成，由于原始数据被划分为n-d+1个小组，因此V_s中的元素v是从1到n-d+1个；

步骤2.2池化：池化层对卷积后生成的序列V_s进行池化操作，首先特征图V^l经过池化分成N块，并将每块中的最大值顺序拼接起来，得到长度为N的向量

其中单个卷积核与原始数据向量生成的特征图向量V^l被划分为N块，maxpool最大池化作用于每块，取最大数值从而完成特征采样。将L个特征图经过池化后得到的p^l堆叠在一起，可得P＝[p¹，p²，…，p^L]。

步骤3中，时序特征提取包括：

步骤3.1：将池化后的特征图序列P视为一个时间序列并输入LSTM网络中，依次输入P＝[p¹，p²，…p^L]＝[p₁，p₂，…，p_T]，其中，T＝N×L，t作为序列的下标，通过LSTM计算每个特征前后特征响下的输出状态，得到包含网络流量数据空间特征与时间特征的向量，在时间步t上，LSTM按下式对p_t进行特征提取:

i_t＝σ(W_i·[h_t-1，p_t]+b_i)

f_t＝σ(W_f·[h_t-1，p_t]+b_f)

q_t＝tanh(W_q·[h_t-1，p_t]+b_q)

o_t＝σ(W_o·[h_t-1，p_t]+b_o)

c_t＝f_t*c_t-1+i_t*q_t

b_t＝o_t*tanh(c_t)

其中，σ是sigmoid函数；tanh为双曲正切函数；W_i、W_f、W_q、W_o为权重矩阵；b_i、b_f、b_q、b_o为偏置项；b_t为t时刻的输出；i_t为t时刻的输入门，对输入信息进行选择操作；f_t为t时刻的遗忘门，对需要被遗忘的信息进行遗忘操作；o_t为t时刻的输出门，用来对输出信息行选择；c_t为t时刻的细胞状态，用来判断哪些信息应该被存储；*为按元素乘；

步骤3.2：池化后的特征图序列P经过LSTM网络的处理，在此使用异步的序列到序列模式，即编码器-解码器模式进行处理，输入长度为T，输出长度为M的包含网络流量数据空间特征与时间特征的向量B：

步骤4中，使用softmax回归对提取后的特征进行分类，包括：异常检测分类器构建过程中，首先基于CNN-LSTM提取样本的流量深度特征B，并输入softmax，处理后输出样本X的预测类别Y_c，其中类别标签y∈{1，2，…，C}，C＝M：

其中，ω_c是第c类的权重向量，softmax回归决策表示为：

softmax回归能够有效的分类经过特征提取后的流量数据语义特征信息。

表1实验结果：

类别	准确度
		normal	0.9355
Dos	0.8179
		R2L	0.7699
U2R	0.07
		probing	0.0987

原始数据集网络状态类型就分为5中类型，一种normal正常类型，四种异常类型Dos、R2L、U2R、probing，从结果来看，本发明方法在区分正常异常状态上的分类精度较高，且该方法直接使用网络交互中的数据包内容，数据提取方便。

上述方法在网络空间安全态势感知问题中流量异常检测方法的实时性和准确性较为合理。

Claims (7)

1.一种异常流量检测方法，其特征在于：包括以下步骤：

步骤1：从抓包软件中获取网络原始流量文件，对原始流量文件进行预处理，并将预处理后的数据作为数据样本；

步骤2：利用卷积神经网络对流量数据进行空间域的表征特征提取；

步骤3：利用LSTM对经过空间域特征提取后的数据进行时序特征提取；

步骤4：使用softmax回归对提取后的特征进行分类，判定网络流量异常与否。

2.根据权利要求1所述的异常流量检测方法，其特征在于：步骤1中，对原始流量文件进行预处理包括如下步骤：

步骤1.1：流量切分：将原始流量数据集按照五元组信息是否相同划分为多条数据流；

步骤1.2流量清理：去除或匿名化数据分组中的IP地址和MAC地址，以及舍弃没有实际内容的空数据分组；

步骤1.3长度截断：数据流长度为l，当l＞1500B对数据l进行裁剪至l＝1500B，当l＜1500B，填充0x00至1500B大小；

步骤1.4归一化：对数据流分组中每个字节转换为十进制数值后除以255。

3.根据权利要求2所述的异常流量检测方法，其特征在于：步骤2中，使用混合深度学习模型对数据进行特征提取。

4.根据权利要求3所述的异常流量检测方法，其特征在于：步骤2中，使用混合深度学习模型对数据进行特征提取包括如下步骤：

步骤2.1卷积：将归一化后的网络流量特征序列X＝[X₁，X₂，…，X_n]输入到卷积神经网络中，其中，n为从预处理中得到的每一组数据长度，并对其进行卷积与池化操作；

步骤2.2池化：池化层对卷积后生成的序列V_s进行池化操作，首先特征图V^l经过池化分成N块，并将每块中的最大值顺序拼接起来，得到长度为N的向量

其中，单个卷积核与原始数据向量生成的特征图向量V^l被划分为N块，maxpool最大池化作用于每块，取最大数值从而完成特征采样，将L个特征图经过池化后得到的p^l堆叠在一起，可得P＝[p¹，p²，…，p^L]。

5.根据权利要求4所述的异常流量检测方法，其特征在于：步骤2.1中，卷积层设置多个卷积核W，卷积核大小d，步长为1，每个卷积核对卷积窗口D中的特征进行计算并生成一个新的特征，卷积窗口D对应大小为d的卷积核处理的数据的大小，对于卷积窗口D中的一个网络流量特征子序列表示X_i：i+d-1，其中i表示一组长度为n的数据的第i个元素，卷积核W_l(1≤l≤L，L代表卷积核的个数)按式

生成新的特征v^l，其中，f为ReLU，W_l为该卷积层第l个卷积核，b代表该卷积核的偏置，X_i：i+d-1是X_i，X_i+1，…，X_i+d-1拼接而成的网络流量特征子序列，当一个卷积核对到X_0：d-1到X_n-d+1：n中的每个特征子序列进行遍历后，得到该卷积核生成的特征图

其中，n-d+1表示数据向量可划分为n-d+1个窗口的数据，将所有卷积核生成的特征图进行堆叠得到新的序列表示V_s＝[v₁，v₂，…，v_n-d+1]，其中

其中，下标数据中的i表示原数据向量中第i个卷积窗口内的数据向量，是由L个卷积核处理的特征拼接而成，由于原始数据被划分为n-d+1个小组，因此V_s中的元素v是从1到n-d+1个。

6.根据权利要求4所述的异常流量检测方法，其特征在于：步骤3中，时序特征提取包括：

步骤3.1：将池化后的特征图序列P视为一个时间序列并输入LSTM网络中，依次输入P＝[p¹，p²，…，p^L]＝[p₁，p₂，…，p_T]，其中，T＝N×L，t作为序列的下标，通过LSTM计算每个特征前后特征响下的输出状态，得到包含网络流量数据空间特征与时间特征的向量，在时间步t上，LSTM按下式对p_t进行特征提取：

i_t＝σ(W_i·[h_t-1，p_t]+b_i)

f_t＝σ(W_f·[h_t-1，p_t]+b_f)

q_t＝tanh(W_q·[h_t-1，p_t]+b_q)

o_t＝σ(W_o·[h_t-1，p_t]+b_o)

c_t＝f_t*c_t-1+i_t*q_t

b_t＝o_t*tanh(c_t)

其中，σ是sigmoid函数；tanh为双曲正切函数；W_i、W_f、W_q、W_o为权重矩阵；b_i、b_f、b_q、b_o为偏置项；b_t为t时刻的输出；i_t为t时刻的输入门，对输入信息进行选择操作；f_t为t时刻的遗忘门，对需要被遗忘的信息进行遗忘操作；o_t为t时刻的输出门，用来对输出信息行选择；c_t为t时刻的细胞状态，用来判断哪些信息应该被存储；*为按元素乘；

步骤3.2：池化后的特征图序列P经过LSTM网络的处理，在此使用异步的序列到序列模式，即编码器-解码器模式进行处理，输入长度为T，输出长度为M的包含网络流量数据空间特征与时间特征的向量B：

B＝[b_T+1，b_T+2，…，b_T+M]。

7.根据权利要求6所述的异常流量检测方法，其特征在于：步骤4中，使用softmax回归对提取后的特征进行分类，包括：异常检测分类器构建过程中，首先基于CNN-LSTM提取样本的流量深度特征B，并输入softmax，处理后输出样本X的预测类别Y_c，其中类别标签y∈{1，2，…，c}，c＝M：

其中，ω_c是第c类的权重向量，softmax回归决策表示为：

Images