CN113242259B - 网络异常流量检测方法及装置 - Google Patents

网络异常流量检测方法及装置 Download PDF

Info

Publication number
CN113242259B
CN113242259B CN202110586533.2A CN202110586533A CN113242259B CN 113242259 B CN113242259 B CN 113242259B CN 202110586533 A CN202110586533 A CN 202110586533A CN 113242259 B CN113242259 B CN 113242259B
Authority
CN
China
Prior art keywords
abnormal
data
model
input
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110586533.2A
Other languages
English (en)
Other versions
CN113242259A (zh
Inventor
唐玉维
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Liandian Energy Development Co ltd
Original Assignee
Suzhou Liandian Energy Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Liandian Energy Development Co ltd filed Critical Suzhou Liandian Energy Development Co ltd
Priority to CN202110586533.2A priority Critical patent/CN113242259B/zh
Publication of CN113242259A publication Critical patent/CN113242259A/zh
Application granted granted Critical
Publication of CN113242259B publication Critical patent/CN113242259B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本申请涉及一种网络异常流量检测方法及装置,属于计算机技术领域,该方法包括:获取预先训练的异常流量检测模型,异常流量检测模型基于Attention机制的Bi‑LSTM模型建立,并使用训练数据集训练得到;训练数据集包括正常流量样本和异常流量样本,异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;将网络流量数据输入异常流量检测模型中,得到检测结果;可以保证模型训练时正负样本均衡,且通过基于Attention机制的Bi‑LSTM模型进行异常流量检测,可以凸显出流量数据序列的相互影响作用,从而提高系统对新攻击检测的能力。

Description

网络异常流量检测方法及装置
【技术领域】
本申请涉及一种网络异常流量检测方法及装置,属于计算机技术领域。
【背景技术】
近年来,由于信息泄露的情况越来越严重,网络安全问题开始引起人们的广泛注意。而现有的网络流量异常检测系统大多是利用传统的统计方法人为根据数据统计和攻击特征来设计异常检测系统的检测规则,或者利用支持向量机、决策树、Adaboost、随机森林和K-Means等机器学习方法来进行异常检测。
但是,随着网络环境越来越复杂,研究人员发现每个攻击特征的速度已经远远赶不上攻击类型翻新的速度,所以随着现代网络日趋复杂,传统方法很难满足检测任务的需求。
基于上述问题,现有的网络异常流量检测方法也提出了使用基于CNN、RNN等深度神经网络的方法来进行网络流量异常检测。但是在使用深度学习方法来进行网络流量异常检测的时候,也存在如下两个问题:1、模型训练过程中存在的正负样本数据不平衡问题;2、异常检测系统对新攻击检测能力较弱的问题。
【发明内容】
本申请提供了一种网络异常流量检测方法及装置,可以解决模型训练过程中存在的正负样本数据不平衡问题、且异常检测系统对新攻击检测能力较弱的问题;通过使用异常流量生成模型可以生成新的异常流量样本,从而使得正负样本均衡,另外通过基于Attention机制的Bi-LSTM模型进行异常流量检测,可以凸显出流量数据序列的相互影响作用,从而提高系统对新攻击检测的能力。本申请提供如下技术方案:
第一方面,提供一种网络异常流量检测方法,所述方法包括:
获取网络流量数据;
获取预先训练的异常流量检测模型,所述异常流量检测模型基于注意力Attention机制的双向长短期记忆Bi-LSTM模型建立,并使用训练数据集训练得到;所述训练数据集包括正常流量样本和异常流量样本,所述异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;所述异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;
将所述网络流量数据输入所述异常流量检测模型中,得到检测结果,所述检测结果用于指示所述网络流量数据是否存在异常。
可选地,所述异常流量检测模型从前至后依次包括:输入层、Bi-LSTM层、Attention层和输出层;所述Bi-LSTM层包括前向LSTM模型和后向LSTM模型;
所述输入层将输入的数据分别输入所述前向LSTM模型和所述后向LSTM模型;
所述前向LSTM模型和所述后向LSTM模型分别对输入层输入的数据进行计算,得到输出结果;并将所述输出结果输出至所述Attention层;
所述Attention层用于对所述Bi-LSTM层输出的所有分量进行加权,并进行权重更新,得到输出结果;并将所述输出结果经过所述输出层处理后,得到所述检测结果。
可选地,所述异常流量生成模型包括:自动编码器、生成器和判别器;
所述自动编码器的输入为标签为异常流量的异常数据,输出为与输入的数据相似的异常数据;
所述生成器的输入为加入噪声后的异常数据,所述加入噪声后的异常数据包括所述自动编码器生成异常数据与噪声的结合、以及所述标签为异常流量的异常数据与噪声的结合;输出为与正常数据相似的异常数据;
所述判别器的输入为正常数据和异常数据,输出为对正常数据和异常数据的判别结果;其中,异常数据包括标签为异常流量的异常数据和所述生成器生成的异常数据,所述判别结果用于对所述生成器和所述判别器进行更新。
可选地,所述自动编码器从前至后依次包括输入层、第一隐藏层、第二隐藏层、第三隐藏层和输出层;所述输入层、所述第一隐藏层和所述第二隐藏层构成编码器;所述第三隐藏层和所述输出层构成解码器;
所述编码器用于通过全连接变换的方式将输入数据的维度压缩降低,所述输入层与所述第一隐藏层之间、所述第二隐藏层与所述第三隐藏层之间的激活函数为Relu函数,所述Relu函数使得所述自动编码器中一部分神经元的输出为0;所述Relu函数通过下式表示:
yrelu=max(0,x);
其中,所述x为所述Relu函数的输入;
所述解码器的解码过程与所述编码器的编码过程相反,用于输出与所述输入数据的维度相同的异常数据;在解码过程中,所述第三隐藏层和所述输出层之间的激活函数为Sigmoid函数,所述Sigmoid函数用于将输入的连续实值变换为0至1之间的数值;所述Sigmoid函数通过下式表示:
Figure GDA0003814131760000031
其中,所述x为所述Sigmoid函数的输入。
可选地,所述自动编码器在训练时使用的损失函数为均方误差MSE,所述MSE为预测值与目标值之间差值的平方和的均值,所述MSE通过下式表示:
Figure GDA0003814131760000032
其中,自动编码器的输出Y={y1,y2,...,yn}是与原有异常流量P={p1,p2,...,pn}相似的异常数据,n与输入的维度相同。
可选地,所述生成器包括三个全连接层,不同全连接层之间使用Leaky Relu的激活函数;最后一个全连接层的输出使用Tanh函数激活,以使输出数据的范围为从-1至1;
所述Leaky Relu的激活函数通过下式表示:
y=max(αx,x);
其中,α设置为固定常数,x为Leaky Relu的激活函数的输入;
所述Tanh函数通过下式表示:
Figure GDA0003814131760000033
其中,x为Tanh函数的输入。
可选地,所述生成器在训练时使用的损失函数为交叉熵BCE Loss函数,所述交叉熵BCE Loss函数通过下式表示:
L(G)=-[ylogx+(1-y)log(1-x)]
其中,x表示所述生成器的输入数据,y表示所述生成器的预测值。
可选地,所述判别器包括三个全连接层,不同全连接层之间使用Leaky Relu的激活函数,且Leaky Relu函数之后还添加有Dropout网络,所述Dropout网络用于通过忽略一部分的特征使两个神经元不必每次都在同一个Dropout网络中出现;最后一个全连接层的输出使用Sigmoid函数激活。
可选地,所述判别器在训练时使用的损失函数为改进后的BCELoss函数,所述改进后的BCELoss函数在GAN模型原有的损失函数的基础上增加了梯度范数,所述改进后的BCELoss函数通过下式表示:
Figure GDA0003814131760000041
Figure GDA0003814131760000042
其中,ε∈[0,1]且为常数,D(x)表示所述判别器对真实的样本进行判别,z表示随机的输入,G(z)表示所述生成器生成的样本,λ为预设常数。
第二方面,提供一种网络异常流量检测装置,所述装置包括:
数据获取模块,用于获取网络流量数据;
模型获取模块,用于获取预先训练的异常流量检测模型,所述异常流量检测模型基于注意力Attention机制的双向长短期记忆Bi-LSTM模型建立,并使用训练数据集训练得到;所述训练数据集包括正常流量样本和异常流量样本,所述异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;所述异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;
异常检测模块,用于将所述网络流量数据输入所述异常流量检测模型中,得到检测结果,所述检测结果用于指示所述网络流量数据是否存在异常。
本申请的有益效果在于:通过获取网络流量数据;获取预先训练的异常流量检测模型,异常流量检测模型基于注意力Attention机制的双向长短期记忆Bi-LSTM模型建立,并使用训练数据集训练得到;训练数据集包括正常流量样本和异常流量样本,异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;将网络流量数据输入异常流量检测模型中,得到检测结果,检测结果用于指示网络流量数据是否存在异常;可以解决模型训练过程中存在的正负样本数据不平衡问题、且异常检测系统对新攻击检测能力较弱的问题;通过使用异常流量生成模型可以生成新的异常流量样本,从而使得正负样本均衡,另外通过基于Attention机制的Bi-LSTM模型进行异常流量检测,可以凸显出流量数据序列的相互影响作用,从而提高系统对新攻击检测的能力。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
【附图说明】
图1是本申请一个实施例提供的网络异常流量检测方法的流程图;
图2是本申请一个实施例提供的异常流量生成模型的示意图;
图3是本申请一个实施例提供的自动编码器的示意图;
图4是本申请一个实施例提供的生成器的示意图;
图5是本申请一个实施例提供的判别器的示意图;
图6是本申请一个实施例提供的基于Attention机制的Bi-LSTM模型的示意图;
图7是本申请一个实施例提供的LSTM模型框架的示意图;
图8是本申请一个实施例提供的Attention模型的示意图;
图9是本申请一个实施例提供的网络异常流量检测装置的框图。
【具体实施方式】
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
由于网络环境越来越复杂,所以网络安全受到了越来越多的关注。为了防止系统被破坏或者数据被盗取,很多的网络系统都会使用异常检测系统来检测进入系统的流量中是否含有异常流量。异常检测系统辨别进入系统的流量是否正常,以达到过滤各种攻击的目的,防止影响后续系统的正常运行。但是,现在很多的异常检测系统基本上都是分为两种:基于规则和基于攻击特性,这两者都是利用已知的一些规则和攻击特征来设计检测方法来检测异常流量。
但是,这些方法大多是利用单个样本的数据特征进行特征提取与学习,而忽略了样本之间的关联关系。在实际的网络情况下,异常情况常会体现在多个流量样本的关联关系上,所以并不能忽略网络流量的时间序列特征。
为了进一步提高异常检测的准确率和减少误报率,考虑到网络流量的时序特征,一些异常流量检测系统开始尝试使用长短期记忆模型(Long Short-Term Memory,LSTM)来进行异常检测。使用LSTM模型虽然能解决序列之间关系的问题,但也存在一定的弊端:采用编码器-解码器结构的神经网络模型需要将输入序列中的必要信息表示为一个固定长度的向量,而当输入序列很长时则难以保留全部的必要信息。这样限制了模型的性能,尤其是当输入序列比较长时,模型的性能会变得很差,同时就会忽略输入数据的各项特征项对于模型检测结果的影响。而注意力(Attention)机制的基本方法就是打破在编解码时过于依赖于内部一个固定长度向量的限制,而是通过保留LSTM编码器对输入序列的中间输出结果,然后训练一个模型来对这些输入进行选择性的学习,并且在模型输出时将输出序列与之进行关联,所以Attention机制可以有效地解决LSTM的这一弊端。同时,Bi-LSTM模型是对LSTM模型处理序列关系的改进,通过双向的LSTM模型能够加强数据序列的关联关系对结果的影响。
从以上对于异常流量数据样本之间的关系以及LSTM存在弊端的分析,使用了一种优化的LSTM模型:将Attention机制引入模型中,使得LSTM模型更好的表达特征项对结果的影响;同时,将LSTM模型更换为Bi-LSTM模型,这样可以凸显出流量数据序列的相互影响作用。
下面对本申请提出的基于Attention机制的双向长短期记忆Bi-LSTM模型进行网络异常流量检测的方法进行介绍。
可选地,本申请以各个实施例的执行主体为具有计算能力的电子设备为例进行说明,该电子设备可以为终端或服务器,该终端可以为计算机、笔记本电脑、平板电脑等,本实施例不对终端的类型和电子设备的类型作限定。电子设备与多个边缘设备通信相连,从而可以与边缘设备之间进行通信,比如:为边缘设备分配学习任务,向边缘设备发送全局模型等。
图1是本申请一个实施例提供的网络异常流量检测方法的流程图。该方法至少包括以下几个步骤:
步骤101,获取网络流量数据。
网络流量数据是待进行网络异常流量检测的数据,该网络流量数据可以为电子设备实际运行时产生的数据。
步骤102,获取预先训练的异常流量检测模型,该异常流量检测模型基于Attention机制的Bi-LSTM模型建立,并使用训练数据集训练得到;该训练数据集包括正常流量样本和异常流量样本,该异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;该异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本。
本实施例中,异常流量生成模型通过对现有基于GAN的流量生成算法缺陷的分析,提出了一种新的GAN模型,AE-WGAN模型。该模型的目标是生成对抗样本,这些样本不仅具有攻击特性,而且可以逃避各种传统侵检测系统(intrusion detection system,IDS)的检测。
参考图2,异常流量生成模型包括三个部分,分别为:自动编码器(Auto encoder,AE)21、生成器22和判别器23。
自动编码器21的输入为标签为异常流量的异常数据,输出为与输入的数据相似的异常数据。自动编码器21利用模型对数据集中的正样本(异常流量)进行训练,生成具有相同攻击特征的新的正样本。
生成器22的输入为加入噪声后的异常数据,加入噪声后的异常数据包括自动编码器生成异常数据与噪声的结合、以及标签为异常流量的异常数据与噪声的结合;输出为与正常数据相似的异常数据。生成器22用于使用原始数据中的正样本和经过AE模型21生成的正样本的集合,利用生成器22生成越来越接近负样本(正常流量)的正样本。
判别器23的输入为正常数据和异常数据,输出为对正常数据和异常数据的判别结果;其中,异常数据包括标签为异常流量的异常数据和生成器生成的异常数据,判别结果用于对生成器22和判别器23进行更新。判别器23能够辨别原始的负样本和生成器生成的正样本。
异常流量生成模型的整体训练过程包括:将数据集中标签为异常流量的数据输入自动编码器21进行训练,输出为相似的异常数据,再将所有的异常数据加上随机生成的噪声作为生成器的输入,输出为经过生成器训练而生成的数据。生成器22输出的数据作为标签为“1”的异常数据和原数据集中标签为“0”的正常数据输入判别器23,判别器23将输入数据进行训练,输出判别器23对这些数据的判别结果,然后将损失分别返回给生成器22和判别器23,以分别更新两个模型。
下面将分三个部分详细介绍AE-WGAN模型。
利用自动编码器的生成功能,对数据集中的异常流量数据进行训练,利用这些数据生成相似的异常数据。自动编码器是一种自监督学习,AE-WGAN中的自动编码器结构如图3所示。自动编码器从前至后依次包括输入层、第一隐藏层、第二隐藏层、第三隐藏层和输出层;输入层、第一隐藏层和第二隐藏层构成编码器encoder;第三隐藏层和输出层构成解码器decoder。
自编码的输入为异常流量数据X={x1,x2,...,xn},其中,n表示异常数据中去除具有攻击特征的其他数据特征维度。
编码器用于通过全连接变换的方式将输入数据的维度压缩降低。编码器的编码过程为:
h1=f1θ(x)=max(0,W1x+b1);
h2=f2θ2(h1)=W2h1+b2
其中,h1表示第一隐藏层、h2表示第二隐藏层,其中,W1和b1表示第一隐藏层中需要训练的权重参数,W2和b2表示第二隐藏层中需要训练的权重参数。
自动编码器的输入层与第一隐藏层之间、第二隐藏层与第三隐藏层之间的激活函数为Relu函数,Relu函数使得自动编码器中一部分神经元的输出为0,可以减少参数之间的依赖,缓解了过拟合的发生,而且可以提高收敛速度。Relu函数通过下式表示:
yrelu=max(0,x);
其中,x为Relu函数的输入。
解码器的解码过程与编码器的编码过程相反,解码过程通过下式表示:
h3=f3θ3(h2)=max(0,W3h2+b3)
Figure GDA0003814131760000091
其中,h3表示第三隐藏层、y表示输出层,其中,W3和b3表示第三隐藏层中需要训练的权重参数,W4和b4表示输出层中需要训练的权重参数。
解码器用于输出与输入数据的维度相同的异常数据;在解码过程中,第三隐藏层和输出层之间的激活函数为Sigmoid函数,Sigmoid函数用于将输入的连续实值变换为0至1之间的数值。在解码过程中隐藏层h1和h2,h2和h3之间的激活函数还是使用Relu函数。Sigmoid函数通过下式表示:
Figure GDA0003814131760000092
其中,x为Sigmoid函数的输入。
自动编码器在训练时利用自动编码器的输出数据和输入数据进行损失的计算。使用的损失函数为均方误差(Mean-Square Error,MSE),MSE为预测值与目标值之间差值的平方和的均值,MSE通过下式表示:
Figure GDA0003814131760000093
其中,自动编码器的输出Y={y1,y2,...,yn}是与原有异常流量P={p1,p2,...,pn}相似的异常数据,n与输入的维度相同。
生成器的作用是生成迷惑判别器的异常数据,通过不断更新生成器,使其能生成与正常流量相似的数据。
参考图4,生成器包括三个全连接层Fully Connection,不同全连接层之间使用Leaky Relu的激活函数。选择Leaky Relu函数可以解决Relu函数存在的Dead Relu问题,即:某些神经元可能永远不会被激活,导致相应的参数永远不能被更新。为此,Leaky Relu函数将Relu函数的前半段设置成了αx而不是0,所以Leaky Relu激活函数的公式如下:
Leaky Relu的激活函数通过下式表示:
y=max(αx,x);
其中,α设置为固定常数,x为Leaky Relu的激活函数的输入。
生成器中最后一个全连接层的输出使用Tanh函数激活,以使输出数据的范围为从-1至1。Tanh函数通过下式表示:
Figure GDA0003814131760000101
其中,x为Tanh函数的输入。
生成器的输入是X∈A'∪B':A是原始数据集中的异常数据,B是自动编码器生成的异常数据,然后,在A和B分别添加了随机生成的噪声成为A'和B',输入X为A'和B'的并集。生成器的输出则为与正常流量相似的异常流量。
生成器在训练时使用的损失函数为交叉熵BCE Loss函数,BCE Loss函数通过下式表示:
L(G)=-[ylogx+(1-y)log(1-x)]
其中,x表示生成器的输入数据,y表示生成器的预测值。
判别器的作用是判别输入的网络流量是真实流量还是生成器生成的流量,将判别结果输出,判别为真实数据的输出接近“0”,欺骗性的数据接近“1”,最后要使得判别器难以判别输入流量数据的真假,即输出结果接近“0.5”。判别器的输入为T∈C∪D,其中C表示真实正常数据的集合,D表示生成器生成的具有欺骗性的数据的集合。
参考图5,判别器包括三个全连接层Fully Connection,不同全连接层之间使用Leaky Relu的激活函数,且Leaky Relu函数之后还添加有Dropout网络,Dropout网络用于通过忽略一部分的特征使两个神经元不必每次都在同一个Dropout网络中出现,从而减少了出现过拟合的情况。最后一个全连接层的输出使用Sigmoid函数激活。
判别器在训练时使用的损失函数为改进后的BCELoss函数,改进后的BCELoss函数在GAN模型原有的损失函数的基础上增加了梯度范数,使其在计算损失的过程中减少模型建模能力弱化和梯度爆炸或消失的情况。改进后的BCELoss函数通过下式表示:
Figure GDA0003814131760000111
Figure GDA0003814131760000112
其中,ε∈[0,1]且为常数,D(x)表示判别器对真实的样本进行判别,z表示随机的输入,G(z)表示生成器生成的样本,λ为预设常数。
通过上述内容训练得到异常流量生成模型后,可以生成正负样本均衡的训练数据集,并使用该训练数据集训练得到异常流量检测模型。
本实施例中,为了提高异常检测的准确率,提出将基于Attention机制的Bi-LSTM方法运用在网络异常流量检测领域。Bi-LSTM模型的基本思想是将每个训练序列发送到前向和后向序列的LSTM网络中,这两个网络都连接到同一个输出层,这样输出层可以保存每个序列前后向的不同信息。这就意味着对于给定的序列中的每一个点,网络模型在其前后的所有点上都有完整的、有序的信息,即表示对于每条网络流量数据都与前后的流量数据相关联,同时前后流量数据都有该条数据的完整信息。所以,Bi-LSTM模型比LSTM模型更加能够保存和运用每条数据的信息,同时更能体现每条网络流量数据在序列顺序对检测结果的影响。
Attention机制的实现是通过保留LSTM编码器对输入序列的中间输出结果,然后训练一个模型来对这些输入进行选择性的学习并且在模型输出时将输出序列与之进行关联。根据Soft Attention模型对所有分量进行加权并且可以进行权重更新,选择该模型作为Attention方法的模型。
参考图6,异常流量检测模型从前至后依次包括:输入层Input Layer、Bi-LSTM层、Attention层和输出层Output Layer;Bi-LSTM层包括前向LSTM模型和后向LSTM模型。
输入层将输入的数据分别输入前向LSTM模型和后向LSTM模型。比如:模型的输入为经过预处理的异常流量数据X={x1,x2,...,xT},其中xi表示第i条异常流量数据,T表示输入数据的数量。
Bi-LSTM层:输入X分别进入前向LSTM模型和后向LSTM模型,LSTM的模型结构如图7所示,LSTM模型结构与RNN的相似,每个序列索引位置t都有一个隐藏状态ht,隐藏状态ht由Xt和ht-1得到。得到ht后一方面用于当前层的模型损失计算,另一方面用于计算下一层的ht+1。每个输入xi∈X同时进入在前向LSTM模型和后向LSTM模型,两个模型分别输出
Figure GDA0003814131760000121
Figure GDA0003814131760000122
最后将
Figure GDA0003814131760000123
作为Bi-LSTM层对于每个输入xi的输出结果。前向LSTM模型和后向LSTM模型分别对输入层输入的数据进行计算,得到输出结果;并将输出结果输出至Attention层。
Attention层用于对Bi-LSTM层输出的所有分量进行加权,并进行权重更新,得到输出结果;并将输出结果经过输出层处理后,得到检测结果。具体地,Attention层将Bi-LSTM层的输出向量H=[h1,h2,...,hT]作为本层的输入,再运用Attention机制的方法进行计算,Attention层的结构参考图8,Attention层的计算过程通过下式表示:
M=WTtanh(H)
α=softmax(M)
y=HαT
其中,W表示Attention层的权重参数,y表示Attention层的输出。
步骤103,将网络流量数据输入异常流量检测模型中,得到检测结果,检测结果用于指示网络流量数据是否存在异常。
综上所述,本实施例提供的网络异常流量检测方法,通过获取网络流量数据;获取预先训练的异常流量检测模型,异常流量检测模型基于注意力Attention机制的双向长短期记忆Bi-LSTM模型建立,并使用训练数据集训练得到;训练数据集包括正常流量样本和异常流量样本,异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;将网络流量数据输入异常流量检测模型中,得到检测结果,检测结果用于指示网络流量数据是否存在异常;可以解决模型训练过程中存在的正负样本数据不平衡问题、且异常检测系统对新攻击检测能力较弱的问题;通过使用异常流量生成模型可以生成新的异常流量样本,从而使得正负样本均衡,另外通过基于Attention机制的Bi-LSTM模型进行异常流量检测,可以凸显出流量数据序列的相互影响作用,从而提高系统对新攻击检测的能力。
图9是本申请一个实施例提供的网络异常流量检测装置的框图。该装置至少包括以下几个模块:数据获取模块910、模型获取模块920和异常检测模块930。
数据获取模块910,用于获取网络流量数据;
模型获取模块920,用于获取预先训练的异常流量检测模型,所述异常流量检测模型基于注意力Attention机制的双向长短期记忆Bi-LSTM模型建立,并使用训练数据集训练得到;所述训练数据集包括正常流量样本和异常流量样本,所述异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;所述异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;
异常检测模块930,用于将所述网络流量数据输入所述异常流量检测模型中,得到检测结果,所述检测结果用于指示所述网络流量数据是否存在异常。
相关细节参考上述方法实施例。
需要说明的是:上述实施例中提供的网络异常流量检测装置在进行网络异常流量检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将网络异常流量检测装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络异常流量检测装置与网络异常流量检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
可选地,本申请还提供有一种计算机可读存储介质,所述计算机可读存储介质中存储有程序,所述程序由处理器加载并执行以实现上述方法实施例的网络异常流量检测方法。
可选地,本申请还提供有一种计算机产品,该计算机产品包括计算机可读存储介质,所述计算机可读存储介质中存储有程序,所述程序由处理器加载并执行以实现上述方法实施例的网络异常流量检测方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
上述仅为本申请的一个具体实施方式,其它基于本申请构思的前提下做出的任何改进都视为本申请的保护范围。

Claims (10)

1.一种网络异常流量检测方法,其特征在于,所述方法包括:
获取网络流量数据;
获取预先训练的异常流量检测模型,所述异常流量检测模型基于注意力Attention机制的双向长短期记忆Bi-LSTM模型建立,并使用训练数据集训练得到;所述训练数据集包括正常流量样本和异常流量样本,所述异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;所述异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;
将所述网络流量数据输入所述异常流量检测模型中,得到检测结果,所述检测结果用于指示所述网络流量数据是否存在异常。
2.根据权利要求1所述的方法,其特征在于,所述异常流量检测模型从前至后依次包括:输入层、Bi-LSTM层、Attention层和输出层;所述Bi-LSTM层包括前向LSTM模型和后向LSTM模型;
所述输入层将输入的数据分别输入所述前向LSTM模型和所述后向LSTM模型;
所述前向LSTM模型和所述后向LSTM模型分别对输入层输入的数据进行计算,得到输出结果;并将所述输出结果输出至所述Attention层;
所述Attention层用于对所述Bi-LSTM层输出的所有分量进行加权,并进行权重更新,得到输出结果;并将所述输出结果经过所述输出层处理后,得到所述检测结果。
3.根据权利要求1所述的方法,其特征在于,所述异常流量生成模型包括:自动编码器、生成器和判别器;
所述自动编码器的输入为标签为异常流量的异常数据,输出为与输入的数据相似的异常数据;
所述生成器的输入为加入噪声后的异常数据,所述加入噪声后的异常数据包括所述自动编码器生成异常数据与噪声的结合、以及所述标签为异常流量的异常数据与噪声的结合;输出为与正常数据相似的异常数据;
所述判别器的输入为正常数据和异常数据,输出为对正常数据和异常数据的判别结果;其中,异常数据包括标签为异常流量的异常数据和所述生成器生成的异常数据,所述判别结果用于对所述生成器和所述判别器进行更新。
4.根据权利要求3所述的方法,其特征在于,所述自动编码器从前至后依次包括输入层、第一隐藏层、第二隐藏层、第三隐藏层和输出层;所述输入层、所述第一隐藏层和所述第二隐藏层构成编码器;所述第三隐藏层和所述输出层构成解码器;
所述编码器用于通过全连接变换的方式将输入数据的维度压缩降低,所述输入层与所述第一隐藏层之间、所述第二隐藏层与所述第三隐藏层之间的激活函数为Relu函数,所述Relu函数使得所述自动编码器中一部分神经元的输出为0;所述Relu函数通过下式表示:
yrelu=max(0,x);
其中,所述x为所述Relu函数的输入;
所述解码器的解码过程与所述编码器的编码过程相反,用于输出与所述输入数据的维度相同的异常数据;在解码过程中,所述第三隐藏层和所述输出层之间的激活函数为Sigmoid函数,所述Sigmoid函数用于将输入的连续实值变换为0至1之间的数值;所述Sigmoid函数通过下式表示:
Figure FDA0003814131750000021
其中,所述x为所述Sigmoid函数的输入。
5.根据权利要求3所述的方法,其特征在于,所述自动编码器在训练时使用的损失函数为均方误差MSE,所述MSE为预测值与目标值之间差值的平方和的均值,所述MSE通过下式表示:
Figure FDA0003814131750000022
其中,自动编码器的输出Y={y1,y2,...,yn}是与原有异常流量P={p1,p2,...,pn}相似的异常数据,n与输入的维度相同。
6.根据权利要求3所述的方法,其特征在于,所述生成器包括三个全连接层,不同全连接层之间使用Leaky Relu的激活函数;最后一个全连接层的输出使用Tanh函数激活,以使输出数据的范围为从-1至1;
所述Leaky Relu的激活函数通过下式表示:
y=max(αx,x);
其中,α设置为固定常数,x为Leaky Relu的激活函数的输入;
所述Tanh函数通过下式表示:
Figure FDA0003814131750000031
其中,x为Tanh函数的输入。
7.根据权利要求3所述的方法,其特征在于,所述生成器在训练时使用的损失函数为交叉熵BCE Loss函数,所述交叉熵BCE Loss函数通过下式表示:
L(G)=-[ylogx+(1-y)log(1-x)]
其中,x表示所述生成器的输入数据,y表示所述生成器的预测值。
8.根据权利要求3所述的方法,其特征在于,所述判别器包括三个全连接层,不同全连接层之间使用Leaky Relu的激活函数,且Leaky Relu函数之后还添加有Dropout网络,所述Dropout网络用于通过忽略一部分的特征使两个神经元不必每次都在同一个Dropout网络中出现;最后一个全连接层的输出使用Sigmoid函数激活。
9.根据权利要求3所述的方法,其特征在于,所述判别器在训练时使用的损失函数为改进后的BCELoss函数,所述改进后的BCELoss函数在GAN模型原有的损失函数的基础上增加了梯度范数,所述改进后的BCELoss函数通过下式表示:
Figure FDA0003814131750000041
Figure FDA0003814131750000042
其中,ε∈[0,1]且为常数,D(x)表示所述判别器对真实的样本进行判别,z表示随机的输入,G(z)表示所述生成器生成的样本,λ为预设常数。
10.一种网络异常流量检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取网络流量数据;
模型获取模块,用于获取预先训练的异常流量检测模型,所述异常流量检测模型基于注意力Attention机制的双向长短期记忆Bi-LSTM模型建立,并使用训练数据集训练得到;所述训练数据集包括正常流量样本和异常流量样本,所述异常流量样本包括使用预先训练的异常流量生成模型生成得到的样本数据;所述异常流量生成模型用于根据已有的异常流量样本生成新的异常流量样本;
异常检测模块,用于将所述网络流量数据输入所述异常流量检测模型中,得到检测结果,所述检测结果用于指示所述网络流量数据是否存在异常。
CN202110586533.2A 2021-05-27 2021-05-27 网络异常流量检测方法及装置 Active CN113242259B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110586533.2A CN113242259B (zh) 2021-05-27 2021-05-27 网络异常流量检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110586533.2A CN113242259B (zh) 2021-05-27 2021-05-27 网络异常流量检测方法及装置

Publications (2)

Publication Number Publication Date
CN113242259A CN113242259A (zh) 2021-08-10
CN113242259B true CN113242259B (zh) 2023-01-31

Family

ID=77139218

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110586533.2A Active CN113242259B (zh) 2021-05-27 2021-05-27 网络异常流量检测方法及装置

Country Status (1)

Country Link
CN (1) CN113242259B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114283306A (zh) * 2021-12-23 2022-04-05 福州大学 一种工业控制网络异常检测方法及系统
CN114338165A (zh) * 2021-12-29 2022-04-12 北京工业大学 基于伪孪生堆栈自编码器的网络入侵检测方法
CN114581148A (zh) * 2022-03-10 2022-06-03 北京明略软件系统有限公司 用于检测广告流量的方法及装置、电子设备、存储介质
CN114925808B (zh) * 2022-04-15 2023-10-10 北京理工大学 一种基于云网端资源中不完整时间序列的异常检测方法
CN114866297B (zh) * 2022-04-20 2023-11-24 中国科学院信息工程研究所 网络数据检测方法、装置、电子设备及存储介质
CN115277098B (zh) * 2022-06-27 2023-07-18 深圳铸泰科技有限公司 一种基于智能学习的网络流量异常检测装置及方法
CN115208645B (zh) * 2022-07-01 2023-10-03 西安电子科技大学 基于改进gan的入侵检测数据重构方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109714322B (zh) * 2018-12-14 2020-04-24 中国科学院声学研究所 一种检测网络异常流量的方法及其系统
CN111031051B (zh) * 2019-12-17 2021-03-16 清华大学 一种网络流量异常检测方法及装置、介质
CN111404911B (zh) * 2020-03-11 2022-10-14 国网新疆电力有限公司电力科学研究院 一种网络攻击检测方法、装置及电子设备
CN111585997B (zh) * 2020-04-27 2022-01-14 国家计算机网络与信息安全管理中心 一种基于少量标注数据的网络流量异常检测方法
CN112100614A (zh) * 2020-09-11 2020-12-18 南京邮电大学 一种基于cnn_lstm的网络流量异常检测方法

Also Published As

Publication number Publication date
CN113242259A (zh) 2021-08-10

Similar Documents

Publication Publication Date Title
CN113242259B (zh) 网络异常流量检测方法及装置
CN109698836B (zh) 一种基于深度学习的无线局域网入侵检测方法和系统
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN111753881B (zh) 一种基于概念敏感性量化识别对抗攻击的防御方法
CN112087442B (zh) 基于注意力机制的时序相关网络入侵检测方法
CN108958217A (zh) 一种基于深度学习的can总线报文异常检测方法
CN111881722B (zh) 一种跨年龄人脸识别方法、系统、装置及存储介质
CN111652290A (zh) 一种对抗样本的检测方法及装置
CN113595998A (zh) 基于Bi-LSTM的电网信息系统漏洞攻击检测方法及装置
CN114239725A (zh) 一种面向数据投毒攻击的窃电检测方法
Ding et al. Efficient BiSRU combined with feature dimensionality reduction for abnormal traffic detection
CN114399029A (zh) 一种基于gan样本增强的恶意流量检测方法
Huang Network intrusion detection based on an improved long-short-term memory model in combination with multiple spatiotemporal structures
CN113688387A (zh) 基于服务器和客户端双重检测的联邦学习中毒攻击的防御方法
CN110830489A (zh) 基于内容抽象表示的对抗式欺诈网站检测方法及系统
CN114495950A (zh) 一种基于深度残差收缩网络的语音欺骗检测方法
CN111431937A (zh) 工业网络异常流量的检测方法及系统
CN113343123A (zh) 一种生成对抗多关系图网络的训练方法和检测方法
CN114915496B (zh) 基于时间权重和深度神经网络的网络入侵检测方法和装置
CN115865459B (zh) 一种基于二次特征提取的网络流量异常检测方法及系统
CN115664804B (zh) 一种基于径向基函数神经网络的LDoS攻击检测方法
Ding et al. In-vehicle network intrusion detection system based on Bi-LSTM
Luo et al. Focal loss based two-stage training for class imbalance network intrusion detection
CN115936961A (zh) 基于少样本对比学习网络的隐写分析方法、设备及介质
CN115331135A (zh) 基于多域特征区域标准分数差异的Deepfake视频检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant