CN113794695A - 一种基于gru的网络异常流量检测识别方法 - Google Patents

Abstract

本发明公开了一种基于GRU的网络异常流量检测识别方法，初始化软件定义网络，初始化节点控制器上的网络模型和原始流量矩阵，建立拓扑邻接矩阵，提取空间特征，提取时序相关性特征，得到分类结果，并评估定义安全情况，将时空数据上传至全局控制器，全局控制器反向传播更新原始流量矩阵。本发明能呈现更加完整的网络变化，避免变化趋势的不确定，可以保证了整体网络的鲁棒性和时序数据的可用性。

Description

一种基于GRU的网络异常流量检测识别方法

技术领域

本发明涉及软件定义网络、深度学习、流量检测领域，具体涉及一种基于GRU的网络异常流量检测识别技术。

背景技术

现如今，基于软件定义网络的网络模型在学术界和工业界都受到很大的关注。由于软件定义网络相比于传统网络，具有更加松耦合的控制平面和数据平面网络架构，软件定义网络为研发网络新应用和处理网络安全问题都提供了新的解决方案。然而，对于软件定义网络中存在的异常流量检测工作是一项艰巨的挑战。出于网络流量成分复杂性和单一流量跟踪统计成本考虑，软件定义网络流量以流量矩阵为对象进行的，流量矩阵的鲁棒性直接影响认知路由的安全性。

为了解决软件定义网络异常流量问题，有很多现有的技术被提出用以解决网络异常流量问题。这些技术主要分为三大类，基于概率统计的异常流量识别，基于机器学习的异常流量识别以及基于深度学习的异常流量识别。基于概率统计的异常流量识别主要有参数统计、信息熵计算和标签统计，这种方法通常有理论保障，然而对先验知识的正确性依赖性大，识别模型不具备学习性，可识别的异常流量种类较少，功能性较低。基于机器学习的异常流量识别如支持向量机，通常不能给出关于检测到的攻击类型的附加信息，并且往往要求检测设备具有较高的计算资源要求大，在软件定义网络场景中计算资源较低的基础设施层很难实施这种异常流量识别方式。

图卷积网络模型是基于深度学习的图结构处理的新兴技术。其在训练过程中利用谱分解的思路将卷积运算从传统数据推广到图数据，这有效的捕捉复杂的流量数据特征。

然而，基于图卷积网络的模型自始至终都只是考虑空间特征而忽略了时序特征，大多数基于全连接神经网络不足以处理网络生成的原始状态流量数据。并且，可以发现，网络异常流量攻击、状态随着时间渐近变化，不同阶段之间存在逻辑关联。因此，很有必要研究一种保证图卷积网络时空数据特征完整性的方法。

发明内容

鉴于图卷积网络在流量异常检测中存在的数据特征不完整问题，本发明提供了一种基于GRU的网络异常流量检测识别技术，通过为软件定义网络各控制器在建立流量情景数据之间的时间相关性，可以有效的检测流量的波动，从而起到预判异常流量识别的作用。

为实现上述发明目的，本发明提供的技术方案为：一种基于GRU的网络异常流量检测识别方法，具体包括以下步骤：

(1)初始化软件定义网络中节点控制器上的图卷积网络GCN模型和门控制循环单元GRU，节点控制器i采集原始流量数据，加载原始流量矩阵至本地基础设备，利用本地路由网络配置交换设备转发规则；所述路由网络可以由一组链接表示：N＝{l_i}，i∈(0，1，..，n_l)；

(2)建立拓扑邻接矩阵，并利用该拓扑邻接矩阵提取选定图卷积滤波器T(x)，通过图卷积滤波器T(x)提取空间特征；

(3)将步骤(1)采集的原始流量数据输入门控制循环单元GRU，提取时序相关性特征，得到分类结果，并评估定义安全情况；

(4)将步骤(2)输出的空间特征和步骤(3)输出的网络安全情况上传全局控制器，反向传播更新转发规则，更新原始流量矩阵。

进一步地，所述步骤(2)包括以下子步骤：

(2.1)建立拓扑邻接矩阵：各节点下的联网设备通信，将链路信息返回给节点控制器，节点控制器生成拓扑邻接矩阵，节点控制器针对该拓扑邻接矩阵选定图卷积滤波器T(x)；

(2.2)利用步骤(2.1)选定的图卷积滤波器T(x)获得空间特征：图卷积网络GCN网络利用图卷积滤波器T(x)在联网设备及其一阶邻域的拓扑邻接矩阵A上提取联网设备间的空间特征X^m+1，即获取中心节点和它周围节点的隐藏关系。

进一步地，所述步骤(3)包括以下子步骤：

(3.1)输入步骤(1)采集的原始流量数据，利用门控制循环单元GRU的隐藏层进行特征传递：

将步骤(1)采集的当前时刻的原始流量数据、上一时刻的流量信息、时刻t′的隐藏状态输入门控制循环单元GRU，获取时刻t′+1的流量状态；在捕获当前时刻的原始流量数据时，门控制循环单元GRU仍保留着历史信息，让信息选择性地在隐藏层传递；

采用下述公式，更新门u_t和重置门r_t：

u_t＝σ(W_u[f(A，X_t)，h_t-1]+b_u)

r_t＝σ(W_u[f(A，X_t)，h_t-1]+b_r)

其中，f(A，X_t)表示图卷积过程，h_t-1为隐藏层上一刻状态，W_u和b_u、b_r表示GRU的可训练参数。

采用下述公式，更新门u_t和重置门r_t共同决定隐藏层状态h_t的更新和重置；所述隐藏层状态h_t即为时序相关性特征：

h_t＝u_t*h_t-1+(1-u_t)*c_t

其中c_t为时间步t的候选隐层状态：

c_t＝tanh(W_u[f(A，X_t)，r_t*h_t-1]+b_c)

其中，W_u和b_c表示GRU的可训练参数；

(3.2)评估情景态势并量化安全态势：将步骤(1)采集的原始流量数据和上一时刻的流量信息输入门控制循环单元GRU，输出分类结果；所述分类结果再经过入门控制循环单元GRU中的全连接层量化为安全态势值；

(3.3)利用滑动时间窗口机制，记录当前Δt时间内，网络流量时序态势特征X_Δt，即滑动时间窗口显示单位时间内流量从旧值滑动到新值。为不同网络流量时序态势特征X_Δt的连接，根据时序态势特征X_Δt的变化定义了情况值，并使用滑动时间窗口来呈现当前的网络安全情况。

进一步地，所述步骤(4)具体包括以下子步骤：

(4.1)全局控制器聚合特征数据：全局控制器利用拼接或者平均的方式来聚合各个节点控制器上传的嵌入特征向量X；所述嵌入特征向量X为步骤(2)输出的空间特征和步骤(3)输出的网络安全情况的聚合结果；

(4.2)全局控制器训练图卷积网络GCN网络：输入步骤(4.1)聚合完成的嵌入特征向量X作为图卷积网络GCN网络的输入，在全局控制器下的图卷积网络GCN网络进行前向传播，通过计算损失函数反向传播更新全局控制器模型参数，更新转发规则以及节点控制器路由网络的流量分布。

与现有技术相比，本发明具有的有益效果为：1)节点控制器的邻接矩阵提取的特征信息和滑动窗口的态势值，能够捕捉复杂的流量数据特征，因此可以呈现更加完整的网络变化，避免变化趋势的不确定。2)节点控制器子网络的流量矩阵由全局控制器分配，网络节点流量自适应动态更新，即使存在恶意攻击者窃取利用GRU技术干扰节点流量数据，全局控制器对异常流量节点采用限流降级策略，级联节点控制器，预防干扰攻击，因此保证了整体网络的鲁棒性。3)时序流量相关数据包含静态和动态信息和原始流量数据具有相关的特征空间分布。因此保证了时序数据的可用性。4)本发明提供的基于GRU的网络异常流量检测识别技术，通过对原始流量建立流量情景数据之间的时间相关性，同时又保证流量预测的准确性。5)本发明利用GRU技术可以保证网络流量的静态信息相关性，通过建立的情景相关数据关性可以预测一下时刻的流量数据，流量时序相关性能够有效的检测流量的波动，考虑网络流量的动态变化信息，从而起到预判异常流量识别的作用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是本发明实施例提供的基于GRU的网络异常流量检测识别方法的示意图；

图2是本发明实施例提供的基于GRU的网络异常流量检测识别方法的安全态势理解与评估的流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

鉴于图卷积网络在流量异常检测中存在的数据特征不完整问题，本发明提出了一种基于GRU的网络异常流量检测识别技术示意图。图1本发明实施例提供的基于GRU的网络异常流量检测识别方法的示意图。如图1所示，本发明方法具体包括以下步骤：

(1)初始化软件定义网络，所述软件定义网络包括应用层、控制层、基础设备层；所述控制层包括i个节点控制器和全局控制器网络；所述应用层为软件定义网络的数据中心，协同控制i个节点控制器，并监控全局控制器网络；所述基础设备层为节点控制器下的若干联网设备，包括基础设备和路由器。具体包括以下子步骤：

(1.1)初始化节点控制器上的网络模型：初始化节点控制器的图卷积网络GCN训练轮数R和门控制循环单元(GRU)的训练轮次T，初始化全局控制器的网络拓扑结构G及其初始化参数，节点控制器上传嵌入向量维度N、模型学习率r、滑动时间窗口w、拓扑邻接矩阵A，并初始化当前训练轮次t＝0。

(1.2)初始化原始流量矩阵：各个节点控制器i采集原始流量数据，加载原始流量矩阵(TM)至本地基础设备，利用本地路由网络配置交换设备下转发规则；所述路由网络可以由一组链接表示：N＝{l_i}，i∈(0，1，..，n_l)。

(2)建立拓扑邻接矩阵，并利用该拓扑邻接矩阵提取选定图卷积滤波器T(x)，通过图卷积滤波器T(x)提取空间特征，具体包括以下子步骤：

(2.1)建立拓扑邻接矩阵：各节点下的联网设备通信，将链路信息返回给节点控制器，节点控制器生成拓扑邻接矩阵，节点控制器针对该拓扑邻接矩阵选定图卷积滤波器T(x)，以避免图卷积网络GCN网络模型过拟合，降低时间复杂度。

(2.2)利用步骤(2.1)选定的图卷积滤波器T(x)获得空间特征：

图卷积网络GCN网络利用图卷积滤波器T(x)在联网设备及其一阶邻域的拓扑邻接矩阵A上提取联网设备间的空间特征X^mm+1，即获取中心节点和它周围节点的隐藏关系。

所述图卷积网络GCN网络的数学表示为：

其中，

是拓扑邻接矩阵

的度矩阵，X^(m)为图卷积网络GCN网络的输入矩阵，W^(m)表示神经网络中的可训练参数。

(3)如图2所示，将步骤(1)采集的原始流量数据输入门控制循环单元(GRU)，提取时序相关性特征，得到分类结果，并评估定义安全情况，具体包括以下子步骤：

(3.1)输入步骤(1)采集的原始流量数据，利用门控制循环单元(GRU)的隐藏层进行特征传递：

将步骤(1)采集的当前时刻的原始流量数据和上一时刻t′的隐藏状态h_t′输入门控制循环单元(GRU)，获取时刻t′+1的流量状态。在捕获当前时刻的原始流量数据时，门控制循环单元GRU仍保留着历史信息，让信息选择性地在隐藏层传递。

实施例中，采用下述公式，更新门u_t和重置门r_t：

u_t＝σ(W_u[f(A，X_t)，h_t-1]+b_u)

r_t＝σ(W_u[f(A，X_t)，h_t-1]+b_r)

其中，f(A，X_t)表示图卷积过程，h_t-1为隐藏层上一刻状态，W_u和b_u、b_r表示GRU的可训练参数。

实施例中，采用下述公式，更新门u_t和重置门r_t共同决定隐藏层状态h_t的更新和重置。所述隐藏层状态h_t即为时序相关性特征。

h_t＝u_t*h_t-1+(1-u_t)*c_t

其中c_t为时间步t的候选隐层状态：

c_t＝tanh(W_u[f(A，X_t)，r_t*h_t-1]+b_c)

其中，W_u和b_c表示GRU的可训练参数。

(3.2)评估情景态势并量化安全态势：

为了实现对网络安全态势的理解和评估，需要定义量化的态势值来描述安全态势的变化趋势。将步骤(1)采集的当前时刻原始流量数据和上一时刻的流量信息输入门控制循环单元GRU，输出分类结果；所述分类结果再经过入门控制循环单元GRU中的全连接层量化为安全态势值。

(3.3)用滑动时间窗口机制定义评估网络安全情况：

利用滑动时间窗口机制，记录网络流量时序态势特征X_Δt，所述网络时序态势特征X_Δt为：当前Δt时间内，安全态势值的变化，，即滑动时间窗口显示单位时间内流量从旧值滑动到新值。为不同网络流量时序态势特征X_Δt的连接，根据时序态势特征X_Δt的变化定义了情况值，并使用滑动时间窗口来呈现当前的网络安全情况。

(4)将步骤(2)输出的空间特征和步骤(3)输出的网络安全情况上传全局控制器，具体包括以下子步骤：

(4.1)全局控制器聚合特征数据：全局控制器利用拼接或者平均的方式来聚合各个节点控制器上传的嵌入特征向量X；所述嵌入特征向量X为步骤(2)输出的空间特征和步骤(3)输出的网络安全情况的聚合。

(4.2)全局控制器训练图卷积网络GCN网络：

输入步骤(4.1)聚合完成的嵌入特征向量X作为图卷积网络GCN网络的输入数据，在全局控制器下的图卷积网络GCN网络进行前向传播，后续通过计算损失函数反向传播更新全局控制器模型参数以及节点控制器下路由网络的转发规则向量，调整路由网络的流量分布。为了防止训练过程过拟合，可引入正则化范数。例如使用L2范数构建损失函数Loss，其中λ为超参数。

其中，Y_t和

来表示流量真实值和流量的预测值。

实施例中，采用平均绝对误差作为衡量GRU在异常流量预测识别方面的优势。

综上所述，本发明能够捕捉复杂的流量数据特征，可以呈现更加完整的网络变化，避免变化趋势的不确定。本发明中的节点控制器子网络的流量矩阵由全局控制器分配，网络节点流量自适应动态更新，即使存在恶意攻击者窃取利用GRU技术干扰节点流量数据，全局控制器对异常流量节点采用限流降级策略，级联节点控制器，预防干扰攻击，能够保证整体网络的鲁棒性。本发明提供的基于GRU的网络异常流量检测识别技术，通过对原始流量建立流量情景数据之间的时间相关性，同时又保证了流量预测的准确性。本发明利用GRU技术保证网络流量的静态信息相关性，通过建立的情景相关数据关性可以预测一下时刻的流量数据，流量时序相关性能够有效的检测流量的波动，考虑网络流量的动态变化信息，从而起到预判异常流量识别的作用。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于GRU的网络异常流量检测识别方法，其特征在于，具体包括以下步骤：

(1)初始化软件定义网络中节点控制器上的图卷积网络GCN模型和门控制循环单元GRU，节点控制器i采集原始流量数据，加载原始流量矩阵至本地基础设备，利用本地路由网络配置交换设备转发规则；所述路由网络可以由一组链接表示：N＝{l_i}，i∈(0，1，..，n_l)；

(2)建立拓扑邻接矩阵，并利用该拓扑邻接矩阵提取选定图卷积滤波器T(x)，通过图卷积滤波器T(x)提取空间特征；

(3)将步骤(1)采集的原始流量数据输入门控制循环单元GRU，提取时序相关性特征，得到分类结果，并评估定义安全情况；

(4)将步骤(2)输出的空间特征和步骤(3)输出的网络安全情况上传全局控制器，反向传播更新转发规则，更新原始流量矩阵。

2.根据权利要求1所述的基于GRU的网络异常流量检测识别方法，其特征在于，所述步骤(2)包括以下子步骤：

(2.1)建立拓扑邻接矩阵：各节点下的联网设备通信，将链路信息返回给节点控制器，节点控制器生成拓扑邻接矩阵，节点控制器针对该拓扑邻接矩阵选定图卷积滤波器T(x)；

(2.2)利用步骤(2.1)选定的图卷积滤波器T(x)获得空间特征：图卷积网络GCN网络利用图卷积滤波器T(x)在联网设备及其一阶邻域的拓扑邻接矩阵A上提取联网设备间的空间特征X^m+1，即获取中心节点和它周围节点的隐藏关系。

3.根据权利要求1所述的基于GRU的网络异常流量检测识别方法，其特征在于，所述步骤(3)包括以下子步骤：

(3.1)输入步骤(1)采集的原始流量数据，利用门控制循环单元GRU的隐藏层进行特征传递：

将步骤(1)采集的当前时刻的原始流量数据、上一时刻的流量信息、时刻t′的隐藏状态输入门控制循环单元GRU，获取时刻t′+1的流量状态；在捕获当前时刻的原始流量数据时，门控制循环单元GRU仍保留着历史信息，让信息选择性地在隐藏层传递；

采用下述公式，更新门u_t和重置门r_t：

u_t＝σ(W_u[f(A，X_t)，h_t-1]+b_u)

r_t＝σ(W_u[f(A，X_t)，h_t-1]+b_r)

其中，f(A，X_t)表示图卷积过程，h_t-1为隐藏层上一刻状态，W_u和b_u、b_r表示GRU的可训练参数。

采用下述公式，更新门u_t和重置门r_t共同决定隐藏层状态h_t的更新和重置；所述隐藏层状态h_t即为时序相关性特征：

h_t＝u_t*h_t-1+(1-u_t)*c_t

其中c_t为时间步t的候选隐层状态：

c_t＝tanh(W_u[f(A，X_t)，r_t*h_t-1]+b_c)

其中，W_u和b_c表示GRU的可训练参数；

(3.2)评估情景态势并量化安全态势：将步骤(1)采集的原始流量数据和上一时刻的流量信息输入门控制循环单元GRU，输出分类结果；所述分类结果再经过入门控制循环单元GRU中的全连接层量化为安全态势值；

(3.3)利用滑动时间窗口机制，记录当前Δt时间内，网络流量时序态势特征X_Δt，即滑动时间窗口显示单位时间内流量从旧值滑动到新值。为不同网络流量时序态势特征X_Δt的连接，根据时序态势特征X_Δt的变化定义了情况值，并使用滑动时间窗口来呈现当前的网络安全情况。

4.根据权利要求1所述的基于GRU的网络异常流量检测识别方法，其特征在于，所述步骤(4)具体包括以下子步骤：

(4.1)全局控制器聚合特征数据：全局控制器利用拼接或者平均的方式来聚合各个节点控制器上传的嵌入特征向量X；所述嵌入特征向量X为步骤(2)输出的空间特征和步骤(3)输出的网络安全情况的聚合结果；

(4.2)全局控制器训练图卷积网络GCN网络：输入步骤(4.1)聚合完成的嵌入特征向量X作为图卷积网络GCN网络的输入，在全局控制器下的图卷积网络GCN网络进行前向传播，通过计算损失函数反向传播更新全局控制器模型参数，更新转发规则以及节点控制器路由网络的流量分布。

Images