CN114745155B - 一种网络异常流量检测方法、装置及存储介质 - Google Patents

一种网络异常流量检测方法、装置及存储介质 Download PDF

Info

Publication number
CN114745155B
CN114745155B CN202210246259.9A CN202210246259A CN114745155B CN 114745155 B CN114745155 B CN 114745155B CN 202210246259 A CN202210246259 A CN 202210246259A CN 114745155 B CN114745155 B CN 114745155B
Authority
CN
China
Prior art keywords
samples
flow
data
sample
cnn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210246259.9A
Other languages
English (en)
Other versions
CN114745155A (zh
Inventor
梁正和
张金伦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hohai University HHU
Original Assignee
Hohai University HHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hohai University HHU filed Critical Hohai University HHU
Priority to CN202210246259.9A priority Critical patent/CN114745155B/zh
Publication of CN114745155A publication Critical patent/CN114745155A/zh
Application granted granted Critical
Publication of CN114745155B publication Critical patent/CN114745155B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络异常流量检测方法、装置及存储介质,方法包括:通过Smote过采样方法对样本中少量的攻击样本进行扩充,再与tomek Link算法相结合缓解Smote算法扩充样本数据形成的噪音。对预处理以及扩充后的样本进行标准化处理,使得样本的各个特征数值的均值和方差相同。将标准化处理后的特征向量先输入到改进的CNN模型中提取特征向量之间的空间局部信息,再投入多头自注意力模型中提取特征向量间的全局关联信息最终输出检测结果。针对攻击样本占比少将过采样与欠采样相结合的方式扩充样本数据提高与攻击流量预测的准确率,进一步将CNN提取局部特征关联的优点与自注意力机制能提取特征间的全局关联优点相结合可,提高网络异常流量的自动分类的准确性。

Description

一种网络异常流量检测方法、装置及存储介质
技术领域
本发明属于网络安全技术领域,涉及一种网络异常流量检测方法、装置及存储介质,具体涉及一种基于卷积神经网络CNN和多头自注意力机制 (Muti-self-attention)的网络异常流量检测方法、装置及存储介质。
背景技术
目前,已有许多机器学习算法应用于异常流量检测,利用不同的机器学习算法降低误报率,检测异常的网络行为。
传统的机器学习方法在网络流量异常检测中十分有效,并且有一定的准确率,但存在以下不足:实验过程中的调优较为困难,而且需要人为选择特征,并且对提取特征的相关领域拥有很深入的研究了解,构造样本特征效率低,检测性能取决于参数调优和选择特征的质量。但如今网络流量数据量规模越来越大,数据维度越来越高,对异常检测的要求更高,传统的机器学习算法存在着训练效率低、特征提取繁琐、相关参数过多、检测准确度较低等问题。
现有技术仍然存在以下不足:使用深度学习的模型对网络异常流量数据进行分类检测,这样降低了特征提取的难度,但是大都存在训练时间过长,收敛速度慢,容易过拟合,并且数据集的分布非常不均衡等问题,因此如何解决样本不均衡问题,并提高预测准确度就显得尤为重要。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种网络异常流量检测方法、装置及存储介质;基于卷积神经网络CNN和多头自注意力机制(Muti-self-attention),使用smote过采样算法与tomek link欠采样算法相结合缓解负样本量太少的问题。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
第一方面,提供一种网络异常流量检测方法,包括:
一种网络异常流量检测方法,其特征在于,包括:
获取网络流量数据;
对网络流量数据进行特征提取得到流量特征数据;
对流量特征数据进行预处理,得到预处理后的流量特征数据;
采用Smote算法与Tomek Link算法相结合对预处理后的流量特征数据中负样本数据进行数据增强,得到扩充后的样本;
对扩充后的样本进行归一化和标准化处理,得到标准化之后的样本特征;
将标准化之后的样本特征输入CNN和多头自注意力模型,得到输出的网络异常流量检测结果。
在一些实施例中,采用Smote算法与Tomek Link算法相结合对预处理后的流量特征数据中负样本数据进行数据增强,得到扩充后的样本,包括:
使用Smote算法对流量中少量的攻击样本进行上采样扩充,然后使用Tomek Link算法对扩充的样本进行下采样。
在一些实施例中,所述smote算法,包括;
Figure BDA0003544775510000021
其中:Xnew表示新生成的样本,Xi为少数类样本;
Figure BDA0003544775510000022
的选取方法为:对一个少数类样本Xi使用K近邻法,求出离距离Xi最近的k个少数类样本,其中距离定义为样本之间n维特征空间的欧氏距离;然后从k个少数类样本中随机选取一个;
Figure BDA0003544775510000031
为选出的k进邻的点,
Figure BDA0003544775510000032
是一个随机数。
在一些实施例中,对流量特征数据进行预处理,包括:将一些异常值样本从流量特征数据中去除,得到预处理后的流量特征数据。
在一些实施例中,对扩充后的样本进行归一化和标准化处理,包括:
归一化公式如下
Figure BDA0003544775510000033
其中X′为归一化之后的特征值,Xi为归一化之前的特征值,Min和Max分别为特征值中的最小和最大值;
标准化公式如下
Figure BDA0003544775510000034
其中X*为标准化之后的特征值,X为标准化之前的特征值,μ为所有数据的均值,σ为所有数据的方差。
进一步地,先进行归一化,让所有特征范围落到0-1之间,然后再进行标准化让所有特征值的均值为0方差为1。
将标准化之后的样本特征输入CNN和多头自注意力模型,得到输出的网络异常流量检测结果,包括:
先将标准化之后的样本特征输入CNN层,在CNN层最左侧是1×1维卷积池化提取各个独立流量特征信息,在CNN层中间是原本的输入矩阵,保留原本的流量信息,在CNN层最右侧是7×7维卷积池化提取流量特征之间的局部关联信息;
然后把以上三个通道CNN结果相加输入多头自注意力层提取流量特征之间的全局关联信息最终分类结果。
第二方面,本发明提供了一种网络异常流量检测装置,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据第一方面所述方法的步骤。
第三方面,本发明提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述方法的步骤。
有益效果:本发明提供的网络异常流量检测方法及系统,该方法包括:1) 对网络流量信息进行预处理操作,去除样本中的异常值。2)通过Smote过采样方法对样本中少量的攻击样本进行扩充,再与tomek Link算法相结合缓解 Smote算法扩充样本数据形成的噪音。3)对预处理以及扩充后的样本进行标准化处理,使得样本的各个特征数值的均值和方差相同。4)将标准化处理后的特征向量先输入到改进的CNN模型中提取特征向量之间的空间局部信息,之后再投入多头自注意力模型中提取特征向量间的全局关联信息最终输出分类结果。本发明针对攻击样本占比少将过采样与欠采样相结合的方式扩充样本数据提高与攻击流量预测的准确率,进一步将CNN提取局部特征关联的优点与自注意力机制能提取特征间的全局关联优点相结合,实现CNN+多头自注意力机制的分类模型,可以更好的实现网络异常流量的自动分类,提高分类的准确性。与现有技术相比,优点在于:
(1)本发明能够适应不断更新的网络攻击数据集。
(2)本发明不但有效地处理了样本不均衡问题,而且使用了CNN算法层在保留流量特征之间独立信息的同时也提取到了流量特征之间的局部关联信息,之后进入多头自注意力层提取到了流量特征之间的全局关联特性。在准确率、召回率、精度等多维评价指标中表现出了较好性能。
附图说明
图1为根据本发明一实施例网络异常流量检测方法的流程图;
图2为根据本发明一实施例的流量数据预处理流程图;
图3为根据本发明一实施例中网络异常流量检测系统网络示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
在本发明的描述中,若干的含义是一个以上,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本发明的描述中,参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
实施例1
一种网络异常流量检测方法,其特征在于,包括:
获取网络流量数据;
对网络流量数据进行特征提取得到流量特征数据;
对流量特征数据进行预处理,得到预处理后的流量特征数据;
采用Smote算法与Tomek Link算法相结合对预处理后的流量特征数据中负样本数据进行数据增强,得到扩充后的样本;
对扩充后的样本进行归一化和标准化处理,得到标准化之后的样本特征;
将标准化之后的样本特征输入CNN和多头自注意力模型,得到输出的网络异常流量检测结果。
在一些实施例中,采用Smote算法与Tomek Link算法相结合对预处理后的流量特征数据中负样本数据进行数据增强,得到扩充后的样本,包括:
使用Smote算法对流量中少量的攻击样本进行上采样扩充,然后使用Tomek Link算法对扩充的样本进行下采样。
在一些实施例中,所述smote算法,包括;
Figure BDA0003544775510000061
其中:Xnew表示新生成的样本,Xi为少数类样本;
Figure BDA0003544775510000062
的选取方法为:对一个少数类样本Xi使用K近邻法,求出离距离Xi最近的k个少数类样本,其中距离定义为样本之间n维特征空间的欧氏距离;然后从k个少数类样本中随机选取一个;
Figure BDA0003544775510000063
为选出的k进邻的点,
Figure BDA0003544775510000064
是一个随机数。
在一些实施例中,对流量特征数据进行预处理,包括:将一些异常值样本从流量特征数据中去除,得到预处理后的流量特征数据。
在一些实施例中,对扩充后的样本进行归一化和标准化处理,包括:
归一化公式如下
Figure BDA0003544775510000071
其中X′为归一化之后的特征值,Xi为归一化之前的特征值,Min和Max分别为特征值中的最小和最大值;
标准化公式如下
Figure BDA0003544775510000072
其中X*为标准化之后的特征值,X为标准化之前的特征值,μ为所有数据的均值,σ为所有数据的方差。
进一步地,先进行归一化,让所有特征范围落到0-1之间,然后再进行标准化让所有特征值的均值为0方差为1。
将标准化之后的样本特征输入CNN和多头自注意力模型,得到输出的网络异常流量检测结果,包括:
先将标准化之后的样本特征输入CNN层,在CNN层最左侧是1×1维卷积池化提取各个独立流量特征信息,在CNN层中间是原本的输入矩阵,保留原本的流量信息,在CNN层最右侧是7×7维卷积池化提取流量特征之间的局部关联信息;
然后把以上三个通道CNN结果相加输入多头自注意力层提取流量特征之间的全局关联信息最终分类结果。
在一些实施例中,参见图1,本发明的一种基于CNN和多头自注意力机制的网络异常流量分类模型,分成了四个部分,第一个部分对网络流量进行预处理去除异常值提取网络流量的特征,第二个部分使用smote过采样与tomek link 欠采样方法相结合扩充攻击流量的样本数量,第三部分是对扩充后的样本整体进行归一化和标准化处理使得特征整体的均值为0方差为1,进而形成特征向量。第四部分是将特征向量输入到CNN+多头自注意力机制模型中进行网络流量分类。
S1:参见图2,原始的流量数据通过提取特征之后进行预处理后形成了特征向量,预处理过程包括:对流量数据特征进行提取,去除异常值,对样本进行增强、最后进行归一化和标准化处理。
对流量数据提取特征并去除异常值
首先对流量的特征做脱敏操作,比如去除ip地址之类的信息,提取端口,数据包长度,连接时长等特征一共81个维度。去除一些异常值样本,比如某些特征过大过小直接剔除。有些攻击样本总共只有10几个严重影响分类结果,因此将样本数只有10几例的类别比如Heartbleed,Infiltration直接从原样本中去掉。
对流量样本中的负样本进行数据增强
由于原样本中正常流量占80%以上,直接投入训练会使得模型预测结果偏向正常流量,使得攻击流量预测的准确率不理想因此对负样本进行扩充与正样本数量总体平衡是非常有必要的首先使用smote算法对负样本数据进行扩充,原理是在少数类样本之间进行插值来产生额外的样本。具体地,对于一个少数类样本Xi使用K近邻法(k值需要提前指定),求出离距离Xi最近的k个少数类样本,其中距离定义为样本之间n维特征空间的欧氏距离。然后从k个近邻点中随机选取一个。但是这样势必会引入噪声也会导致预测结果的准确率产生影响,因此这里再与tomek link欠采样方法结合删除一些扩充的数据缓解噪声造成的影响。Tomek Link表示不同类别之间距离最近的一对样本,即这两个样本互为最近邻且分属不同类别。这样如果两个样本形成了一个Tomek Link,则要么其中一个是噪音,要么两个样本都在边界附近。这样通过移除Tomek Link就能“清洗掉”类间重叠样本,使得互为最近邻的样本皆属于同一类别,从而能更好地进行分类。
对特征进行归一化和标准化处理
由于不同特征的数值范围差距过大,直接投入训练会导致数值范围大的特征对结果影响较大,特征数值范围小的特征影响就偏小,所以把特征全部映射到同一个范围是非常有必要的,通过最大最小值将特征映射到0和1之间,再通过均值方差标准化将特征的均值处于0,方差处于1的范围。
流量信息经过特征提取、异常值处理样本扩充,标准化处理之后,形成了网络流量样本集。
S2:smote算法参考图2具体的公式如下:
Figure BDA0003544775510000091
S3:参见图2,使用对smote算法生成的新数据进行下采样,具体步骤如下:
S31:根据Tomek Link表示不同类别之间距离最近的一对样本,即这两个样本互为最近邻且分属不同类别。
S32:这样如果两个样本形成了一个Tomek Link,则要么其中一个是噪音,要么两个样本都在边界附近。
S33:这样通过移除Tomek Link就能“清洗掉”类间重叠样本,使得互为最近邻的样本皆属于同一类别,从而能更好地进行分类;
S4:参见图2,对扩充之后的样本进行归一化和标准化处理,具体公式如下
S41:归一化公式如下
Figure BDA0003544775510000101
S42:标准化公式如下
Figure BDA0003544775510000102
S5:参见图3,标准化之后的样本特征投入到CNN+多头自注意力模型进行训练:
S51:卷积层公式如下:
s(i,j)=(X*W)(i,j)=∑mnx(i+m,j+n)w(m,n)  (4)
其中w为卷积核,X为输入的矩阵,i,j为矩阵的维度,m,n为卷积核的维度
之后将三者相加,公式如下:
X′=S1+S2+X  (5)
之后使用一种自正则的非单调神经激活函数mish,平滑的激活函数允许更好的信息深入神经网络从而得到更好的准确性和泛化程度,公式如下:
Xnew=X′*tanh(In(1+ex′))  (6)
在池化层中,对卷积后得到的较大维度特征向量进行池化操作,最常见的池化方法有最大池化法、平均池化法。以上是一个卷积核对一条输入文本的卷积池化操作,假设卷积核有m个,经过多次卷积池化操作,全连接层将得到的 m个特征所对应的特征值进行全连接操作,得到最终的特征向量如下:
Figure BDA0003544775510000103
S52:多头自注意力机制的公式如下:
Att(Q,K,V)=ω(QKT)V  (8)
其中Q,K,V相等都是CNN层的输出向量。实施例2
第二方面,本实施例提供了一种网络异常流量检测装置,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据实施例1所述方法的步骤。
实施例3
第三方面,本实施例提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现实施例1所述方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/ 或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种网络异常流量检测方法,其特征在于,包括:
获取网络流量数据;
对网络流量数据进行特征提取得到流量特征数据;
对流量特征数据进行预处理,得到预处理后的流量特征数据;
采用Smote算法与Tomek Link算法相结合对预处理后的流量特征数据中负样本数据进行数据增强,得到扩充后的样本;
对扩充后的样本进行归一化和标准化处理,得到标准化之后的样本特征;
将标准化之后的样本特征输入CNN和多头自注意力模型,得到输出的网络异常流量检测结果,包括:先将标准化之后的样本特征输入CNN层,在CNN层最左侧是1×1维卷积池化提取各个独立流量特征信息,在CNN层中间是原本的输入矩阵,保留原本的流量信息,在CNN层最右侧是7×7维卷积池化提取流量特征之间的局部关联信息;然后把以上三个通道CNN结果相加输入多头自注意力层提取流量特征之间的全局关联信息最终分类结果。
2.根据权利要求1所述的网络异常流量检测方法,其特征在于,采用Smote算法与TomekLink算法相结合对预处理后的流量特征数据中负样本数据进行数据增强,得到扩充后的样本,包括:
使用Smote算法对流量中少量的攻击样本进行上采样扩充,然后使用Tomek Link算法对扩充的样本进行下采样。
3.根据权利要求1所述的网络异常流量检测方法,其特征在于,所述smote算法,包括;
Figure FDA0003950608200000011
其中:Xnew表示新生成的样本,Xi为少数类样本;
Figure FDA0003950608200000021
的选取方法为:对一个少数类样本Xi使用K近邻法,求出离距离Xi最近的k个少数类样本,其中距离定义为样本之间n维特征空间的欧氏距离;然后从k个少数类样本中随机选取一个;
Figure FDA0003950608200000022
为选出的k进邻的点,
Figure FDA0003950608200000023
是一个随机数。
4.根据权利要求1所述的网络异常流量检测方法,其特征在于,对流量特征数据进行预处理,包括:将一些异常值样本从流量特征数据中去除,得到预处理后的流量特征数据。
5.根据权利要求1所述的网络异常流量检测方法,其特征在于,对扩充后的样本进行归一化和标准化处理,包括:
归一化公式如下
Figure FDA0003950608200000024
其中X为归一化之后的特征值,Xi为归一化之前的特征值,Min和Max分别为特征值中的最小和最大值;
标准化公式如下
Figure FDA0003950608200000025
其中X*为标准化之后的特征值,X为标准化之前的特征值,μ为所有数据的均值,σ为所有数据的方差。
6.根据权利要求1或4所述的网络异常流量检测方法,其特征在于,先进行归一化,让所有特征范围落到0-1之间,然后再进行标准化让所有特征值的均值为0方差为1。
7.一种网络异常流量检测装置,其特征在于,包括:包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1至6任一项所述方法的步骤。
8.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述方法的步骤。
CN202210246259.9A 2022-03-14 2022-03-14 一种网络异常流量检测方法、装置及存储介质 Active CN114745155B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210246259.9A CN114745155B (zh) 2022-03-14 2022-03-14 一种网络异常流量检测方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210246259.9A CN114745155B (zh) 2022-03-14 2022-03-14 一种网络异常流量检测方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN114745155A CN114745155A (zh) 2022-07-12
CN114745155B true CN114745155B (zh) 2023-04-07

Family

ID=82275078

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210246259.9A Active CN114745155B (zh) 2022-03-14 2022-03-14 一种网络异常流量检测方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN114745155B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109919205A (zh) * 2019-02-25 2019-06-21 华南理工大学 基于多头自注意力机制的卷积回声状态网络时序分类方法
CN111259666A (zh) * 2020-01-15 2020-06-09 上海勃池信息技术有限公司 一种结合多头自注意力机制的cnn文本分类方法
CN112422531A (zh) * 2020-11-05 2021-02-26 博智安全科技股份有限公司 基于CNN和XGBoost的网络流量异常行为检测方法
CN113313156A (zh) * 2021-05-21 2021-08-27 北京工业大学 一种基于时序负载流量指纹的物联网设备识别方法及系统
WO2022040698A1 (en) * 2020-08-21 2022-02-24 Palo Alto Networks, Inc. Malicious traffic detection with anomaly detection modeling

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112906019B (zh) * 2021-02-04 2022-11-11 南京邮电大学 基于改进dcgan模型的流量数据生成方法、装置及系统
CN112884121A (zh) * 2021-02-05 2021-06-01 武汉纺织大学 基于生成对抗深度卷积网络的流量识别方法
CN112560503B (zh) * 2021-02-19 2021-07-02 中国科学院自动化研究所 融合深度特征和时序模型的语义情感分析方法
CN113194094B (zh) * 2021-04-29 2022-07-15 哈尔滨工程大学 一种基于神经网络的异常流量检测方法
CN113449815B (zh) * 2021-07-20 2023-01-24 四川大学 一种基于深度包分析的异常包检测方法及系统
CN114036610A (zh) * 2021-11-04 2022-02-11 河海大学 一种基于数据增强的侵彻深度预测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109919205A (zh) * 2019-02-25 2019-06-21 华南理工大学 基于多头自注意力机制的卷积回声状态网络时序分类方法
CN111259666A (zh) * 2020-01-15 2020-06-09 上海勃池信息技术有限公司 一种结合多头自注意力机制的cnn文本分类方法
WO2022040698A1 (en) * 2020-08-21 2022-02-24 Palo Alto Networks, Inc. Malicious traffic detection with anomaly detection modeling
CN112422531A (zh) * 2020-11-05 2021-02-26 博智安全科技股份有限公司 基于CNN和XGBoost的网络流量异常行为检测方法
CN113313156A (zh) * 2021-05-21 2021-08-27 北京工业大学 一种基于时序负载流量指纹的物联网设备识别方法及系统

Also Published As

Publication number Publication date
CN114745155A (zh) 2022-07-12

Similar Documents

Publication Publication Date Title
EP3203417B1 (en) Method for detecting texts included in an image and apparatus using the same
CN110929848B (zh) 基于多挑战感知学习模型的训练、跟踪方法
CN106803090A (zh) 一种图像识别方法和装置
CN110602120B (zh) 一种面向网络的入侵数据检测方法
CN107871314B (zh) 一种敏感图像鉴别方法和装置
CN113657896A (zh) 一种基于图神经网络的区块链交易拓扑图分析方法和装置
CN113807073B (zh) 文本内容异常检测方法、装置以及存储介质
CN113961438A (zh) 一种基于多粒度多层级的历史行为异常用户检测系统、方法、设备及存储介质
CN114331731A (zh) 基于pca与rf的区块链异常检测方法及相关装置
CN115600194A (zh) 一种基于XGBoost和LGBM的入侵检测方法、存储介质及设备
CN112437053A (zh) 入侵检测方法及装置
CN109286622B (zh) 一种基于学习规则集的网络入侵检测方法
CN114745155B (zh) 一种网络异常流量检测方法、装置及存储介质
CN117155706A (zh) 网络异常行为检测方法及其系统
CN115588124B (zh) 一种基于软标签交叉熵追踪的细粒度分类去噪训练方法
Karimi Zandian et al. MEFUASN: a helpful method to extract features using analyzing social network for fraud detection
CN115984671A (zh) 模型在线更新方法、装置、电子设备及可读存储介质
CN113688263B (zh) 用于搜索图像的方法、计算设备和存储介质
CN107644251B (zh) 对象分类方法、装置和系统
CN115471646A (zh) 一种无监督的快速图像异常检测与定位的方法
CN112634869B (zh) 命令词识别方法、设备及计算机存储介质
CN114519605A (zh) 广告点击欺诈检测方法、系统、服务器和存储介质
CN114095268A (zh) 用于网络入侵检测的方法、终端及存储介质
Dijaya et al. Corn Plant Disease Identification Using SURF-based Bag of Visual Words Feature
Zhao et al. A copy-move forgery detection scheme with improved clone region estimation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant