CN115426133B - 基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统 - Google Patents

基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统 Download PDF

Info

Publication number
CN115426133B
CN115426133B CN202210962767.7A CN202210962767A CN115426133B CN 115426133 B CN115426133 B CN 115426133B CN 202210962767 A CN202210962767 A CN 202210962767A CN 115426133 B CN115426133 B CN 115426133B
Authority
CN
China
Prior art keywords
network
data
feature
anomaly detection
detection model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210962767.7A
Other languages
English (en)
Other versions
CN115426133A (zh
Inventor
马海龙
张鹏
江逸茗
曲彦泽
胡涛
王亮
卜佑军
何元康
袁征
田乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202210962767.7A priority Critical patent/CN115426133B/zh
Publication of CN115426133A publication Critical patent/CN115426133A/zh
Application granted granted Critical
Publication of CN115426133B publication Critical patent/CN115426133B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于网络安全技术领域,特别涉及一种基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统,针对同一网络流,利用专家知识抽取若干类别的网络安全特征数据,由每类网络安全特征数据构造对应的数据特征簇;为每类数据特征簇构建对应分支的异常检测模型,利用该类下的数据特征簇来组建异构特征数据集,并利用该异构特征数据集对分支异常检测模型进行训练;针对每个分支的异常检测模型输出,利用拟态裁决来确定最终网络异常检测结果。本发明基于同一网络系统导出的异构数据集,对多特征簇分别进行异常检测并通过综合仲裁输出,以能够准确、全面反映网络状态信息,有效屏蔽单检测器可能产生的检测错误,提升检测准确率。

Description

基于异构特征簇的深度学习网络异常检测模型构建方法、检 测方法和系统
技术领域
本发明属于网络安全技术领域,特别涉及一种基于异构特征簇的深度学习网络异常检测模型构建方法及网络异常检测方法和系统。
背景技术
目前,基于深度学习的网络异常检测模型,大多将高维数据特征直接输入模型进行训练和验证,表现性能有待提升;引入专家知识虽可提供有效助力,但引入的专家知识类型和引用方式在模型泛化性能和准确率等方面还有待精进。
发明内容
为此,本发明提供一种基于异构特征簇的深度学习网络异常检测模型构建方法及系统,基于同一网络系统导出的异构数据集,对多特征簇分别进行异常检测并通过综合仲裁输出,以能够准确、全面反映网络状态信息,便于实际场景应用。
按照本发明所提供的设计方案,提供一种基于异构特征簇的深度学习网络异常检测模型构建方法,包含如下内容:
针对同一网络流,利用专家知识抽取若干类别的网络安全特征数据,由每类网络安全特征数据构造对应的数据特征簇;
为每类数据特征簇构建对应分支的异常检测模型,利用该类下的数据特征簇来组建异构特征数据集,并利用该异构特征数据集对分支异常检测模型进行训练;
针对每个分支的异常检测模型输出,利用拟态裁决来确定最终网络异常检测结果。
作为本发明中基于异构特征簇的深度学习网络异常检测模型构建方法,进一步地,利用专家知识至少抽取3类网络安全特征数据,其中,该3类网络安全特征数据对应的数据特征簇分别为用于刻画网络流数据包统计特征的数据包特征簇、用于刻画数据包标识位特征的标识特征簇和用于刻画流通信特征的流特征簇。
作为本发明中基于异构特征簇的深度学习网络异常检测模型构建方法,进一步,由每类网络安全特征数据构造对应的数据特征簇中,首先,在同一网络流会话中,将原始流量拆解为单条数据包,并对数据包进行字段补齐;然后,根据数据特征簇对数据包不同特征簇字段进行拆分重组来形成对应的异构特征数据集。
作为本发明中基于异构特征簇的深度学习网络异常检测模型构建方法,进一步,将原始流量拆解为单条数据包时,依据FIN数据包标志对TCP流在连接断开时终止;针对UDP流,依据预设时间段对流超时时终止;以双向流为特征数据收集基本单位,根据流的首包获取前向传输方向和后向传输方向,并基于前、后传输方向分别统计时间相关特征。
作为本发明基于异构特征簇的深度学习网络异常检测模型构建方法,进一步地,分支异常检测模型利用多层感知机进行网络训练,并在网络训练中,将异构特征数据集置入Dropout层进行数据随机处理,将随机处理后的数据送入ReLU激活函数进行映射,依据预设阈值来判定网络流异常,将判定结果作为对应分支异常检测结果并输出。
作为本发明基于异构特征簇的深度学习网络异常检测模型构建方法,进一步地,拟态裁决中,利用加权投票进行综合裁定,加权投票内容如下:依据每个分支异常检测模型异常检测验证中的准确率来设定对应分支异常检测模型的权重。
作为本发明基于异构特征簇的深度学习网络异常检测模型构建方法,进一步地,拟态裁决内容如下:首先,设置网络流行为良性权重和恶意权重,并赋初始值;然后,将所有分支异常检测模型的输出存储到一数组中;接着,在数组中,遍历数组元素并循环执行如下判断操作:若数组元素对应的结果为良性,则将良性权重更新为数组元素对应的分支异常检测模型权重加上上一循环中良性权重,若数组元素对应的结果为恶意,则将恶意权重更新为数组元素对应的权重加上上一循环中恶意权重;比较良性权重和恶意权重,若良性权重大于恶意权重,则将网络流判定为良性,否则,判定为恶意。
进一步地,本发明还提供一种基于异构特征簇的深度学习网络异常检测方法,包含如下内容:
利用上述的模型构建方法来构建网络异常检测模型;
利用构建的网络异常检测模型对待检测网络中的会话流进行异常检测
进一步地,本发明还提供一种基于异构特征簇的深度学习网络异常检测系统,包含:模型构建模块和检测输出模块,其中,
模型构建模块,用于利用上述的模型构建方法来构建网络异常检测模型;
检测输出模块,用于利用构建的网络异常检测模型对待检测网络中的会话流进行异常检测并输出。
本发明的有益效果:
本发明为了提升基于深度学习的网络异常检测模型的泛化性,利用专家知识将网络安全特征集,区分不同层次类别划分为多类特征簇,进而对各类特征数据簇训练得到特异化检测模型,并结合运用综合裁决系统进行综合裁定输出,能够增强整体网络异常检测模型对网络威胁感知的敏度和准度,便于实际场景中的应用。
附图说明
图1为实施例中基于异构特征簇的深度学习网络异常检测模型构建流程示意;
图2为实施例中网络异常检测流程示意。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
本发明实施例,参见图1所示,提供一种基于异构特征簇的深度学习网络异常检测模型构建方法,包含:
S101、针对同一网络流,利用专家知识抽取若干类别的网络安全特征数据,由每类网络安全特征数据构造对应的数据特征簇;
S102、为每类数据特征簇构建对应分支的异常检测模型,利用该类下的数据特征簇来组建异构特征数据集,并利用该异构特征数据集对分支异常检测模型进行训练;
S103、针对每个分支的异常检测模型输出,利用拟态裁决来确定最终网络异常检测结果。
本案实施例中,基于同一网络信息,抽取导出多类网络安全特征数据构成对应的多种数据特征簇;其次,基于数据特征簇,训练得到对应的异常检测模型;最后,在检测过程中,基于综合仲裁系统对异常检测模型的分支判定结果实施拟态裁决,得出最终判定结果,提成网络异常检测模型的泛化性和适用性。
作为优选实施例,可基于五元组(源IP、目的IP、源端口、目的端口、协议)划分网络流,对同一网络流抽取不同特征数据,并将其依据专家知识划分为数据包特征簇(PacketFeatures)、标识特征簇(Flag Features)、流特征簇(Flow Features)。而后,依照深度学习网络异常检测模型对数据特征簇进行训练得到针对性分支异常检测模型,训练过程中依次执行数据预处理、Dropout模块处理和基于分支检测模型的网络异常检测判定3个步骤。最后,由综合裁决系统对3个分支检测模型实施拟态裁决。
在具体实现算法中,可设置True Positive(TP):恶意样本被分类为恶意的个数;False Positive(FP):良性样本被分类为恶意的个数;True Negative(TN):良性样本被分类为良性的个数;False Negative(FN):恶意样本被分类为恶意的个数。
包长特征簇(Packet Features):主要用于刻画网络流中数据包的统计特征,共18维,即正向总包数(Tot Fwd Pkts)、反向总包数(Tot Bwd Pkts)、正向包总长度(TotLenFwd Pkts)、反向包总长度(TotLen Bwd Pkts)、正向包最大长度(Fwd Pkt Len Max)、正向包最小长度(Fwd Pkt Len Min)、正向包平均长度(Fwd Pkt Len Mean)、正向包长标准差(Fwd Pkt Len Std)、反向包最大长度(Bwd Pkt Len Max)、反向包最小长度(Bwd Pkt LenMin)、反向包平均长度(Bwd Pkt Len Mean)、反向包长标准差(Bwd Pkt Len Std)、最小包长(Pkt Len Min)、最大包长(Pkt Len Max)、平均包长(Pkt Len Mean)、包长标准差(PktLen Std)、包长方差(Pkt Len Var)、数据包平均大小(Pkt Size Avg)。
标识特征簇(Flag Features):主要用于刻画数据包中标识位的特征,共12维,即正向PSH标识符(Fwd PSH Flags)、反向PSH标识符(Bwd PSH Flags)、正向URG标识符(FwdURG Flags)、反向URG标识符(Bwd URG Flags)、FIN标识数量(FIN Flag Cnt)、SYN标识数量(SYN Flag Cnt)、RST标识数量(RST Flag Cnt)、PUSH标识数量(PSH Flag Cnt)、ACK标识数量(ACK Flag Cnt)、URG标识数量(URG Flag Cnt)、CWE标识数量(CWE Flag Count)、ECE标识数量(ECE Flag Cnt)。
流特征簇(Flow Features):主要用于刻画流的通信特征,共36维,即流时长(FlowDuration)、流字节率(Flow Byts/s)、流中传输平均包速(Flow Pkts/s)、流之间的平均时间(Flow IAT Mean)、流之间标准差(Flow IAT Std)、流之间最大时间(Flow IAT Max)、流之间最小时间(Flow IAT Min)、正向两个包之间的总时间(Fwd IAT Tot)、正向两个包之间的平均时间(Fwd IAT Mean)、正向两个包之间的标准偏差时间(Fwd IAT Std)、正向两个包之间的最大时间(Fwd IAT Max)、正向两个包之间的最小时间(Fwd IAT Min)、反向两个包之间的总时间(Bwd IAT Tot)、反向两个包之间的平均时间(Bwd IAT Mean)、反向两个包之间的标准偏差时间(Bwd IAT Std)、反向两个包之间的最大时间(Bwd IAT Max)、反向两个包之间的最小时间(Bwd IAT Min)、前向包头的总字节数(Fwd Header Len)、后向包头的总字节数(Bwd Header Len)、每秒前向包的数量(Fwd Pkts/s)、每秒后向包的数量(BwdPkts/s)、下载和上传的比例(Down/Up Ratio)、正向平均字节数块速率(Fwd Byts/b Avg)、正向数据包的平均数量(Fwd Pkts/b Avg)、反向平均字节数块速率(Bwd Byts/b Avg)、反向数据包的平均数量(Bwd Pkts/b Avg)、正向初始窗口发送的字节数(Init Fwd WinByts)、反向初始窗口发送的字节数(Init Bwd Win Byts)、流在空闲之前处于活动状态的平均时间(Active Mean)、流空闲之前处于活动状态的标准偏差时间(Active Std)、流空闲之前处于活动状态的最大时间(Active Max)、流空闲前激活的最小时间(Active Min)、流激活之前空闲的平均时间(Idle Mean)、流激活前处于空闲状态的标准偏差时间(IdleStd)、流激活前空闲的最大时间(Idle Max)、流激活前空闲的最小时间(Idle Min)。
作为优选实施例,进一步,由每类网络安全特征数据构造对应的数据特征簇中,首先,在同一网络流会话中,将原始流量拆解为单条数据包,并对数据包进行字段补齐;然后,根据数据特征簇对数据包不同特征簇字段进行拆分重组来形成对应的异构特征数据集。并进一步,将原始流量拆解为单条数据包时,依据FIN数据包标志对TCP流在连接断开时终止;针对UDP流,依据预设时间段对流超时时终止;以双向流为特征数据收集基本单位,根据流的首包获取前向传输方向和后向传输方向,并基于前、后传输方向分别统计时间相关特征。
参见图2所示,根据预设的3个特征簇,对数据包不同特征簇字段进行拆分重组,得到三种异构特征数据集。分支异常检测模型利用多层感知机(MultiLayer Perceptron,MLP)进行网络训练,并在网络训练中,将异构特征数据集置入Dropout层进行数据随机处理,将随机处理后的数据送入ReLU激活函数进行映射,依据预设阈值来判定网络流异常,将判定结果作为对应分支异常检测结果并输出。Dropout层的ratio值可设为0.5。对各分支检测器,可设置输入数据经处理所得的[0,1]上的概率大于判断阈值为0.65时,输出为1,认为流量为恶意;否则输出为0,认为流量正常。实施例中所使用的判断阈值具体可由混淆矩阵和ROC曲线测试判定而得。
进一步地,拟态裁决中,利用加权投票进行综合裁定,加权投票内容如下:依据每个分支异常检测模型异常检测验证中的准确率来设定对应分支异常检测模型的权重。
可设为第i个检测器的权重;n为检测器数量,代表第i个检测器在验证时的准确率,则各检测器的权值计算公式可表示为其中,计算公式可表示为
作为优选实施例,进一步地,拟态裁决内容如下:首先,设置网络流行为良性权重和恶意权重,并赋初始值;然后,将所有分支异常检测模型的输出存储到一数组中;接着,在数组中,遍历数组元素并循环执行如下判断操作:若数组元素对应的结果为良性,则将良性权重更新为数组元素对应的分支异常检测模型权重加上上一循环中良性权重,若数组元素对应的结果为恶意,则将恶意权重更新为数组元素对应的权重加上上一循环中恶意权重;比较良性权重和恶意权重,若良性权重大于恶意权重,则将网络流判定为良性,否则,判定为恶意。
拟态裁决的算法内容可设计如下:
a)对数据进行初始化
b)设置网络行为良性权重、恶意权重分别为weight_0和weight_1,并赋初值为0;
c)获取所有检测器的预测结果,存入数组Preds;
d)在数组Preds中循环进行以下判断操作:若结果为“良性”,则按该检测器权重增加最终裁定结果中良性结果的权重,即weight_0+=weights[id];否则按该检测器权重增加最终裁定结果中恶意结果的权重,即weight_1+=weights[id];
e)比较良性结果与恶性结果的权重,若良性结果权重大于恶性权重,则将流量综合判定为良性,否则将其判定为恶性。
本案实施例中,通过引入以3个异构特征簇代表的专家知识,能够综合考虑网络流中的66维特征,增强基于深度学习的网络异常检测模型的泛化性能;通过混淆矩阵和ROC曲线测试判定得到分支异常检测模型的判断阈值;使用多个并行异常检测器分别对不同特征簇进行检测判断,并对异构检测器进行综合拟态裁决判断,可有效屏蔽单检测器可能产生的检测错误,提升检测准确率。
进一步地,本发明实施例还提供一种基于异构特征簇的深度学习网络异常检测方法,包含如下内容:
利用上述的模型构建方法来构建网络异常检测模型;
利用构建的网络异常检测模型对待检测网络中的会话流进行异常检测
进一步地,本发明实施例还提供一种基于异构特征簇的深度学习网络异常检测系统,包含:模型构建模块和检测输出模块,其中,
模型构建模块,用于利用上述的模型构建方法来构建网络异常检测模型;
检测输出模块,用于利用构建的网络异常检测模型对待检测网络中的会话流进行异常检测并输出。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (6)

1.一种基于异构特征簇的深度学习网络异常检测模型构建方法,其特征在于,包含如下内容:
针对同一网络流,利用专家知识至少抽取3类网络安全特征数据,由每类网络安全特征数据构造对应的数据特征簇,其中,该3类网络安全特征数据对应的数据特征簇分别为用于刻画网络流数据包统计特征的数据包特征簇、用于刻画数据包标识位特征的标识特征簇和用于刻画流通信特征的流特征簇;由每类网络安全特征数据构造对应的数据特征簇中,首先,在同一网络流会话中,将原始流量拆解为单条数据包,并对数据包进行字段补齐;然后,根据数据特征簇对数据包不同特征簇字段进行拆分重组来形成对应的异构特征数据集;
为每类数据特征簇构建对应分支的异常检测模型,利用该类下的数据特征簇来组建异构特征数据集,并利用该异构特征数据集对分支异常检测模型进行训练;
针对每个分支的异常检测模型输出,利用拟态裁决来确定最终网络异常检测结果;拟态裁决中,利用加权投票进行综合裁定,加权投票内容如下:依据每个分支异常检测模型异常检测验证中的准确率来设定对应分支异常检测模型的权重;其中,拟态裁决内容如下:首先,设置网络流行为良性权重和恶意权重,并赋初始值;然后,将所有分支异常检测模型的输出存储到一数组中;接着,在数组中,遍历数组元素并循环执行如下判断操作:若数组元素对应的结果为良性,则将良性权重更新为数组元素对应的分支异常检测模型权重加上上一循环中良性权重,若数组元素对应的结果为恶意,则将恶意权重更新为数组元素对应的权重加上上一循环中恶意权重;比较良性权重和恶意权重,若良性权重大于恶意权重,则将网络流判定为良性,否则,判定为恶意。
2.根据权利要求1所述的基于异构特征簇的深度学习网络异常检测模型构建方法,其特征在于,将原始流量拆解为单条数据包时,依据FIN数据包标志对TCP流在连接断开时终止;针对UDP流,依据预设时间段对流超时时终止;以双向流为特征数据收集基本单位,根据流的首包获取前向传输方向和后向传输方向,并基于前、后传输方向分别统计时间相关特征。
3.根据权利要求1所述的基于异构特征簇的深度学习网络异常检测模型构建方法,其特征在于,分支异常检测模型利用多层感知机进行网络训练,并在网络训练中,将异构特征数据集置入Dropout层进行数据随机处理,将随机处理后的数据送入ReLU激活函数进行映射,依据预设阈值来判定网络流异常,将判定结果作为对应分支异常检测结果并输出。
4.一种基于异构特征簇的深度学习网络异常检测方法,其特征在于,包含如下内容:
利用权利要求1所述的模型构建方法来构建网络异常检测模型;
利用构建的网络异常检测模型对待检测网络中的会话流进行异常检测。
5.一种基于异构特征簇的深度学习网络异常检测系统,其特征在于,包含:模型构建模块和检测输出模块,其中,
模型构建模块,用于利用权利要求1所述的模型构建方法来构建网络异常检测模型;
检测输出模块,用于利用构建的网络异常检测模型对待检测网络中的会话流进行异常检测并输出。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1~3任一项所述的方法步骤。
CN202210962767.7A 2022-08-11 2022-08-11 基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统 Active CN115426133B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210962767.7A CN115426133B (zh) 2022-08-11 2022-08-11 基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210962767.7A CN115426133B (zh) 2022-08-11 2022-08-11 基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统

Publications (2)

Publication Number Publication Date
CN115426133A CN115426133A (zh) 2022-12-02
CN115426133B true CN115426133B (zh) 2024-07-05

Family

ID=84197580

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210962767.7A Active CN115426133B (zh) 2022-08-11 2022-08-11 基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统

Country Status (1)

Country Link
CN (1) CN115426133B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112202645A (zh) * 2020-11-12 2021-01-08 福州大学 基于拟态防御和Sketch算法的测量系统及异常流量检测方法
CN112383530A (zh) * 2020-11-09 2021-02-19 浙江大学 一种基于拟态思想的沙箱构建方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102258206B1 (ko) * 2020-12-16 2021-05-31 주식회사 환경과학기술 이종 데이터 융합을 이용한 이상 강수 감지 학습 장치, 이상 강수 감지 학습 방법, 이종 데이터 융합을 이용한 이상 강수 감지 장치 및 이상 강수 감지 방법
US11451670B2 (en) * 2020-12-16 2022-09-20 Oracle International Corporation Anomaly detection in SS7 control network using reconstructive neural networks
CN114826638B (zh) * 2021-03-17 2024-04-12 中国人民解放军战略支援部队信息工程大学 基于状态特征相似性的拟态路由器异常检测方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112383530A (zh) * 2020-11-09 2021-02-19 浙江大学 一种基于拟态思想的沙箱构建方法
CN112202645A (zh) * 2020-11-12 2021-01-08 福州大学 基于拟态防御和Sketch算法的测量系统及异常流量检测方法

Also Published As

Publication number Publication date
CN115426133A (zh) 2022-12-02

Similar Documents

Publication Publication Date Title
CN110753064B (zh) 机器学习和规则匹配融合的安全检测系统
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
KR102279983B1 (ko) 딥러닝 알고리즘을 이용한 비지도 방식의 네트워크 침입 탐지 방법 및 이를 실행하기 위한 프로그램이 기록된 기록매체
CN107135093A (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
CN105554016A (zh) 网络攻击的处理方法和装置
CN106878314B (zh) 基于可信度的网络恶意行为检测方法
CN112839017B (zh) 一种网络攻击检测方法及其装置、设备和存储介质
CN113645232A (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
CN107248996A (zh) 一种dns放大攻击的检测与过滤方法
CN114003903B (zh) 一种网络攻击追踪溯源方法及装置
CN106330611A (zh) 一种基于统计特征分类的匿名协议分类方法
WO2024007615A1 (zh) 模型训练方法、装置及相关设备
CN114785567B (zh) 一种流量识别方法、装置、设备及介质
CN114629718A (zh) 一种基于多模型融合的隐匿恶意行为检测方法
Chen et al. DDoS attack detection method based on network abnormal behaviour in big data environment
CN103501302B (zh) 一种蠕虫特征自动提取的方法及系统
CN115426133B (zh) 基于异构特征簇的深度学习网络异常检测模型构建方法、检测方法和系统
Alsumaidaie et al. An Assessment of Ensemble Voting Approaches, Random Forest, and Decision Tree Techniques in Detecting Distributed Denial of Service (DDoS) Attacks
CN112235242A (zh) 一种c&c信道检测方法及系统
CN116527307A (zh) 一种基于社区发现的僵尸网络检测算法
CN111371727A (zh) 一种针对ntp协议隐蔽通信的检测方法
CN114362972B (zh) 一种基于流量摘要和图采样的僵尸网络混合检测方法及系统
CN116132095A (zh) 一种融合统计特征和图结构特征的隐蔽恶意流量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant