CN115455258B - 一种网络空间语言描述与分析方法及装置 - Google Patents

一种网络空间语言描述与分析方法及装置 Download PDF

Info

Publication number
CN115455258B
CN115455258B CN202211118012.5A CN202211118012A CN115455258B CN 115455258 B CN115455258 B CN 115455258B CN 202211118012 A CN202211118012 A CN 202211118012A CN 115455258 B CN115455258 B CN 115455258B
Authority
CN
China
Prior art keywords
data
byte
stream
network
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211118012.5A
Other languages
English (en)
Other versions
CN115455258A (zh
Inventor
任传伦
俞赛赛
王小娟
刘晓影
张先国
贾佳
乌吉斯古愣
程洋
谭震
刘文瀚
孟祥頔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
CETC 15 Research Institute
Original Assignee
Beijing University of Posts and Telecommunications
CETC 15 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications, CETC 15 Research Institute filed Critical Beijing University of Posts and Telecommunications
Priority to CN202211118012.5A priority Critical patent/CN115455258B/zh
Publication of CN115455258A publication Critical patent/CN115455258A/zh
Application granted granted Critical
Publication of CN115455258B publication Critical patent/CN115455258B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络空间语言描述与分析方法及装置。所述方法包括:将原始流量数据处理为网络流和字节数据,将其构建为异构图,提取异构图的邻接矩阵、度矩阵以及特征矩阵,经卷积码模型处理后,得到全局嵌入数据,利用编码器对全局嵌入数据进行编码,得到网络流量数据的特征信息,并基于此进行分类,得到网络流分类结果信息。本发明可用于网络空间作战场景中,解决由于多变场景带来的方法适用性差、自动化程度低的问题。

Description

一种网络空间语言描述与分析方法及装置
技术领域
本发明涉及网络流检测领域,尤其涉及一种网络空间语言描述与分析方法及装置。
背景技术
现有网络流威胁检测分析技术分为基于业务规则的检测方法、基于机器学习的检测方法和基于深度学习的检测方法三类。基于机器学习和深度学习的网络流检测方法是目前应用较广的主流检测方法,均采用流量的统计特征与内容特征作为输入,虽然在各类公开数据集上进行验证有着较高的准确率,但在实际应用中其威胁检出率却非常低,其关键问题是特征在层次、粒度、内容等方面仍存在一定局限性,导致特征的表征能力不强,无法对各类网络流进行具有普适性的行为分析。层次、粒度方面,现有方法大多对单条网络流的特征进行挖掘,而忽略了网络流与数据包、网络流与字节之间的拓扑结构关系,难以探索其本质意义;内容方面,采用流量的统计特征与内容特征作为输入,其特征大多基于数值统计得到,对于威胁的业务解释能力有限。
现有的基于图卷积的网络流检测分析技术大多基于时序关系和网络流之间的拓扑结构构建异构关系图,通过图卷积模型对异构图进行学习训练并基于此进行分类。基于时空特征对网络流进行识别的方法依赖于计算单独网络流的统计特征,导致其检测的有效范围较窄;同时,现有基于图卷积的流量检测方法中,其特征多位于网络流及数据包维度,分析粒度较粗。因此,在网络空间作战场景下,由于多变场景导致现有的方法产生适用性差、自动化程度低问题。
发明内容
鉴于上述问题,本发明的目的在于提供一种网络空间语言描述与分析方法,从网络流文本语义的角度出发,基于原始数据中网络和流字节数据,根据网络流与字节间的语义关系,将其转换为计算机可读的结构化数据,进而形成一种网络空间统一网络流描述语言。具体来说,应用于网络空间作战场景中,可以将各层级捕获到的网络流以一种统一的语言来进行描述,总结正常网络流表示方式所具有的通用特点和规律,基于此区分异常网络流。由此,在网络空间中突破作战环境统一描述技术,解决由于多变场景带来的方法适用性差、自动化程度低的问题。
为达到上述目的,本发明实施例第一方面公开了一种网络空间语言描述与分析方法,所述方法包括:
对原始网络流量数据预处理,得到网络流集和字节数据集;
基于所述网络流集、所述字节数据集,构建异构图;
利用预设的图卷积模型对所述异构图进行训练学习,得到全局嵌入数据;
利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息;
利用预设的分类器对所述网络流量数据的特征信息进行分类处理,得到网络流分类结果。
作为一种可选的实施方式,在本发明实施例第一方面中,所述对原始网络流量数据预处理,得到网络流集和字节数据集,包括:
初始化网络流集为空集;初始化字节数据集为空集;
删除所述原始网络流量数据中重复和空白的数据流,得到第一流量数据;
基于五元组,将所述第一流量数据切分为离散数据流,得到离散数据流集;所述五元组为源IP地址、源端口、目的IP地址、目的端口和传输层协议;
删除所述离散数据流集中所有离散数据流中包含的MAC地址、IP地址,得到有效离散数据流集;
判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
当第一判断结果为是时,从所述任一有效离散数据流中截取其前500个字节数据,将截取后的数据流作为一个网络流加入到所述网络流集;将所述前500个字节数据作为500个离散字节数据加入到所述字节数据集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
当第一判断结果为否时,将所述任一有效离散数据流中的字节数据作为离散字节数据加入到所述字节数据集;使用预设填充字节将所述任一有效离散数据流填充至500个字节,将填充后的数据流加入到所述网络流集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
判断所述有效离散数据流集是否为空集,得到第二判断结果;
如果第二判断结果为否,触发执行所述判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果。
作为一种可选的实施方式,在本发明实施例第一方面中,所述基于所述网络流集、所述字节数据集,构建异构图,包括:
以所述网络流集中所有网络流、字节数据集中所有字节数据为节点,节点之间的关系作为边,构建由所述节点和所述边组成的拓扑结构,得到异构图;
所述异构图的边包含流-字节边、字节-字节边;
所述流-字节边表征网络流中出现该字节数据时的边;所述流-字节边权重,采用TF-IDF模型计算;所述TF-IDF表示词频-逆向文件频率(term frequency–inversedocument frequency);
TF-IDF模型计算公式如下:
Figure BDA0003846179500000031
上式中,j表示网络流,i表示网络流中的字节数据,TFij表示网络流j中字节数据i的字节数据频率,nij表示在网络流j中的出现频率,∑knkj表示网络流j中所有字节数据的出现频率之和;所述k表示除网络流j外包含字节数据i的网络流数;
Figure BDA0003846179500000032
IDFi表示字节数据i逆文档频率,|D|表示网络流集中所有网络流的数量,|{j:ti∈dj}|表示包含字节数据ti的所有网络流数;
所述字节-字节边表征网络流中的该两个字节数据共同出现时的边;所述字节-字节边权重,采用PMI模型计算;所述PMI表示点间互信息(pointwise mutual information);
PMI模型计算方法如下:
使用一个固定大小的滑动窗口在网络流集中进行滑动,来收集单字节十六进制数据的共现信息;计算滑动窗口所收集到共现单词的PMI值,以此来表征字节-字节边权重;PMI值为正时,在两个字节节点之间添加一条边,将PMI值作这条边的权重;当PMI值为负时,不添加边,将权重设置为0;计算公式如下:
Figure BDA0003846179500000041
Figure BDA0003846179500000042
Figure BDA0003846179500000043
式中,#W表示网络流集中滑动窗口的总数。#W(i)表示为包含单字节数据i的滑动窗口的数量,#W(i,j)表示同时包含单字节数据i以及单字节数据j的滑动窗口的数量。
作为一种可选的实施方式,在本发明实施例第一方面中,所述利用预设的图卷积模型对所述异构图中的特征进行学习,得到全局嵌入数据,包括:
根据所述异构图,构建邻接矩阵A和度矩阵D;所述邻接矩阵A描述所述异构图中流和字节数据之间的边连接关系,连接则记为1,反之则为0;
所述度矩阵D描述所述异构图中各个节点的边连接数量;
构建维度为N×M的特征矩阵X,将所述特征矩阵X随机初始化;所述N表征所有节点的数量,所述M表征节点特征向量的维度;
将所述邻接矩阵A、度矩阵D、特征矩阵X输入预设的图卷积模型进行学习训练,得到全局嵌入数据;
所述预设的图卷积模型包括一个两层的图卷积模型和一个全连接层。
作为一种可选的实施方式,在本发明实施例第一方面中,所述预设的编码器采用transformer中的编码结构,由L层编码器模块顺序连接组成,每个编码器模块由一个多头自注意力机制层和一个前馈全连接层顺序连接构成;所述L为大于2的自然数;
所述利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息,包括:
创建三个随机初始化的权重矩阵W1,W2,W3
构建位置嵌入数据;所述位置嵌入数据表征入字节数据在网络流中的位置;
构建学习嵌入数据;所述学习嵌入数据表征网络流量的局部信息;
将所述全局嵌入数据、位置嵌入数据、学习嵌入数据分别与所述权重矩阵W1,W2,W3相乘进行线性变换,得到查询向量Q、键向量K、值向量V;
将所述查询向量Q、键向量K、值向量V分别乘以预设的h个参数矩阵组,得到h组矩阵序列;所述h表征多头自注意力的头数;
利用注意力函数,计算所述h组矩阵序列的注意力,得到h个注意力向量;
所述注意力函数headi计算公式如下:
Figure BDA0003846179500000051
式中,headi表示第i个自注意力头,Qi、Ki、Vi分别表示第i个自注意力头的查询向量矩阵、键向量矩阵、值向量矩阵,dmodel表示嵌入数据的维度大小,所述i大于等于1且小于等于h。
将所述h个注意力向量进行拼接,得到多头自注意力矩阵;
多头自注意力矩阵的输出计算公式如下所示:
Figure BDA0003846179500000052
式中,Q表示查询向量矩阵、K表示键向量矩阵,V表示值向量矩阵,且
Figure BDA0003846179500000053
W0表示附加的权重矩阵,且
Figure BDA0003846179500000054
且dV=dmodel/h,headi表示第i个自注意力头。
将所述多头自注意力矩阵输入所述前馈全连接层进行处理,得到中间网络流量数据的特征信息;
所述前馈全连接包含有两个线性变换结构以及一个ReLU激活函数,其可描述为如下计算式:
FFN(x)=W2(ReLU(W1x+b1))+b2
式中,式中,x表示输入向量,FFN(x)表示前馈网络层输出函数,W1、W2为权重矩阵,b1、b2为偏置。
将所述中间网络流量数据的特征信息输入到所述L层编码器模块中下一层编码器模块进行计算,直至最后一层编码器模块完成处理,得到网络流量数据的特征信息。
作为一种可选的实施方式,在本发明实施例第一方面中,所述构建位置嵌入数据,包括:
根据预设的位置嵌入数据构建模型计算得到位置嵌入数据;
所述置嵌入数据构建模型为:
Figure BDA0003846179500000062
Figure BDA0003846179500000063
式中,pos表示的是单字节数据在一条流序列中的位置,dmodel表示嵌入数据的维度大小,2i,2i+1∈[0,dmodel-1]表示为要生成的位置嵌入数据向量中的某个维度。
作为一种可选的实施方式,在本发明实施例第一方面中,所述构建学习嵌入数据,包括:
对词汇表中单字节数据的索引进行编码,得到单字节数据编码;所述词汇表由所述网络流集中所有数据内容的字节数据组成;
将所述单字节数据编码与预设的嵌入矩阵进行矩阵乘积,得到学习嵌入数据;所述预设的嵌入矩阵维度为m×dmodel;所述m表示词汇表大小。
作为一种可选的实施方式,在本发明实施例第一方面中,所述预设的分类器由一个全连接层以及一个softmax函数组成。
全连接层计算公式如下:
Figure BDA0003846179500000061
式中,x为输入向量,Wj为权重矩阵(维度为n×K),bj为偏置。
Softmax函数计算如下:
Figure BDA0003846179500000071
式中,Aj表示全连接层第j个节点的输出,e为纳皮尔常数(2.71……),K表示输出节点的个数(即分类的类别数)。
本发明实施例第二方面公开了一种网络空间语言描述与分析装置,装置包括:
流量数据预处理模块;用于对原始网络流量数据预处理,得到网络流集和字节数据集;
异构图构建模块;用于利用所述网络流集、所述字节数据集,构建异构图;
图卷积模块;用于利用预设的图卷积模型对所述异构图进行训练学习,得到全局嵌入数据;
编码器模块;用于利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息;
分类器模块;用于利用预设的分类器对所述网络流量数据的特征信息进行分类处理,得到网络流分类结果。
作为一种可选的实施方式,在本发明实施例第二方面中,所述流量数据预处理模块对原始网络流量数据预处理,得到网络流集和字节数据集,具体包括:
初始化网络流集为空集;初始化字节数据集为空集;
删除所述原始网络流量数据中重复和空白的数据流,得到第一流量数据;
基于五元组,将所述第一流量数据切分为离散数据流,得到离散数据流集;所述五元组为源IP地址、源端口、目的IP地址、目的端口和传输层协议;
删除所述离散数据流集中所有离散数据流中包含的MAC地址、IP地址,得到有效离散数据流集;
判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
当第一判断结果为是时,从所述任一有效离散数据流中截取其前500个字节数据,将截取后的数据流作为一个网络流加入到所述网络流集;将所述前500个字节数据作为500个离散字节数据加入到所述字节数据集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
当第一判断结果为否时,将所述任一有效离散数据流中的字节数据作为离散字节数据加入到所述字节数据集;使用预设填充字节将所述任一有效离散数据流填充至500个字节,将填充后的数据流加入到所述网络流集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
判断所述有效离散数据流集是否为空集,得到第二判断结果;
如果第二判断结果为否,触发执行所述判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果。
作为一种可选的实施方式,在本发明实施例第二方面中,所述异构图构建模块利用所述网络流集、所述字节数据集,构建异构图,具体包括:
以所述网络流集中所有网络流、字节数据集中所有字节数据为节点,节点之间的关系作为边,构建由所述节点和所述边组成的拓扑结构,得到异构图;
所述异构图的边包含流-字节边、字节-字节边;
所述流-字节边表征网络流中出现该字节数据时的边;所述流-字节边权重,采用TF-IDF模型计算;
TF-IDF模型计算公式如下:
Figure BDA0003846179500000081
上式中,j表示网络流,i表示网络流中的字节数据,TFij表示网络流j中字节数据i的字节数据频率,nij表示在网络流j中的出现频率,∑knkj表示网络流j中所有字节数据的出现频率之和;所述k表示除网络流j外包含字节数据i的网络流数;
Figure BDA0003846179500000082
IDFi表示字节数据i逆文档频率,|D|表示网络流集中所有网络流的数量,|{j:ti∈dj}|表示包含字节数据ti的所有网络流数;
所述字节-字节边表征网络流中的该两个字节数据共同出现时的边;所述字节-字节边权重,采用PMI模型计算;
PMI模型计算方法如下:
使用一个固定大小的滑动窗口在网络流集中进行滑动,来收集单字节十六进制数据的共现信息;计算滑动窗口所收集到共现单词的PMI值,以此来表征字节-字节边权重;PMI值为正时,在两个字节节点之间添加一条边,将PMI值作这条边的权重;当PMI值为负时,不添加边,将权重设置为0;计算公式如下:
Figure BDA0003846179500000091
Figure BDA0003846179500000092
Figure BDA0003846179500000093
式中,#W表示网络流集中滑动窗口的总数。#W(i)表示为包含单字节数据i的滑动窗口的数量,#W(i,j)表示同时包含单字节数据i以及单字节数据j的滑动窗口的数量。
作为一种可选的实施方式,在本发明实施例第二方面中,所述图卷积模块利用预设的图卷积模型对所述异构图进行训练学习,得到全局嵌入数据,具体包括:
根据所述异构图,构建邻接矩阵A和度矩阵D;所述邻接矩阵A描述所述异构图中流和字节数据之间的边连接关系,连接则记为1,反之则为0;
所述度矩阵D描述所述异构图中各个节点的边连接数量;
构建维度为N×M的特征矩阵X,将所述特征矩阵X随机初始化;所述N表征所有节点的数量,所述M表征节点特征向量的维度;
将所述邻接矩阵A、度矩阵D、特征矩阵X输入预设的图卷积模型进行学习训练,得到全局嵌入数据;
所述预设的图卷积模型包括一个两层的图卷积模型和一个全连接层。
作为一种可选的实施方式,在本发明实施例第二方面中,所述编码器模块利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息,具体包括:
所述预设的编码器采用transformer中的编码结构,由L层编码器模块顺序连接组成,每个编码器模块由一个多头自注意力机制层和一个前馈全连接层顺序连接构成;所述L为大于2的自然数;
所述利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息,包括:
创建三个随机初始化的权重矩阵W1,W2,W3
构建位置嵌入数据;所述位置嵌入数据表征入字节数据在网络流中的位置;
构建学习嵌入数据;所述学习嵌入数据表征网络流量的局部信息;
将所述全局嵌入数据、位置嵌入数据、学习嵌入数据分别与所述权重矩阵W1,W2,W3相乘进行线性变换,得到查询向量Q、键向量K、值向量V;
将所述查询向量Q、键向量K、值向量V分别乘以预设的h个参数矩阵组,得到h组矩阵序列;所述h表征多头自注意力的头数;
利用注意力函数,计算所述h组矩阵序列的注意力,得到h个注意力向量;
所述注意力函数headi计算公式如下:
Figure BDA0003846179500000101
式中,headi表示第i个自注意力头,Qi、Ki、Vi分别表示第i个自注意力头的查询向量矩阵、键向量矩阵、值向量矩阵,dmodel表示嵌入数据的维度大小,所述i大于等于1且小于等于h。
将所述h个注意力向量进行拼接,得到多头自注意力矩阵;
多头自注意力矩阵的输出计算公式如下所示:
Output=Multihead(Q,K,V)=Concat(head1,head2,…,headn)W0
式中,Q表示查询向量矩阵、K表示键向量矩阵,V表示值向量矩阵,且
Figure BDA0003846179500000102
W0表示附加的权重矩阵,且
Figure BDA0003846179500000103
且dV=dmodel/h,headi表示第i个自注意力头。
将所述多头自注意力矩阵输入所述前馈全连接层进行处理,得到中间网络流量数据的特征信息;
所述前馈全连接包含有两个线性变换结构以及一个ReLU激活函数,其可描述为如下计算式:
FFN(x)=W2(ReLU(W1x+b1))+b2
式中,式中,x表示输入向量,FFN(x)表示前馈网络层输出函数,W1、W2为权重矩阵,b1、b2为偏置。
将所述中间网络流量数据的特征信息输入到所述L层编码器模块中下一层编码器模块进行计算,直至最后一层编码器模块完成处理,得到网络流量数据的特征信息。
作为一种可选的实施方式,在本发明实施例第二方面中,所述编码器模块构建位置嵌入数据,具体包括:
根据预设的位置嵌入数据构建模型计算得到位置嵌入数据;
所述置嵌入数据构建模型为:
Figure BDA0003846179500000111
Figure BDA0003846179500000112
式中,pos表示的是单字节数据在一条流序列中的位置,dmodel表示嵌入数据的维度大小,2i,2i+1∈[0,dmodel-1]表示为要生成的位置嵌入数据向量中的某个维度。
作为一种可选的实施方式,在本发明实施例第二方面中,所述编码器模块构建学习嵌入数据,包括:
对词汇表中单字节数据的索引进行编码,得到单字节数据编码;所述词汇表由所述网络流集中所有数据内容的字节数据组成;
将所述单字节数据编码与预设的嵌入矩阵进行矩阵乘积,得到学习嵌入数据;所述预设的嵌入矩阵维度为m×dmodel;所述m表示词汇表大小。
作为一种可选的实施方式,在本发明实施例第二方面中,所述分类器模块中分类器由一个全连接层以及一个softmax函数组成。
全连接层计算公式如下:
Figure BDA0003846179500000121
式中,x为输入向量,Wj为权重矩阵(维度为n×K),bj为偏置。
Softmax函数计算如下:
Figure BDA0003846179500000122
式中,Aj表示全连接层第j个节点的输出,e为纳皮尔常数(2.71……),K表示输出节点的个数(即分类的类别数)。
本发明第三方面公开了另一种网络空间语言描述与分析装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的网络空间语言描述与分析方法中的部分或全部步骤。
本发明的有益效果:
本发明所述的一种网络空间语言描述与分析方法,将网络流原始数据处理为网络流和字节数据,构建了包含网络流和字节之间关系的异构图,利用图卷积模型提取所述异构图的特征信息,并作为全局嵌入数据加入到编码器输入中;利用transformer编码架构来对提取的网络流语义特征进行编码处理,并基于此进行分类得到网络流分类结果信息。本发明应用于网络空间作战场景中,可以将各层级捕获到的网络流以一种统一的语言来进行描述,总结正常网络流表示方式所具有的通用特点和规律,基于此区分异常网络流。可见,本发明为网络空间中网络流表征提供一种具有普适性的通用分析方法,突破作战环境统一描述技术,解决由于多变场景带来的方法适用性差、自动化程度低的问题。
附图说明
图1是本发明实施例公开的一种网络空间语言描述与分析方法流程图;
图2是本发明实施例公开的一种编码器模块结构示意图;
图3是本发明实施例公开的一种网络空间语言描述与分析装置结构图;
图4是本发明实施例公开的另一种网络空间语言描述与分析装置结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
实施例一
请参阅图1,图1是本发明实施例公开的一种网络空间语言描述与分析方法流程图。其中,图1所描述的网络空间语言描述与分析方法用于构建网络空间作战场景系统中,如用于网络空间作战场景系统的数据处理管理的本地服务器或云端服务器等,本发明实施例不做限定。如图1所示,该网络空间语言描述与分析方法可以包括以下操作:
101、对原始网络流量数据预处理,得到网络流集和字节数据集。
102、基于网络流集、所述字节数据集,构建异构图;
103、利用预设的图卷积模型对异构图进行训练学习,得到全局嵌入数据;
104、利用预设的编码器,对全局嵌入数据进行编码处理,得到网络流量数据的特征信息;
105、利用预设的分类器对网络流量数据的特征信息进行分类处理,得到网络流分类结果。
可见,实施本发明实施例所描述的网络空间语言描述与分析方法,能够通过图卷积模型对网络流的特征进行学习,使得提取的特征可以较好地表征各类网络流,并结合学习嵌入、位置嵌入利用编码器进行编码处理,实现更好分类效果。
在一个可选的实施例中,上述步骤101中对原始网络流量数据预处理,得到网络流集和字节数据集,包括:
初始化网络流集为空集;初始化字节数据集为空集;
删除原始网络流量数据中重复和空白的数据流,得到第一流量数据;
基于五元组,将第一流量数据切分为离散数据流,得到离散数据流集;所述五元组为源IP地址、源端口、目的IP地址、目的端口和传输层协议;
删除离散数据流集中所有离散数据流中包含的MAC地址、IP地址,得到有效离散数据流集;
判断有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
当第一判断结果为是时,从该任一有效离散数据流中截取其前500个字节数据,将截取后的数据流作为一个网络流加入到所述网络流集;将该前500个字节数据作为500个离散字节数据加入到所述字节数据集;将该任一有效离散数据流从有效离散数据流集中删除;
当第一判断结果为否时,将任一有效离散数据流中的字节数据作为离散字节数据加入到字节数据集;使用预设填充字节将该任一有效离散数据流填充至500个字节,将填充后的数据流加入到所述网络流集;将该任一有效离散数据流从有效离散数据流集中删除;
判断有效离散数据流集是否为空集,得到第二判断结果;
如果第二判断结果为否,触发执行判断有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果。
可见,实施本发明实施例所描述的网络空间语言描述与分析方法,通过删除MAC地址和IP地址,有效规避了这些信息会对数据特征的提取产生负面影响。根据互联网流量的重尾特征,使用每条流前面部分的数据就足以分析流量数据,由此,通过对网络流的修剪处理,在保证数据有效性的同时,使得方法更加轻量化。
在一个可选的实施例中,上述步骤102中基于网络流集、所述字节数据集,构建异构图,包括:
以网络流集的所有网络流、字节数据集的所有字节数据为节点,节点之间的关系作为边,构建由节点和边组成的拓扑结构,得到异构图;
异构图的边包含流-字节边、字节-字节边。
可见,实施本发明实施例所描述的网络空间语言描述与分析方法,将网络流按照最小单元字节编码成完整的网络流语言,构造字节及权重关系的拓扑结构异构图。
可选的,流-字节边表征网络流中出现该字节数据时的边;该流-字节边权重,采用TF-IDF模型计算;
TF-IDF模型计算公式如下:
Figure BDA0003846179500000151
上式中,j表示网络流,i表示网络流中的字节数据,TFij表示网络流j中字节数据i的字节数据频率,nij表示在网络流j中的出现频率,∑knkj表示网络流j中所有字节数据的出现频率之和;所述k表示除网络流j外包含字节数据i的网络流数;
Figure BDA0003846179500000152
IDFi表示字节数据i逆文档频率,|D|表示网络流集中所有网络流的数量,|{j:ti∈dj}|表示包含字节数据ti的所有网络流数;
可见,如果包含字节数据ti的所有网络流数较少,则IDF的值越大,那么该字节数据则具有更好的区分不同类别的能力。
可选的,字节-字节边表征网络流中的该两个字节数据共同出现时的边;该字节-字节边权重,采用PMI模型计算;
PMI模型计算方法如下:
使用一个固定大小的滑动窗口在网络流集中进行滑动,来收集单字节十六进制数据的共现信息;计算滑动窗口所收集到共现单词的PMI值,以此来表征字节-字节边权重;PMI值为正时,在两个字节节点之间添加一条边,将PMI值作这条边的权重;当PMI值为负时,不添加边,将权重设置为0;计算公式如下:
Figure BDA0003846179500000161
Figure BDA0003846179500000162
Figure BDA0003846179500000163
式中,#W表示网络流集中滑动窗口的总数。#W(i)表示为包含单字节数据i的滑动窗口的数量,#W(i,j)表示同时包含单字节数据i以及单字节数据j的滑动窗口的数量。
PMI值表明了两个单字节数据在一定范围内的共现频率。对于两个任意节点来说,他们的共现次数越多,则PMI值就越大,那么这两个节点之间的关系就越紧密。
可见,实施本发明实施例所描述的网络空间语言描述与分析方法,利用网络流和字节,构建了异构图,并根据TF-IDF模型、PMI模型计算计算了边的权重,把流与字节间的语义关系将其转换为计算机可读的结构化数据。
在一个可选的实施例中,上述步骤103中利用预设的图卷积模型对异构图中的特征进行学习,得到全局嵌入数据,包括:
根据异构图,构建邻接矩阵A和度矩阵D;邻接矩阵A描述异构图中流和字节数据之间的边连接关系,连接则记为1,反之则为0;
度矩阵D描述异构图中各个节点的边连接数量;
构建维度为N×M的特征矩阵X,将特征矩阵X随机初始化;所述N表征所有节点的数量,所述M表征节点特征向量的维度;
将邻接矩阵A、度矩阵D、特征矩阵X输入预设的图卷积模型进行学习训练,得到全局嵌入数据;
预设的图卷积模型包括一个两层的图卷积模型和一个全连接层。
可选的,图卷积模型对异构图的特征进行学习训练,包括:
使用神经网络模型对图结构进行编码,并且针对所有带有标签的节点在受监督的目标上进行训练。对于一组数据,用N个节点构造出一个图
Figure BDA00038461795000001712
其中
Figure BDA00038461795000001713
代表构成这个图的N个节点,ε代表着节点之间的边。引入图G的一个邻接矩阵
Figure BDA0003846179500000171
以及一个度矩阵D,其中Dii=∑jAij,这两个矩阵表示节点之间的关系,即图G中的边。对于每个节点,它们都有自己的特征向量,因此图卷积模型还需要一个包含所有节点特征的矩阵
Figure BDA0003846179500000172
其中M表示节点特征向量的维度。矩阵A、D以及X为最终的图卷积模型输入数据。
对于多层多卷积模型,其逐层传播规则的计算公式为:
Figure BDA0003846179500000173
式中,
Figure BDA0003846179500000174
是无向图G的加上节点自连接的邻接矩阵,其中的IN为单位矩阵,矩阵
Figure BDA0003846179500000175
是矩阵
Figure BDA0003846179500000176
的度矩阵,并且其计算式为
Figure BDA0003846179500000177
Figure BDA0003846179500000178
是第l层的特征向量数据,其中的P表示特征向量的维度,而对于输入层来说,H(0)为特征矩阵X,W(l)是一个特定于层的可训练的权重矩阵,最后,σ(·)表示为激活函数。
在本实施例中,构建了一个两层的图卷积网络,激活函数为ReLU函数,最后经过softmax函数来计算概率,那么前向的传播计算公式为:
Figure BDA0003846179500000179
在此公式中,
Figure BDA00038461795000001710
Figure BDA00038461795000001711
是一个隐藏层中具有H个特征图的输入层到隐藏层的权重矩阵;
Figure BDA0003846179500000181
是一个隐藏层到输出层的权重矩阵。
可见,实施本发明实施例所描述的网络空间语言描述与分析方法,根据异构图结构信息,构建邻接矩阵、度矩阵以及特征矩阵,通过图卷积模型对邻接矩阵、度矩阵以及特征矩阵进行处理,得到异构图的特征,该特征可以较好地表征各类网络流。
在又一个可选的实施例中,上述步骤104中利用预设的编码器,对全局嵌入数据进行编码处理,得到网络流量数据的特征信息,包括:
可选的,本实施例中预设的编码器采用transformer中的编码结构,由L层编码器模块顺序连接组成,如图2所示,图2是本实施例所公开的一种编码器模块结构示意图,每个编码器模块由一个多头自注意力机制层和一个前馈全连接层顺序连接构成;所述L为大于2的自然数;
创建三个随机初始化的权重矩阵W1,W2,W3
构建位置嵌入数据;所述位置嵌入数据表征入字节数据在网络流中的位置;
构建学习嵌入数据;所述学习嵌入数据表征网络流量的局部信息;
将全局嵌入数据、位置嵌入数据、学习嵌入数据分别与权重矩阵W1,W2,W3相乘进行线性变换,得到查询向量Q、键向量K、值向量V;
将查询向量Q、键向量K、值向量V分别乘以预设的h个参数矩阵组,得到h组矩阵序列;所述h表征多头自注意力的头数;
利用注意力函数,计算h组矩阵序列的注意力,得到h个注意力向量;
注意力函数headi计算公式如下:
Figure BDA0003846179500000182
式中,headi表示第i个自注意力头,Qi、Ki、Vi分别表示第i个自注意力头的查询向量矩阵、键向量矩阵、值向量矩阵,dmodel表示嵌入数据的维度大小,所述i大于等于1且小于等于h。
将h个注意力向量进行拼接,得到多头自注意力矩阵;
多头自注意力矩阵的输出计算公式如下所示:
Output=Multihead(Q,K,V)=Concat(head1,head2,…,headn)W0
式中,Q表示查询向量矩阵、K表示键向量矩阵,V表示值向量矩阵,且
Figure BDA0003846179500000191
W0表示附加的权重矩阵,且
Figure BDA0003846179500000192
且dV=dmodel/h,headi表示第i个自注意力头。
将多头自注意力矩阵输入前馈全连接层进行处理,得到中间网络流量数据的特征信息;
前馈全连接包含有两个线性变换结构以及一个ReLU激活函数,其可描述为如下计算式:
FFN(x)=W2(ReLU(W1x+b1))+b2
式中,式中,x表示输入向量,FFN(x)表示前馈网络层输出函数,W1、W2为权重矩阵,b1、b2为偏置。
将中间网络流量数据的特征信息输入到所述L层编码器模块中下一层编码器模块进行计算,直至最后一层编码器模块完成处理,得到网络流量数据的特征信息。
在又一个可选的实施例中,上述构建位置嵌入数据,具体包括:
根据预设的位置嵌入数据构建模型计算得到位置嵌入数据;
所述置嵌入数据构建模型为:
Figure BDA0003846179500000193
Figure BDA0003846179500000194
式中,pos表示的是单字节数据在一条流序列中的位置,dmodel表示嵌入数据的维度大小,2i,2i+1∈[0,dmodel-1]表示为要生成的位置嵌入数据向量中的某个维度。
在又一个可选的实施例中,上述构建学习嵌入数据,具体包括:
采用one-hot编码对词汇表中单字节数据的索引进行编码,得到单字节数据编码;所述词汇表由所述网络流集中所有数据内容的字节数据组成;所述词汇表大小为257,包括256个单字节数据和填充字节“P”;
将单字节数据编码与嵌入矩阵进行矩阵乘积,得到每个单字节数据的学习嵌入数据;所述嵌入矩阵是随机初始化的,其维度为257×dmodel,之后在训练过程中会自适应更新,来学习网络流量的局部信息。
例如:p∈[0,256]为输入单字节数据的索引,则其学习到的嵌入数据为:
F=one-hot(p)×Wl
式中,F表示单字节的学习嵌入数据,one-hot(·)表示采用one-hot方法进行编码,
Figure BDA0003846179500000201
表示嵌入数据矩阵。
在又一个可选的实施例中,上述步骤105中预设的分类器由一个全连接层以及一个softmax函数组成。
全连接层计算公式如下:
Figure BDA0003846179500000202
式中,x为输入向量,Wj为权重矩阵(维度为n×K),bj为偏置。
Softmax函数计算如下:
Figure BDA0003846179500000203
式中,Aj表示全连接层第j个节点的输出,e为纳皮尔常数(2.71……),K表示输出节点的个数。
可见,本实施例所描述的网络空间语言描述与分析方法,将流量数据处理为网络流和字节数据,将其构建为异构图,提取所述异构图的邻接矩阵、度矩阵以及特征矩阵,并作为全局嵌入数据加入到编码器输入中;结合学习嵌入、位置嵌入数据,利用transformer编码架构对网络流语义特征进行编码,并基于此进行分类,得到网络流分类结果信息。本发明将网络流原始数据看作具有一定语义信息的文本,以一种统一的语言来进行描述,总结正常网络流表示方式所具有的通用特点和规律,基于此区分异常网络流。可用于网络空间作战场景中,解决由于多变场景带来的方法适用性差、自动化程度低的问题。
实施例二
请参阅图3,图3是本发明实施例公开的一种网络空间语言描述与分析装置结构图。其中,图3所描述的网络空间语言描述与分析装置用于构建网络空间作战场景系统中,如用于网络空间作战场景系统的数据处理管理的本地服务器或云端服务器等,本发明实施例不做限定。如图3所示,该装置可以包括:
流量数据预处理模块301;用于对原始网络流量数据预处理,得到网络流集和字节数据集;
异构图构建模块302;用于利用网络流集、所述字节数据集,构建异构图;
图卷积模块303;用于利用预设的图卷积模型对异构图进行训练学习,得到全局嵌入数据;
编码器模块304;用于利用预设的编码器,对全局嵌入数据进行编码处理,得到网络流量数据的特征信息;
分类器模块305;用于利用预设的分类器对网络流量数据的特征信息进行分类处理,得到网络流分类结果。
可见,实施图3所描述的网络空间语言描述与分析装置,能够将网络流原始数据转换为图结构,根据构建的图结构信息,提取特征信息,通过编码器和分类器处理,得到网络流的分类信息。本实施例提供了一种网络空间统一网络流描述语言,总结正常网络流表示方式所具有的通用特点和规律,基于此区分异常网络流。由此,在网络空间中突破作战环境统一描述技术,解决由于多变场景带来的方法适用性差、自动化程度低的问题。
在另一个可选的实施例中,如图3所示,流量数据预处理模块301对原始网络流量数据预处理,得到网络流集和字节数据集具体方式为:
初始化网络流集为空集;初始化字节数据集为空集;
删除所述原始网络流量数据中重复和空白的数据流,得到第一流量数据;
基于五元组,将所述第一流量数据切分为离散数据流,得到离散数据流集;所述五元组为源IP地址、源端口、目的IP地址、目的端口和传输层协议;
删除所述离散数据流集中所有离散数据流中包含的MAC地址、IP地址,得到有效离散数据流集;
判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
当第一判断结果为是时,从所述任一有效离散数据流中截取其前500个字节数据,将截取后的数据流作为一个网络流加入到所述网络流集;将所述前500个字节数据作为500个离散字节数据加入到所述字节数据集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
当第一判断结果为否时,将所述任一有效离散数据流中的字节数据作为离散字节数据加入到所述字节数据集;使用预设填充字节将所述任一有效离散数据流填充至500个字节,将填充后的数据流加入到所述网络流集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
判断所述有效离散数据流集是否为空集,得到第二判断结果;
如果第二判断结果为否,触发执行所述判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果。
在又一个可选的实施例中,如图3所示,异构图构建模块302利用网络流集、所述字节数据集,构建异构图,具体方式为:
以所述网络流集中所有网络流、字节数据集中所有字节数据为节点,节点之间的关系作为边,构建由所述节点和所述边组成的拓扑结构,得到异构图;
异构图的边包含流-字节边、字节-字节边;
流-字节边表征网络流中出现该字节数据时的边;该流-字节边权重,采用TF-IDF模型计算;
TF-IDF模型计算公式如下:
Figure BDA0003846179500000221
上式中,j表示网络流,i表示网络流中的字节数据,TFij表示网络流j中字节数据i的字节数据频率,nij表示在网络流j中的出现频率,∑knkj表示网络流j中所有字节数据的出现频率之和;所述k表示除网络流j外包含字节数据i的网络流数;
Figure BDA0003846179500000231
IDFi表示字节数据i逆文档频率,|D|表示网络流集中所有网络流的数量,|{j:ti∈dj}|表示包含字节数据ti的所有网络流数;
字节-字节边表征网络流中的该两个字节数据共同出现时的边;该字节-字节边权重,采用PMI模型计算;
PMI模型计算方法如下:
使用一个固定大小的滑动窗口在网络流集中进行滑动,来收集单字节十六进制数据的共现信息;计算滑动窗口所收集到共现单词的PMI值,以此来表征字节-字节边权重;PMI值为正时,在两个字节节点之间添加一条边,将PMI值作这条边的权重;当PMI值为负时,不添加边,将权重设置为0;计算公式如下:
Figure BDA0003846179500000232
Figure BDA0003846179500000233
Figure BDA0003846179500000234
式中,#W表示网络流集中滑动窗口的总数。#W(i)表示为包含单字节数据i的滑动窗口的数量,#W(i,j)表示同时包含单字节数据i以及单字节数据j的滑动窗口的数量。
在又一个可选的实施例中,如图3所示,图卷积模块303利用预设的图卷积模型对异构图进行训练学习,得到全局嵌入数据,具体包括:
根据异构图,构建邻接矩阵A和度矩阵D;上述邻接矩阵A描述所述异构图中流和字节数据之间的边连接关系,连接则记为1,反之则为0;
上述度矩阵D描述所述异构图中各个节点的边连接数量;
构建维度为N×M的特征矩阵X,将特征矩阵X随机初始化;所述N表征所有节点的数量,所述M表征节点特征向量的维度;
将邻接矩阵A、度矩阵D、特征矩阵X输入预设的图卷积模型进行学习训练,得到全局嵌入数据;
预设的图卷积模型包括一个两层的图卷积模型和一个全连接层。
在又一个可选的实施例中,如图3所示,编码器模块304利用预设的编码器,对全局嵌入数据进行编码处理,得到网络流量数据的特征信息,具体包括:
上述预设的编码器采用transformer中的编码结构,由L层编码器模块顺序连接组成,每个编码器模块由一个多头自注意力机制层和一个前馈全连接层顺序连接构成;所述L为大于2的自然数;
上述利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息,包括:
创建三个随机初始化的权重矩阵W1,W2,W3
构建位置嵌入数据;上述位置嵌入数据表征入字节数据在网络流中的位置;
构建学习嵌入数据;上述学习嵌入数据表征网络流量的局部信息;
将上述全局嵌入数据、位置嵌入数据、学习嵌入数据分别与权重矩阵W1,W2,W3相乘进行线性变换,得到查询向量Q、键向量K、值向量V;
将查询向量Q、键向量K、值向量V分别乘以预设的h个参数矩阵组,得到h组矩阵序列;上述h表征多头自注意力的头数;
利用注意力函数,计算所述h组矩阵序列的注意力,得到h个注意力向量;
所述注意力函数headi计算公式如下:
Figure BDA0003846179500000241
式中,headi表示第i个自注意力头,Qi、Ki、Vi分别表示第i个自注意力头的查询向量矩阵、键向量矩阵、值向量矩阵,dmodel表示嵌入数据的维度大小,所述i大于等于1且小于等于h。
将上述h个注意力向量进行拼接,得到多头自注意力矩阵;
多头自注意力矩阵的输出计算公式如下所示:
Output=Multihead(Q,K,V)=Concat(head1,head2,…,headn)W0
式中,Q表示查询向量矩阵、K表示键向量矩阵,V表示值向量矩阵,且
Figure BDA0003846179500000251
W0表示附加的权重矩阵,且
Figure BDA0003846179500000252
且dV=dmodel/h,headi表示第i个自注意力头。
将上述多头自注意力矩阵输入前馈全连接层进行处理,得到中间网络流量数据的特征信息;
上述前馈全连接包含有两个线性变换结构以及一个ReLU激活函数,其可描述为如下计算式:
FFN(x)=W2(ReLU(W1x+b1))+b2
式中,式中,x表示输入向量,FFN(x)表示前馈网络层输出函数,W1、W2为权重矩阵,b1、b2为偏置。
将上述中间网络流量数据的特征信息输入到上述L层编码器模块中下一层编码器模块进行计算,直至最后一层编码器模块完成处理,得到网络流量数据的特征信息。
在又一个可选的实施例中,上述构建位置嵌入数据,具体方式为:
根据预设的位置嵌入数据构建模型计算得到位置嵌入数据;
所述置嵌入数据构建模型为:
Figure BDA0003846179500000253
Figure BDA0003846179500000254
式中,pos表示的是单字节数据在一条流序列中的位置,dmodel表示嵌入数据的维度大小,2i,2i+1∈[0,dmodel-1]表示为要生成的位置嵌入数据向量中的某个维度。
在又一个可选的实施例中,上述构建学习嵌入数据,具体方式为:
对词汇表中单字节数据的索引进行编码,得到单字节数据编码;所述词汇表由所述网络流集中所有数据内容的字节数据组成;
将所述单字节数据编码与预设的嵌入矩阵进行矩阵乘积,得到学习嵌入数据;所述预设的嵌入矩阵维度为m×dmodel;所述m表示词汇表大小。
在又一个可选的实施例中,分类器模块305中分类器由一个全连接层以及一个softmax函数组成。
全连接层计算公式如下:
Figure BDA0003846179500000261
式中,x为输入向量,Wj为权重矩阵(维度为n×K),bj为偏置。
Softmax函数计算如下:
Figure BDA0003846179500000262
式中,Aj表示全连接层第j个节点的输出,e为纳皮尔常数(2.71……),K表示输出节点的个数。
实施例三
请参阅图4,图4是本发明实施例公开的一种网络空间语言描述与分析装置结构图。其中,图4所描述的网络空间语言描述与分析方法用于构建网络空间作战场景系统中,如用于网络空间作战场景系统的数据处理管理的本地服务器或云端服务器等,本发明实施例不做限定。如图4所示,该装置可以包括:
存储有可执行程序代码的存储器401;
与存储器401耦合的处理器402;
处理器402调用存储器401中存储的可执行程序代码,用于执行实施例一所描述的网络空间语言描述与分析方法中的步骤。
以上所描述的装置实施例仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
最后应说明的是:本发明实施例公开的一种网络空间语言描述与分析方法所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。

Claims (9)

1.一种网络空间语言描述与分析方法,其特征在于,包括:
对原始网络流量数据预处理,得到网络流集和字节数据集,包括:
初始化网络流集为空集;
初始化字节数据集为空集;
删除所述原始网络流量数据中重复和空白的数据流,得到第一流量数据;
基于五元组,将所述第一流量数据切分为离散数据流,得到离散数据流集;所述五元组为源IP地址、源端口、目的IP地址、目的端口和传输层协议;
删除所述离散数据流集中所有离散数据流包含的MAC地址、IP地址,得到有效离散数据流集;
判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
当第一判断结果为是时,从所述任一有效离散数据流中截取其前500个字节数据,将截取后的数据流作为一个网络流加入到所述网络流集;将所述前500个字节数据作为500个离散字节数据加入到所述字节数据集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
当第一判断结果为否时,将所述任一有效离散数据流中的字节数据作为离散字节数据加入到所述字节数据集;使用预设填充字节将所述任一有效离散数据流填充至500个字节,将填充后的数据流加入到所述网络流集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
判断所述有效离散数据流集是否为空集,得到第二判断结果;
如果第二判断结果为否,触发执行所述判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
基于所述网络流集、所述字节数据集,构建异构图;
利用预设的图卷积模型对所述异构图进行训练学习,得到全局嵌入数据;
利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息;
利用预设的分类器对所述网络流量数据的特征信息进行分类处理,得到网络流分类结果。
2.根据权利要求1所述的网络空间语言描述与分析方法,其特征在于,所述基于所述网络流集、所述字节数据集,构建异构图,包括:
以所述网络流集中所有网络流、字节数据集中所有字节数据为节点,节点之间的关系作为边,构建由所述节点和所述边组成的拓扑结构,得到异构图;
所述异构图的边包含流-字节边、字节-字节边;
所述流-字节边表征网络流中出现该字节数据时的边;所述流-字节边权重,采用TF-IDF模型计算;
所述字节-字节边表征网络流中的该两个字节数据共同出现时的边;所述字节-字节边权重,采用PMI模型计算。
3.根据权利要求1所述的网络空间语言描述与分析方法,其特征在于,所述利用预设的图卷积模型对所述异构图中的特征进行学习,得到全局嵌入数据,包括:
根据所述异构图,构建邻接矩阵A和度矩阵D;所述邻接矩阵A描述所述异构图中流和字节数据之间的边连接关系,连接则记为1,反之则为0;
所述度矩阵D描述所述异构图中各个节点的边连接数量;
构建维度为N×M的特征矩阵X,将所述特征矩阵X随机初始化;所述N表征所有节点的数量,所述M表征节点特征向量的维度;
将所述邻接矩阵A、度矩阵D、特征矩阵X输入预设的图卷积模型进行学习训练,得到全局嵌入数据;
所述预设的图卷积模型包括一个两层的图卷积模型和一个全连接层。
4.根据权利要求1所述的网络空间语言描述与分析方法,其特征在于,所述预设的编码器采用transformer中的编码结构,由L层编码器模块顺序连接组成,每个编码器模块由一个多头自注意力机制层和一个前馈全连接层顺序连接构成;所述L为大于2的自然数;
所述利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息,包括:
创建三个随机初始化的权重矩阵W1,W2,W3
构建位置嵌入数据;所述位置嵌入数据表征入字节数据在网络流中的位置;
构建学习嵌入数据;所述学习嵌入数据表征网络流量的局部信息;
将所述全局嵌入数据、位置嵌入数据、学习嵌入数据分别与所述权重矩阵W1,W2,W3相乘进行线性变换,得到查询向量Q、键向量K、值向量V;
将所述查询向量Q、键向量K、值向量V分别乘以预设的h个参数矩阵组,得到h组矩阵序列;所述h表征多头自注意力的头数;
利用缩放点积注意力函数,计算所述h组矩阵序列的注意力,得到h个注意力向量;
将所述h个注意力向量进行拼接,得到多头自注意力矩阵;
将所述多头自注意力矩阵输入所述前馈全连接层进行处理,得到中间网络流量数据的特征信息;
将所述中间网络流量数据的特征信息输入到所述L层编码器模块中下一层编码器模块进行计算,直至最后一层编码器模块完成处理,得到网络流量数据的特征信息。
5.根据权利要求4所述的网络空间语言描述与分析方法,其特征在于,所述构建位置嵌入数据,包括:
根据预设的位置嵌入数据构建模型计算得到位置嵌入数据;
所述置嵌入数据构建模型为:
Figure FDA0004103991420000031
Figure FDA0004103991420000032
式中,pos表示的是单字节数据在一条流序列中的位置,dmodel表示嵌入数据的维度大小,2i,2i+1∈[0,dmodel-1]表示为要生成的位置嵌入数据向量中的某个维度。
6.根据权利要求4所述的网络空间语言描述与分析方法,其特征在于,所述构建学习嵌入数据,包括:
对词汇表中单字节数据的索引进行编码,得到单字节数据编码;所述词汇表由所述网络流集中所有数据内容的字节数据组成;
将所述单字节数据编码与预设的嵌入矩阵进行矩阵乘积,得到学习嵌入数据;所述预设的嵌入矩阵维度为m×dmodel;所述m表示词汇表大小,所述dmodel表示嵌入数据的维度大小。
7.根据权利要求1所述的网络空间语言描述与分析方法,其特征在于,所述预设的分类器由一个全连接层以及一个softmax函数组成。
8.一种网络空间语言描述与分析装置,其特征在于,所述装置包括:
流量数据预处理模块;用于对原始网络流量数据预处理,得到网络流集和字节数据集;
所述流量数据预处理模块对原始网络流量数据预处理,得到网络流集和字节数据集,包括:
初始化网络流集为空集;
初始化字节数据集为空集;
删除所述原始网络流量数据中重复和空白的数据流,得到第一流量数据;
基于五元组,将所述第一流量数据切分为离散数据流,得到离散数据流集;所述五元组为源IP地址、源端口、目的IP地址、目的端口和传输层协议;
删除所述离散数据流集中所有离散数据流包含的MAC地址、IP地址,得到有效离散数据流集;
判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
当第一判断结果为是时,从所述任一有效离散数据流中截取其前500个字节数据,将截取后的数据流作为一个网络流加入到所述网络流集;将所述前500个字节数据作为500个离散字节数据加入到所述字节数据集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
当第一判断结果为否时,将所述任一有效离散数据流中的字节数据作为离散字节数据加入到所述字节数据集;使用预设填充字节将所述任一有效离散数据流填充至500个字节,将填充后的数据流加入到所述网络流集;将所述任一有效离散数据流从所述有效离散数据流集中删除;
判断所述有效离散数据流集是否为空集,得到第二判断结果;
如果第二判断结果为否,触发执行所述判断所述有效离散数据流集中任一有效离散数据流包含的字节数是否大于等于500,得到第一判断结果;
异构图构建模块;用于利用所述网络流集、所述字节数据集,构建异构图;
图卷积模块;用于利用预设的图卷积模型对所述异构图进行训练学习,得到全局嵌入数据;
编码器模块;用于利用预设的编码器,对所述全局嵌入数据进行编码处理,得到网络流量数据的特征信息;
分类器模块;用于利用预设的分类器对所述网络流量数据的特征信息进行分类处理,得到网络流分类结果。
9.一种网络空间语言描述与分析装置,其特征在于,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-7任一项所述的网络空间语言描述与分析方法。
CN202211118012.5A 2022-09-14 2022-09-14 一种网络空间语言描述与分析方法及装置 Active CN115455258B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211118012.5A CN115455258B (zh) 2022-09-14 2022-09-14 一种网络空间语言描述与分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211118012.5A CN115455258B (zh) 2022-09-14 2022-09-14 一种网络空间语言描述与分析方法及装置

Publications (2)

Publication Number Publication Date
CN115455258A CN115455258A (zh) 2022-12-09
CN115455258B true CN115455258B (zh) 2023-04-18

Family

ID=84303460

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211118012.5A Active CN115455258B (zh) 2022-09-14 2022-09-14 一种网络空间语言描述与分析方法及装置

Country Status (1)

Country Link
CN (1) CN115455258B (zh)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111209933A (zh) * 2019-12-25 2020-05-29 国网冀北电力有限公司信息通信分公司 基于神经网络和注意力机制的网络流量分类方法和装置
CN111737551B (zh) * 2020-05-26 2022-08-05 国家计算机网络与信息安全管理中心 一种基于异构图注意力神经网络的暗网线索检测方法
CN111708922A (zh) * 2020-06-19 2020-09-25 北京百度网讯科技有限公司 用于表示异构图节点的模型生成方法及装置
CN112733027B (zh) * 2021-01-08 2022-10-25 西安交通大学 一种基于局部和全局表示模型联合学习的混合推荐方法
CN113852492A (zh) * 2021-09-01 2021-12-28 南京信息工程大学 基于注意力机制和图卷积神经网络的网络流量预测方法
CN114422381B (zh) * 2021-12-14 2023-05-26 西安电子科技大学 通信网络流量预测方法、系统、存储介质及计算机设备
CN114818850A (zh) * 2022-03-07 2022-07-29 北京邮电大学 基于聚类压缩的网络流空间映射表征方法、装置和存储介质
CN114742071B (zh) * 2022-05-12 2024-04-23 昆明理工大学 基于图神经网络的汉越跨语言观点对象识别分析方法
CN114880479B (zh) * 2022-06-14 2024-06-18 昆明理工大学 基于多级交互和图重构的异构图卷积谣言检测方法

Also Published As

Publication number Publication date
CN115455258A (zh) 2022-12-09

Similar Documents

Publication Publication Date Title
CN112398779B (zh) 一种网络流量数据分析方法及系统
CN112700252B (zh) 一种信息安全性检测方法、装置、电子设备和存储介质
CN109698836A (zh) 一种基于深度学习的无线局域网入侵检测方法和系统
CN107786388B (zh) 一种基于大规模网络流数据的异常检测系统
WO2023179429A1 (zh) 一种视频数据的处理方法、装置、电子设备及存储介质
WO2021160930A1 (en) System and method for providing cyber security
CN114422211A (zh) 基于图注意力网络的http恶意流量检测方法及装置
CN114172688A (zh) 基于gcn-dl的加密流量网络威胁关键节点自动提取方法
CN115130711A (zh) 一种数据处理方法、装置、计算机及可读存储介质
Sun et al. Image steganalysis based on convolutional neural network and feature selection
Marshall et al. A neural network approach for truth discovery in social sensing
CN115080756A (zh) 一种面向威胁情报图谱的攻防行为和时空信息抽取方法
CN114422271B (zh) 数据处理方法、装置、设备及可读存储介质
CN114138968A (zh) 一种网络热点的挖掘方法、装置、设备及存储介质
CN114398685A (zh) 一种政务数据处理方法、装置、计算机设备及存储介质
CN113254580A (zh) 一种特殊群体搜索方法及系统
CN115455258B (zh) 一种网络空间语言描述与分析方法及装置
CN112839051A (zh) 基于卷积神经网络的加密流量实时分类方法及装置
Altuncu et al. Deep learning based DNS tunneling detection and blocking system
CN115225373B (zh) 一种信息不完备条件下的网络空间安全态势表达方法及装置
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN113343041B (zh) 基于图模型表示学习的消息回复关系判断系统
CN114860903A (zh) 一种面向网络安全领域的事件抽取、分类和融合方法
CN112052336B (zh) 一种基于社交网络平台信息的交通突发事件识别方法及系统
CN114358177A (zh) 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant