CN115834145A - 一种基于深度学习的卫星异常流量检测方法和系统 - Google Patents
一种基于深度学习的卫星异常流量检测方法和系统 Download PDFInfo
- Publication number
- CN115834145A CN115834145A CN202211362777.3A CN202211362777A CN115834145A CN 115834145 A CN115834145 A CN 115834145A CN 202211362777 A CN202211362777 A CN 202211362777A CN 115834145 A CN115834145 A CN 115834145A
- Authority
- CN
- China
- Prior art keywords
- traffic
- adversarial
- data
- model
- picture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于深度学习的卫星异常流量检测方法和系统,方法包括如下步骤:S1,获取网络流量;S2,将生成的每条网络流量进行数据预处理并统一格式,使网络流量可视化为图片;S3,将S2中得到的网络流量图片输入监督模型,并输出预测标签;S4,将多种模型输出的预测标签与真实标签对比,得到模型测试的准确率、召回率、精准率、F1分数四项指标;S5,通过对抗样本生成算法生成网络流量图片对抗样本,欺骗流量分类模型;S6,通过对抗样本防御模型判断网络流量图片是否添加扰动,对恶意流量进行防御。本发明无需人为介入设计提取统计特征,有利于减少人工成本和时间代价。
Description
技术领域
本发明涉及恶意流量检测领域,具体是一种基于深度学习的卫星异常流量检测方法和系统。
背景技术
卫星作为新型宽带互联网接入越来越受到关注,目前,卫星通信已成为通信系统的一个重要研究领域,其应用范围包括银行,石油,航空航天,广播媒体,电信等重要行业,然而,在卫星网络安全性受到威胁时,所产生的后果是不容忽视的。卫星网络的安全问题是一个不可忽略的问题。
基于网络流量分类的恶意流量检测方法是目前最受国内外关注的方法,它是将流量划分为异常流量和正常流量,以实现网络域内流量的实时监测。这种基于分类的恶意流量检测方法可以划分为:基于深度包检测的方法、基于端口号的方法、基于行为的方法和基于统计特征的方法。其中基于端口号的恶意流量检测方法是最快捷的方式,但是由于端口混淆技术的影响导致误检率较高,因此该方式在实际网络环境中极少被使用;而基于深度包检测的方式由于不能处理加密流量,因此在当今加密技术的时代中该方式并不受欢迎;基于行为和基于统计特征的方法较为灵活,它需要专业的研究人员预先设计一组特征,并且需要结合训练的效果有针对性地重新选择有价值的特征组,该方法由于难以确定通用的特征组导致较大的人工成本和时间代价。
传统的基于分类的恶意流量检测方法采用的是单一的模型来衡量该方法的好坏,这种方式过于片面。这种不考虑多种模型带来的差异效果,从而无法获得较佳的说服力,同样也是不被完全认可的方式。
发明内容
为解决现有技术所存在的技术问题,本发明提供一种基于深度学习的卫星异常流量检测方法和系统。该方法不需要人工设计提取特征组,能够通过多种方法生成流量对抗样本,适用于多种模型,实现适应度强、应用范围广、可靠性较高的检测。
本发明提一种基于深度学习的卫星异常流量检测方法,包括以下步骤:
S1,获取网络流量;
S2,将生成的每条网络流量进行数据预处理,使网络流量可视化为图片;
S3,将S2中得到的网络流量图片输入监督模型,并输出预测标签;
S4,将多种模型输出的预测标签与真实标签对比,得到模型测试的准确率、召回率、精准率、F1分数四项指标;
S5,通过对抗样本生成算法生成网络流量图片对抗样本,欺骗监督模型;
S6,通过对抗样本防御模型判断网络流量图片是否添加扰动,对恶意流量进行防御。
优选地,在S1中,基于低轨卫星平台,监听低轨卫星平台中的流量数据,依据自定义的拦截规则捕获流入或流经低轨卫星主机的DNS流量和HTTPs流量。
优选地,在S2中,该数据预处理过程包括:对捕捉的数据包进行切割数据包、获取数据包的字节流、统一字节数、字节数据十进制化、字节数据可视化、存储数据集的操作;其中,统一字节数是将每条数据包分割成m×m字节,不够字节数的数据包则在其后补零;存储数据集是将收集到的多张m×m字节的数据包、把字节数据的值直接映射为图片像素的值;将m×m字节的数据包可视化为m×m大小的图片,并存储为png格式的文件。
优选地,在S3中,监督模型为ResNet残差神经网络模型。
优选地,在S4中,该模型测试的准确率、召回率、精准率、F1分数四项指标可由如下数学公式计算获得:
其中,TP表示正常流量样本预测为正常流量样本;FN表示正常流量预测为异常流量样本;FP表示异常流量样本预测为正常流量;TN表示异常流量样本预测为异常流量样本;其中,Accuracy为准确率,Recall为召回率,Precision为精准率,F1-score为F1分数。
优选地,在S5中,通过FGSM、I-FGSM、MI-FGSM、PGD对抗样本生成算法对网络流量图片进行处理,生成对抗样本;其中四种对抗扰动可由如下数学公式计算获得:
其中,ε为限制扰动过大的约束条件,P<ε;
为训练神经网络时的损失函数,θ为分类模型的参数,x和y分别为模型的输入和输入对应的正确标签,P为经过计算在原始样本上添加的扰动量;
为点x处损失函数的梯度方向;对于I-FGSM而言,X为原始样本,
为第N个对抗样本,yLL为添加对抗样本后误被识别的样本类,a为1,
为训练神经网络时的损失函数;对于MI-FGSM,
表示对抗样本,
表示损失值,t表示迭代次数,μ为衰减系数;PGD通过
进行投影多此迭代。
优选地,在S6中,对抗样本防御模型为ResNet残差神经网络模型。
优选地,包括:恶意流量生成模块、恶意流量预处理模块、恶意流量检测模块、对抗样本生成模块和对抗样本防御模块;
恶意流量生成模块:基于低轨卫星平台,监听低轨卫星平台中的流量数据,并捕获数据包;自定义捕获流量数据的规则,根据规则匹配数据包并执行流量拦截行为;
恶意流量预处理模块:对捕捉的数据包进行切割数据包、获取数据包的字节流、统一字节数、字节数据十进制化、字节数据可视化、存储数据集的操作;其中,统一字节数是将每条数据包分割成m×m字节,而不够字节数的数据包则在其后补零;存储数据集是将收集到的多张m×m字节的数据包、把字节数据的值直接映射为图片像素的值;将m×m字节的数据包可视化为m×m大小的图片,并存储为png格式的文件;
恶意流量检测模块:预处理之后的网络流量图片输入ResNet卷积神经网络算法模型,并输出预测标签;将预测标签与真实标签对比得到模型的准确率、召回率、精准率、F1分数;
对抗样本生成模块:通过FGSM、I-FGSM、MI-FGSM、PGD对抗样本生成算法对网络流量图片进行处理,生成对抗样本,欺骗恶意流量检测模型;
对抗样本防御模块:基于卷积神经网络构建对抗样本防御模型,识别流量图片是否添加了扰动。
优选地,对抗样本生成过程包括:输入数据集中的任意一张网络流量图片,经过FGSM、I-FGSM、MI-FGSM、PGD任意方法对网络流量图片添加扰动,输出添加扰动后的网络流量图片。
本发明的系统与现有技术相比,具有如下优势:
1、无需人为介入设计提取统计特征,有利于减少人工成本和时间代价。
2、引入对抗样本生成算法,攻击恶意流量分类模型,挑选具备说服力的算法模型,有助于解决单一模型导致的片面性问题。
3、引入对抗样本防御算法,分辨流量是否添加攻击扰动,提前发现风险。
附图说明
图1为本发明步骤流程图;
图2为本发明系统模块图;
图3为本发明框架示意图;
图4为本发明实施案例中对抗攻击指标效果图;
图5为本发明实施案例中流量图片数据集示例图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一、实施例
参照图1,本发明提出了一种基于深度学习的卫星异常流量检测方法,包括以下步骤:
S1,获取网络流量;在S1中,基于低轨卫星平台,监听低轨卫星平台中的流量数据,依据自定义的拦截规则捕获流入或流经低轨卫星主机的DNS流量和HTTPs流量。
S2,将生成的每条网络流量进行数据预处理,使网络流量可视化为图片;
进一步地,对捕捉的数据包进行切割数据包、获取数据包的字节流、统一字节数、字节数据十进制化、字节数据可视化、存储数据集的操作;其中,统一字节数是将每条数据包分割成m×m字节,不够字节数的数据包则在其后补零;存储数据集是将收集到的多张m×m字节的数据包、把字节数据的值直接映射为图片像素的值;将m×m字节的数据包可视化为m×m大小的图片,并存储为png格式的文件。
S3,将S2中得到的网络流量图片输入监督模型,并输出预测标签;
进一步地,监督模型为ResNet卷机神经网络算法模型。
S4,将多种模型输出的预测标签与真实标签对比,得到模型的准确率、召回率、精准率、F1分数四项指标。
进一步地,四项指标可由如下数学公式计算获得:
其中,TP表示正常流量样本预测为正常流量样本;FN表示正常流量预测为异常流量样本;FP表示异常流量样本预测为正常流量;TN表示异常流量样本预测为异常流量样本。Accuracy为准确率,Recall为召回率,Precision为精准率,F1-score为F1分数。
S5,通过对抗样本生成算法生成网络流量图片对抗样本,欺骗监督模型;
进一步地,通过FGSM、I-FGSM、MI-FGSM、PGD对抗样本生成算法对网络流量图片进行处理,生成对抗样本;其中四种对抗扰动可由如下数学公式计算获得:
S6,通过对抗样本防御模型判断网络流量图片是否添加扰动,对恶意流量进行防御。
参照图2,本发明提出了一种基于深度学习的卫星异常流量检测系统,包括:恶意流量生成模块、恶意流量预处理模块、恶意流量检测模块、对抗样本生成模块和对抗样本防御模块;
恶意流量生成模块:基于低轨卫星平台,监听低轨卫星平台中的流量数据,并捕获数据包;自定义捕获流量数据的规则,根据规则匹配数据包并执行流量拦截行为;
恶意流量预处理模块:对捕捉的数据包进行切割数据包、获取数据包的字节流、统一字节数、字节数据十进制化、字节数据可视化、存储数据集的操作;其中,统一字节数是将每条数据包分割成m×m字节,而不够字节数的数据包则在其后补零;存储数据集是将收集到的多张m×m字节的数据包、把字节数据的值直接映射为图片像素的值;将m×m字节的数据包可视化为m×m大小的图片,并存储为png格式的文件;
恶意流量检测模块:预处理之后的网络流量图片输入ResNet卷积神经网络算法模型,并输出预测标签;将预测标签与真实标签对比得到模型的准确率、召回率、精准率、F1分数;
对抗样本生成模块:通过FGSM、I-FGSM、MI-FGSM、PGD对抗样本生成算法对网络流量图片进行处理,生成对抗样本,欺骗恶意流量检测模型;
对抗样本防御模块:基于卷积神经网络构建对抗样本防御模型,识别流量图片是否添加了扰动。
进一步地,对抗样本生成过程包括:输入数据集中的任意一张网络流量图片,经过FGSM、I-FGSM、MI-FGSM、PGD任意方法对网络流量图片添加扰动,输出添加扰动后的网络流量图片。
二、实验细节
图3反映了不同恶意流量类别的对抗攻击指标,不同对抗攻击方法的单类欺骗率与分类分布情况,展示了不同流量应用添加不同对抗扰动后的欺骗率。其中以I-FGSM攻击方法欺骗率最高,欺骗后的分类分布都集中在了端口扫描上。
图4反映了不同恶意流量类别的对抗攻击指标,不同对抗攻击方法的单类欺骗率与分类分布情况,展示了不同流量应用添加不同对抗扰动后的欺骗率。其中以I-FGSM攻击方法欺骗率最高,欺骗后的分类分布都集中在了端口扫描上。
图5表明了流量图片数据集构成。通过抓取低轨卫星中的正常流量、FTP爆破流量、SSH爆破流量、DDoS流量、端口扫描流量和Web目录扫描流量并可视化为图片,训练卷积神经网络模型,对各种流量类型进行分类。
Claims (9)
1.一种基于深度学习的卫星异常流量检测方法,其特征在于,包括以下步骤:
S1,获取网络流量;
S2,将生成的每条网络流量进行数据预处理,使网络流量可视化为图片;
S3,将S2中得到的网络流量图片输入监督模型,并输出预测标签;
S4,将多种模型输出的预测标签与真实标签对比,得到模型测试的准确率、召回率、精准率、F1分数四项指标;
S5,通过对抗样本生成算法生成网络流量图片对抗样本,欺骗监督模型;
S6,通过对抗样本防御模型判断网络流量图片是否添加扰动,对恶意流量进行防御。
2.根据权利要求1所述的一种基于深度学习的卫星异常流量检测方法,其特征在于,在S1中,基于低轨卫星平台,监听低轨卫星平台中的流量数据,依据自定义的拦截规则捕获流入或流经低轨卫星主机的DNS流量和HTTPs流量。
3.根据权利要求1所述的一种基于深度学习的卫星异常流量检测方法,其特征在于,在S2中,该数据预处理过程包括:对捕捉的数据包进行切割数据包、获取数据包的字节流、统一字节数、字节数据十进制化、字节数据可视化、存储数据集的操作;其中,统一字节数是将每条数据包分割成m×m字节,不够字节数的数据包则在其后补零;存储数据集是将收集到的多张m×m字节的数据包、把字节数据的值直接映射为图片像素的值;将m×m字节的数据包可视化为m×m大小的图片,并存储为png格式的文件。
4.根据权利要求1所述的一种基于深度学习的卫星异常流量检测方法,其特征在于,在S3中,监督模型为ResNet残差神经网络模型。
5.根据权利要求1所述的一种基于深度学习的卫星异常流量检测方法,其特征在于,在S4中,该模型测试的准确率、召回率、精准率、F1分数四项指标可由如下数学公式计算获得:
其中,TP表示正常流量样本预测为正常流量样本;FN表示正常流量预测为异常流量样本;FP表示异常流量样本预测为正常流量;TN表示异常流量样本预测为异常流量样本;其中,Accuracy为准确率,Recall为召回率,Precision为精准率,F1-score为F1分数。
6.根据权利要求3所述的一种基于深度学习的卫星异常流量检测方法,其特征在于,在S5中,通过FGSM、I-FGSM、MI-FGSM、PGD对抗样本生成算法对网络流量图片进行处理,生成对抗样本;其中四种对抗扰动可由如下数学公式计算获得:
其中,ε为限制扰动过大的约束条件,P<ε;
为训练神经网络时的损失函数,θ为分类模型的参数,x和y分别为模型的输入和输入对应的正确标签,P为经过计算在原始样本上添加的扰动量;
为点x处损失函数的梯度方向;对于I-FGSM而言,X为原始样本,
为第N个对抗样本,yLL为添加对抗样本后误被识别的样本类,a为1,
为训练神经网络时的损失函数;对于MI-FGSM,
表示对抗样本,
表示损失值,t表示迭代次数,μ为衰减系数;PGD通过
进行投影多此迭代。
7.根据权利要求1所述的一种基于深度学习的卫星异常流量检测方法,其特征在于,在S6中,对抗样本防御模型为ResNet残差神经网络模型。
8.一种基于深度学习的卫星异常流量检测系统,其特征在于,包括:恶意流量生成模块、恶意流量预处理模块、恶意流量检测模块、对抗样本生成模块和对抗样本防御模块;
恶意流量生成模块:基于低轨卫星平台,监听低轨卫星平台中的流量数据,并捕获数据包;自定义捕获流量数据的规则,根据规则匹配数据包并执行流量拦截行为;
恶意流量预处理模块:对捕捉的数据包进行切割数据包、获取数据包的字节流、统一字节数、字节数据十进制化、字节数据可视化、存储数据集的操作;其中,统一字节数是将每条数据包分割成m×m字节,而不够字节数的数据包则在其后补零;存储数据集是将收集到的多张m×m字节的数据包、把字节数据的值直接映射为图片像素的值;将m×m字节的数据包可视化为m×m大小的图片,并存储为png格式的文件;
恶意流量检测模块:预处理之后的网络流量图片输入ResNet卷积神经网络算法模型,并输出预测标签;将预测标签与真实标签对比得到模型的准确率、召回率、精准率、F1分数;
对抗样本生成模块:通过FGSM、I-FGSM、MI-FGSM、PGD对抗样本生成算法对网络流量图片进行处理,生成对抗样本,欺骗恶意流量检测模型;
对抗样本防御模块:基于卷积神经网络构建对抗样本防御模型,识别流量图片是否添加了扰动。
9.根据权利要求8所述的一种基于深度学习的卫星异常流量检测系统,其特征在于,对抗样本生成过程包括:输入数据集中的任意一张网络流量图片,经过FGSM、I-FGSM、MI-FGSM、PGD任意方法对网络流量图片添加扰动,输出添加扰动后的网络流量图片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211362777.3A CN115834145A (zh) | 2022-11-02 | 2022-11-02 | 一种基于深度学习的卫星异常流量检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211362777.3A CN115834145A (zh) | 2022-11-02 | 2022-11-02 | 一种基于深度学习的卫星异常流量检测方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115834145A true CN115834145A (zh) | 2023-03-21 |
Family
ID=85526243
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211362777.3A Pending CN115834145A (zh) | 2022-11-02 | 2022-11-02 | 一种基于深度学习的卫星异常流量检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115834145A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116886433A (zh) * | 2023-08-18 | 2023-10-13 | 内蒙古工业大学 | 一种基于深度对比学习的加密异常流量检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600835A (zh) * | 2020-03-18 | 2020-08-28 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于fgsm对抗攻击算法的检测与防御方法 |
| US20210157911A1 (en) * | 2019-11-21 | 2021-05-27 | Paypal, Inc. | System and method for counteracting adversarial attacks |
| CN114398977A (zh) * | 2022-01-13 | 2022-04-26 | 中国电子科技集团公司第五十四研究所 | 一种基于对抗样本的网络欺骗流量生成方法 |
-
2022
- 2022-11-02 CN CN202211362777.3A patent/CN115834145A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210157911A1 (en) * | 2019-11-21 | 2021-05-27 | Paypal, Inc. | System and method for counteracting adversarial attacks |
| CN111600835A (zh) * | 2020-03-18 | 2020-08-28 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于fgsm对抗攻击算法的检测与防御方法 |
| CN114398977A (zh) * | 2022-01-13 | 2022-04-26 | 中国电子科技集团公司第五十四研究所 | 一种基于对抗样本的网络欺骗流量生成方法 |
Non-Patent Citations (1)
| Title |
|---|
| YE PENG 等: "Detecting Adversarial Examples for Network Intrusion Detection System with GAN", IEEE, 4 November 2020 (2020-11-04), pages 4 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116886433A (zh) * | 2023-08-18 | 2023-10-13 | 内蒙古工业大学 | 一种基于深度对比学习的加密异常流量检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108985361B (zh) | 一种基于深度学习的恶意流量检测实现方法和装置 | |
| CN112583852B (zh) | 一种异常流量检测方法 | |
| CN111866024A (zh) | 一种网络加密流量识别方法及装置 | |
| CN116232696B (zh) | 基于深度神经网络的加密流量分类方法 | |
| CN112217763A (zh) | 一种基于机器学习的隐蔽tls通信流检测方法 | |
| CN112804253A (zh) | 一种网络流量分类检测方法、系统及存储介质 | |
| CN113923026A (zh) | 一种基于TextCNN的加密恶意流量检测模型及其构建方法 | |
| CN115834145A (zh) | 一种基于深度学习的卫星异常流量检测方法和系统 | |
| CN109510805B (zh) | 一种基于安全基线模型的网络数据安全检测方法及系统 | |
| CN119011239B (zh) | 一种面向高速网络的DoH服务实时感知方法 | |
| Pan et al. | FlowBERT: An encrypted traffic classification model based on transformers using flow sequence | |
| CN115174240A (zh) | 一种铁路加密流量监测系统及方法 | |
| CN101719907B (zh) | 基于BitTorrent的被动式载荷信息监测方法 | |
| CN114268484A (zh) | 恶意加密流量检测方法、装置、电子设备及存储介质 | |
| CN118474043A (zh) | 基于深度学习的sd-wan应用识别方法及系统 | |
| CN119720011A (zh) | 一种基于大数据的物联网设备安全智能监控方法 | |
| CN119179309A (zh) | 基于云边协同检测的工业现场自动化监控方法及系统 | |
| CN118631501A (zh) | 一种工业互联网多实例时序网络流量数据处理方法 | |
| Dong et al. | Traffic Characteristic Map-based Intrusion Detection Model for Industrial Internet. | |
| CN117081846A (zh) | 一种网络报文分析及用户行为画像网络攻击风险研判方法 | |
| CN119254544B (zh) | 一种加密流量攻击行为训练与识别方法 | |
| CN116614258A (zh) | 一种安全态势感知系统的网络危险预测模型 | |
| CN115964715A (zh) | 基于生成对抗网络和模糊测试的工业控制系统漏洞发现方法 | |
| CN115834097A (zh) | 基于多视角的https恶意软件流量检测系统及方法 | |
| CN114205855A (zh) | 一种面向5g切片的馈线自动化业务网络异常检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230321 |