CN116647374B - 一种基于大数据的网络流量入侵检测方法 - Google Patents

Abstract

本发明属于网络信息安全领域，具体涉及一种基于大数据的网络流量入侵检测方法，包括：获取带标签的网络流量数据，平衡获取的网络流量数据；对数据平衡后的网络流量数据进行离散化处理得到特征向量，并进行特征分解，得到离散化特征分解向量；将网络流量数据建立图结构，并融入离散化特征分解向量，对该图进行卷积操作，提取图结构中的关系信息；根据图结构的关系信息和标签信息对Bi‑LSTM模型进行训练；使用训练完成后的模型进行网络流量数据进行分类，判断其是否为正常流量还是网络入侵。本发明通过网络流量密度的少数类过采样克服数据不平衡问题，采用大数据多尺度频带特征提取法来进行特征提取，提高了模型的检测精度和泛化能力。

Description

一种基于大数据的网络流量入侵检测方法

技术领域

本发明属于网络信息安全领域，具体涉及一种基于大数据的网络流量入侵检测方法。

背景技术

网络安全问题已经成为了一个备受关注的全球性难题，因为现代社会越来越依赖于计算机和网络系统，网络入侵所造成的威胁也越来越严重。网络入侵是指未经授权访问计算机网络，可能会导致严重后果，如数据被盗、系统故障，甚至经济损失。入侵检测是指通过对网络流量的监控和分析来识别恶意活动。传统的入侵检测方法主要依靠预定义的签名来识别已知的攻击，而这种方法的局限性也变得越来越明显，因为它无法适应网络流量快速增长和恶意攻击的复杂性。如何提高入侵检测的准确率和效率成为当前研究的热点问题。为了应对这些挑战，近年来越来越多的研究者开始使用大数据和机器学习算法来提高入侵检测的准确率和效率。大数据技术的出现为入侵检测带来了新的可能性，通过对大规模网络流量数据的分析，可以发现恶意攻击中的规律和特征，进而提高入侵检测的准确性和效率。

传统的入侵检测方法往往依赖于预定义的攻击签名，容易受到新型攻击的绕过或伪装，这导致高误报率。

传统方法主要关注已知攻击的识别，对于未知的、新型的攻击行为往往无法及时发现和应对。这导致低检测率，即无法对新型入侵行为进行有效检测和防范。

随着网络流量的快速增长和攻击手段的复杂化，入侵检测需要具备较强的扩展性和实时性。传统方法在处理大规模网络流量时可能存在性能瓶颈，无法满足实时处理的需求。

网络流量数据具有复杂的特征和结构，如何从海量的网络流量数据中提取有效的特征，并能够准确地表达网络流量数据的特性，是一个关键的问题。

发明内容

为解决上述技术问题，本发明提出一种基于大数据的网络流量入侵检测方法，包括以下步骤：

S1：获取带标签的网络流量数据，包括少数类入侵流量数据和多数类正常流量数据，使用网络流量密度的少数类过采样方法平衡获取的网络流量数据；

S2：使用大数据多尺度频带特征提取法对数据平衡后的网络流量数据进行离散化处理得到特征向量，并对网络流量数据的特征向量进行特征分解，得到离散化特征分解向量；

S3：将网络流量数据建立图结构，在图结构中融入离散化特征分解向量，得到精确的图表示结构，基于GCN网络对精确的图表示结构进行卷积操作，提取精确的图表示结构中的关系信息；

所述关系信息包括：节点之间的连接：源地址和目标地址之间的通信连接或数据包传输链，边的属性信息：边的属性包括网络流量数据中的流量大小、通信频率、协议类型以及离散化特征分解向量；

S4：根据图结构的关系信息和标签信息对Bi-LSTM模型采用使用随机梯度下降法进行训练，当模型的损失函数最小时，固定模型参数，得到具备正常流量和网络入侵分辨能力的Bi-LSTM模型；

S5：使用具备正常流量还是网络入侵分辨能力的Bi-LSTM模型对实时网络流量数据进行分类，判断其是否为正常流量还是网络入侵。

本发明的有益效果：

(1)数据预处理设计了网络流量密度的少数类过采样方法可以有效平衡不同类别的样本数量，提高模型的分类性能；

(2)特征提取涉及了基于网络流量的大数据多尺度频带特征提取法，将网络流量数据分解成多个频带，并对每个频带进行大数据多尺度频带特征提取法，然后提取每个频带的一些重要特征，以减少特征维度和减小模型的复杂度，提取更加具有代表性的网络流量特征，有利于提高模型的分类精度，相较于传统的特征提取方法，可以更好地捕捉网络流量中的时频特征，从而提高模型的区分度；

(3)处理网络中节点之间的复杂关系，将网络流量数据转化为图结构，便于模型对网络流量数据的理解和分类，此模型更好地捕捉流量数据中的长期依赖关系，从而提高模型的分类精度；同时，捕获节点之间的关联信息，有助于提高模型的泛化能力。

附图说明

图1为本发明的一种基于大数据的网络流量入侵检测方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于大数据的网络流量入侵检测方法，如图1所示，包括：

S1：获取带标签的网络流量数据，包括少数类入侵流量数据和多数类正常流量数据，使用网络流量密度的少数类过采样方法平衡获取的网络流量数据；

S2：使用大数据多尺度频带特征提取法对数据平衡后的网络流量数据进行离散化处理得到特征向量，并对网络流量数据的特征向量进行特征分解，得到离散化特征分解向量；

S3：将网络流量数据建立图结构，在图结构中融入离散化特征分解向量，得到精确的图表示结构，基于GCN网络对精确的图表示结构进行卷积操作，提取精确的图表示结构中的关系信息；

所述关系信息包括：节点之间的连接：源地址和目标地址之间的通信连接或数据包传输链，边的属性信息：边的属性包括网络流量数据中的流量大小、通信频率、协议类型以及离散化特征分解向量；

S4：根据图结构的关系信息和标签信息对Bi-LSTM模型采用使用随机梯度下降法进行训练，当模型的损失函数最小时，固定模型参数，得到具备正常流量和网络入侵分辨能力的Bi-LSTM模型；

S5：使用具备正常流量还是网络入侵分辨能力的Bi-LSTM模型对实时网络流量数据进行分类，判断其是否为正常流量还是网络入侵。

从现有的开源的网络数据集中获取带标签的网络数据流量，现有的开源的网络数据集中包含大量正常的网络数据流量和少量异常的入侵网络数据流量，即少数类入侵流量数据和多数类正常流量组成数据集。

设数据集D＝(x_i,y_i)；其中，x_i∈R^d为网络流量数据样本的特征向量，y_i为网络流量数据样本的标签，网络流量密度的少数类过采样方法(Network Traffic Density-basedMinority Class Over-sampling，NDMO)，对于每个少数类样本x_i∈D,根据其周围的多数类样本来计算其样本密度比例，然后根据密度比例来生成新的样本。设C_i表示第i个样本的类别，N表示总样本数目，N₁表示C₁的数目，N₂表示C₂的数目，k表示生成样本的倍数，那么对于每个少数类样本x_i，计算出其密度比例为：

其中，D_i表示少数类样本的密度比例，w(x_i,x_j)表示样本x_i和x_j之间的距离权值，I(C_j＝C₁)表示第j个样本是否为多数类样本，C₁表示多数类样本，C_i表示第i个样本的类别，N表示网络流量数据样本总数。

生成新样本时，根据密度比例来确定需要生成多少个新的样本。假设生成的新样本数目为N′，则有：

其中，N′表示生成的新样本数目，D_i表示少数类样本的密度，k表示生成样本的倍数，N₂表示少数类样本的数目。

将所述数据分为多个时间窗口，基于大数据多尺度频带特征提取法对数据进行离散化处理得到特征向量，包括：

设x_i表示第i个数据点，对数据平衡后的网络流量数据进行时间窗口分段处理，每个时间窗口长度为L，对每个时间窗口的流量数据进行多尺度频带分解，得到多个尺度下的频带系数矩阵，设在第j个尺度下，得到的频带系数矩阵为B_j＝(b_j,1,b_j,2,...,b_j,n/L)，表示该尺度下将时间窗口分成n/L个小块，每个小块的频带系数为b_j,i；将每个尺度下的频带系数矩阵转换为特征向量，转换后的特征向量为F_j＝(f_j,1,f_j,2,…,f_j,i,...,f_j,n/L)，其中，f_j,i表示在第j个尺度下特征向量的第i个元素。

每个频带系数可以表示为：

其中，b_j,i表示第i个小块的频带系数，g_j,k表示第j个尺度下的小波滤波器系数，x表示数据平衡后的网络流量数据，L表示时间窗口长度，K表示在频带系数计算中的索引值，k表示小波滤波器系数的索引值。

将每个尺度下的频带系数矩阵B_j转换为特征向量，假设转换后的特征向量为F_j＝(f_j,1,f_j,2,...,f_j,n/L)，其中每个元素f_j,i可以表示为：

其中，f_j,i表示在第j个尺度下特征向量的第i个元素，表示第j尺度下所有频带系数的平均值，L表示时间窗口长度，n表示常数，b_j,i表示第i个小块的频带系数。

最终，将所有尺度下的特征向量合并为一个特征向量F＝(f₁,f₂,..,F_j,...,f_K)，其中，K表示尺度的个数，即每个时间窗口分解后得到的频带数。

所述网络流量数据特征分解，具体包括：

对于第j行下网络流量波动系数，进行一次预处理，得到一个长度为n的向量元素集合s_j，其公式如下：

其中，s_j(k)表示长度为n的向量元素集合s_j中第k个向量元素，W_j(k)表示第j个尺度下第k个的网络流量数据，n表示网络流量数据的特征向量总数；

对s_j分解，得到网络流量数据中多个尺度的系数，具体公式如下：

其中，表示第j行网络流量波动系数的第n个时间点对应的第m个网络流量小波系数，s_j(k)表示长度为n的向量元素集合s_j中第k个向量元素，/>表示多尺度系数中第k个基函数在第n个时间点的值；

将作为特征向量F_j的第m个分量，得到一个长度为M的特征向量：

其中，F_j′离散化特征分解向量，表示离散化特征分解向量中第M个向量元素。

将网络流量数据建立图结构，包括：

根据网络流量数据中的源地址和目标地址，将每个IP地址作为一个节点，根据网络流量数据中的源地址和目标地址，将每个通信连接或数据包传输链作为一条无向边，得到图表示结构。

所述关系信息包括：图中的边表示节点之间的连接，源地址和目标地址之间的通信连接或数据包传输链，这些连接关系可以反映出不同节点之间的网络通信模式和流量路径；边的属性信息：边的属性包括网络流量数据中的流量大小、通信频率、协议类型以及离散化特征向量等信息，这些属性信息可以在边的权重中加以表示，以便更好地表达网络流量数据；通过考虑边的属性信息，可以捕捉节点之间的差异和关联，从而更准确地描述网络的行为模式。

在本实施例中，提供一种采用了基于网络流量的大数据多尺度频带特征提取法方法来提取节点特征，定义节点特征X_v∈R^d′，其中v∈v表示节点，d′表示节点的特征维度，其公式如下：

其中，表示原始的网络流量数据，f表示基于大数据多尺度频带特征提取法的特征提取函数。

在本实施例中，本发明提供一种基于节点特征的相似度计算方法来定义边特征，定义边特征X_e(u,v)∈R^d″，其中u,v∈V表示边的两个端点，d″表示边的特征维度，其公式如下：

X_e(u,v)＝g(X_u,X_v)

其中，g表示基于节点特征的相似度计算函数。

根据图结构的关系信息和标签信息对Bi-LSTM模型采用使用随机梯度下降法进行训练，包括：

定义：是真实标签，/>是特征矩阵，/>是GCN输出的隐层表示矩阵，h^(t)表示Bi-LSTM第$t$个时间步的隐层状态，y_i∈(0,1)^C表示第i个样本的真实网络流量数据的标签向量；

计算Bi-LSTM中每个时间步的输出：

其中，表示在t时刻时间步前向LSTM的隐层状态，/>表示在t时刻后向LSTM的隐层状态，h^(t-1)表示在t-1时刻时间步输出，/>是GCN输出的隐层表示矩阵，[；]表示向量的拼接操作；

对每个时间步的输出进行Softmax操作，得到预测标签概率分布：

其中，p^(t)表示时间步t的预测标签概率分布，z^(t)表示时间步t的前向和后向隐藏状态的组合，表示时间步t的前向输出概率分布，/>表示时间步t的后向输出概率分布；

计算真实标签向量概率分布：

y_i＝[y_i,1,y_i,2,…,y_i,1]^T

其中，y_i,j表示第i个节点上的真实网络流量数据为第j类的概率值；

根据预测标签概率分布和真实标签向量概率分布得到模型的损失函数：

其中，L表示模型的损失函数，N表示网络流量数据样本总数，C表示网络流量数据标签的类别数量，y_i,j表示第i个节点的真实网络流量数据为第j类的概率值，表示第i个节点在第t步的预测概率值。

根据模型的损失函数，采用随机梯度下降法(SGD)对模型进行优化：

其中，θ_t表示第t次迭代(更新)后的模型参数向量，θ_t-1表示第t-1次迭代(更新)后的模型参数向量，η表示学习率，表示损失函数L对参数向量θ_t-1的梯度。其中，L表示模型在训练集上的损失函数，/>是一个向量，其每个元素表示损失函数L对相应参数θ_t-1的偏导数。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (5)

1.一种基于大数据的网络流量入侵检测方法，其特征在于，包括：

S1：获取带标签的网络流量数据，包括少数类入侵流量数据和多数类正常流量数据，使用网络流量密度的少数类过采样方法平衡获取的网络流量数据；

S2：使用大数据多尺度频带特征提取法对数据平衡后的网络流量数据进行离散化处理得到特征向量，并对网络流量数据的特征向量进行特征分解，得到离散化特征分解向量；

使用大数据多尺度频带特征提取法进行离散化处理得到特征向量，包括：

对数据平衡后的网络流量数据进行时间窗口分段处理，每个时间窗口长度为L，对每个时间窗口的流量数据进行多尺度频带分解，得到多个尺度下的频带系数矩阵，设在第j个尺度下，得到的频带系数矩阵为B_j＝(b_j,1,b_j,2,...,b_j,n/L)，表示该尺度下将时间窗口分成n/L个小块，每个小块的频带系数为b_j,i；将每个尺度下的频带系数矩阵转换为特征向量，转换后的特征向量为F_j＝(f_j,1,f_j,2,…,f_j,i,...,f_j,n/L)，其中，f_j,i表示在第j个尺度下特征向量的第i个元素；将所有尺度下的特征向量合并为一个特征向量F＝(f₁,f₂,..,F_j,...,f_K)；

所述频带系数，包括：

其中，b_j,i表示第i个小块的频带系数，g_j,k表示第j个尺度下的小波滤波器系数，x表示数据平衡后的网络流量数据，L表示时间窗口长度，K表示在频带系数计算中的索引值，k表示小波滤波器系数的索引值；

特征向量的第i个元素，包括：

其中，表示第j尺度下所有频带系数的平均值，n表示常数；

S3：将网络流量数据建立图结构，在图结构中融入离散化特征分解向量，得到精确的图表示结构，基于GCN网络对精确的图表示结构进行卷积操作，提取精确的图表示结构中的关系信息；

所述关系信息包括：节点之间的连接：源地址和目标地址之间的通信连接或数据包传输链，边的属性信息：边的属性包括网络流量数据中的流量大小、通信频率、协议类型以及离散化特征分解向量；

S4：根据图结构的关系信息和标签信息对Bi-LSTM模型采用使用随机梯度下降法进行训练，当模型的损失函数最小时，固定模型参数，得到具备正常流量和网络入侵分辨能力的Bi-LSTM模型；

S5：使用具备正常流量还是网络入侵分辨能力的Bi-LSTM模型对实时网络流量数据进行分类，判断其是否为正常流量还是网络入侵。

2.根据权利要求1所述的一种基于大数据的网络流量入侵检测方法，其特征在于，使用网络流量密度的少数类过采样方法平衡获取的网络流量数据，包括：

将获取的网络流量数据设为数据集D，对于每个少数类样本x_i∈D,根据其周围的多数类样本来计算其样本密度比例，根据样本密度比例来生成新的样本，得到数据平衡后的网络流量数据；

设C_i表示第i个样本的类别，N表示总样本数目，N₁表示多数类样本C₁的数目，N₂表示少数类样本C₂的数目，k表示生成样本的倍数，那么对于每个少数类样本x_i，计算出其样本密度比例为：

其中，D_i表示少数类样本的密度比例，w(x_i,x_j)表示样本x_i和x_j之间的距离权值，I(C_j＝C₁)表示第j个样本是否为多数类样本，C_i表示第i个样本的类别；

生成新样本时，根据少数类样本的密度比例来确定需要生成多少个新的样本，假设生成的新样本数目为N^′，则有：

其中，N^′表示生成的新样本数目，k表示生成样本的倍数。

3.根据权利要求1所述的一种基于大数据的网络流量入侵检测方法，其特征在于，对网络流量数据的特征向量进行特征分解，包括：

对于网络流量数据特征向量的第j个尺度下的网络流量波动系数，进行一次预处理，得到一个长度为n的向量元素集合s_j：

其中，s_j(k)表示长度为n的向量元素集合s_j中第k个向量元素，W_j(k)表示第j个尺度下第k个的网络流量数据，n表示网络流量数据的特征向量总数；

对向量元素集合s_j分解，得到网络流量数据中多个尺度的系数

其中，表示第j行网络流量波动系数的第n个时间点对应的第m个网络流量小波系数，s_j(k)表示长度为n的向量元素集合s_j中第k个向量元素，/>表示多尺度系数中第k个基函数在第n个时间点的值；

将作为第m个分量组成一个长度为M的特征向量即得到最终的离散化特征分解向量：

其中，F_j ^′离散化特征分解向量，表示离散化特征分解向量中第M个向量元素。

4.根据权利要求1所述的一种基于大数据的网络流量入侵检测方法，其特征在于，将网络流量数据建立图结构，包括：

根据网络流量数据中的源地址和目标地址，将每个IP地址作为一个节点，根据网络流量数据中的源地址和目标地址，将每个通信连接或数据包传输链作为一条无向边，得到图表示结构。

5.根据权利要求1所述的一种基于大数据的网络流量入侵检测方法，其特征在于，所述模型的损失函数，包括：

其中，L表示模型的损失函数，N表示网络流量数据样本总数，C表示网络流量数据标签的类别数量，y_i,j表示第i个节点的真实网络流量数据为第j类的概率值，表示第i个节点在第t步的预测概率值。