CN116647405A - 一种多路径quic异常流量检测方法、系统及设备 - Google Patents
一种多路径quic异常流量检测方法、系统及设备 Download PDFInfo
- Publication number
- CN116647405A CN116647405A CN202310711370.5A CN202310711370A CN116647405A CN 116647405 A CN116647405 A CN 116647405A CN 202310711370 A CN202310711370 A CN 202310711370A CN 116647405 A CN116647405 A CN 116647405A
- Authority
- CN
- China
- Prior art keywords
- data
- imf
- decomposed
- network flow
- limit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 43
- 238000001514 detection method Methods 0.000 title claims abstract description 28
- 238000000034 method Methods 0.000 claims abstract description 48
- 230000015654 memory Effects 0.000 claims abstract description 11
- 238000012549 training Methods 0.000 claims description 27
- 238000012360 testing method Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 13
- 238000012216 screening Methods 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 2
- 238000010606 normalization Methods 0.000 claims description 2
- 238000000354 decomposition reaction Methods 0.000 abstract description 13
- 230000005540 biological transmission Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 4
- 238000003860 storage Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000007787 long-term memory Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/10—Pre-processing; Data cleansing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
- G06F18/2131—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods based on a transform domain processing, e.g. wavelet transform
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明公开一种多路径QUIC异常流量检测方法、系统及设备,属于网络流量异常检测领域,方法包括:获取多路径QUIC的待测网络流量数据;对所述待测网络流量数据应用EMD方法分解出多个IMF分量;将每一IMF分量输入至训练好的LSTM模型中,得到每一IMF分量的预测特征;将所有IMF分量的预测特征进行重构,得到待测网络流量重构数据;基于待测网络流量重构数据进行异常流量检测。利用经验模态分解对数据分解去噪,利用长短时记忆网络和学习数据的长时依赖性,从而通过基于EMD和LSTM的结合实现更加准确的MPQUIC异常流量检测。
Description
技术领域
本发明涉及网络流量异常检测领域,特别是涉及一种基于EMD-LSTM的MPQUIC流量异常检测方法、系统及设备。
背景技术
随着互联网时代的高速发展,许多新兴的网络传输技术被提出。基于网络用户的需求日益增加,网页加载时间作为衡量互联网性能的重要指标,也得到了重点关注。为了对网页性能做出提升,超文本传输协议版本2(HTTP/2)得以提出,HTTP/2通过压缩报文头部以及多路复用,有效提升了网页性能
。紧接着,在HTTP/2表现积极影响的同时,一种快速UDP传输协议(QUIC)也在其基础上被提出,以便进一步提升通信的传输性能。QUIC协议在结合类TCP的连接和HTTP/2的多路复用功能的同时,还打破传统TCP+TLS版本的一些限制,优化了三次握手过程,以及在请求数据中附带TLS的参数,以实现0-RTT的数据传输。
与TCP协议相比,QUIC协议具有更通用的整体设计。特别地,由于TCP协议基于内核态,导致TCP协议本身的演进周期长。然而QUIC协议基于用户态,使其实现了可插拔的拥塞控制(在应用程序层面实现不同的拥塞控制算法),以及易于兼容其他传输协议(例HTTP),迭代更新速度快,具备较高的传输速度等诸多优势。这些优势让QUIC协议在不同的传输场景中都具备更高的适应性。目前,如Google等众多浏览器中都已经部署了QUIC协议。虽然HTTP/2基础上实现的QUIC协议有效提高了网络的传输速度,但是在网络接口方面的限制仍然影响着网络带宽。因此,如Wi-Fi和LTE等单设备多接口的技术就极其适用于解除这一限制的影响,这也是能让QUIC协议进行多路径技术结合的可行性技术。伴随着HTTP/3的提出,QUIC协议也进行了多路径的标准化扩展,即扩展协议多路径QUIC(MPQUIC)。类似MPTCP在工业互联网中的部署,体现了多路径传输技术的优势。MPQUIC在多种业务场景中同样都具备一定的优势。
如图1所示,与单路经QUIC协议相比,MPQUIC可以通过Wi-FI、5G等多条不同路径进行传输,结合多种传输场景,实现了更高带宽的并行传输。此外,MPQUIC还可以有效减少端到端的延迟,有效针对应用层需求实现合适的调度算法。如图2所示,MPQUIC沿用了QUIC的连接ID特性,从而具备连接迁移能力。当路径切换导致的IP地址发生变更(如从Wi-Fi环境切换到5G环境),或者端口号发生变更时,一般会导致连接不可用,但连接ID使只需要64bit的标识就可以标识一个连接,以实现快速的重新连接[11]。同时,图中的MPQUIC包中信息还包含路径ID,这一特点也使协议在远端IP地址改变时可以进行多流控制,以保证路径上的信息不发生改变。QUIC是新一代基于HTTP/3协议的标准传输协议,而MPQUIC作为QUIC和多路径技术的结合,具有众多优势。但尽管如此,MPQUIC在协议安全性方面仍存在部分缺陷,容易受到网络异常流量的攻击。
发明内容
本发明的目的是提供一种多路径QUIC异常流量检测方法、系统及设备,利用经验模态分解(EMD)对数据分解去噪,利用长短时记忆网络(LSTM)和学习数据的长时依赖性,从而通过基于EMD和LSTM的MPQUIC实现更加准确的MPQUIC异常流量检测。
为实现上述目的,本发明提供了如下方案:
一种多路径QUIC异常流量检测方法,所述方法包括:
获取多路径QUIC的待测网络流量数据;
对所述待测网络流量数据应用EMD方法分解出多个IMF分量;
将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征;
将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据;
基于所述待测网络流量重构数据进行异常流量检测。
可选的,对所述待测网络流量数据应用EMD方法分解出多个IMF分量,具体包括:
确定当前待分解的数据的数据上限和数据下限;第一次筛选时,当前所述待分解的数据为所述待测网络流量数据;
基于所述数据上限和所述数据下限确实数据平均值;
基于当前所述待分解的数据和所述数据平均值确定第k个所述IMF分量;
判断当前所述待分解的数据的局部极值点个数和零点个数的绝对差值是否大于第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和是否等于第二预设值;
当前所述待分解的数据的局部极值点个数和零点个数的绝对差值大于所述第一预设值且当前所述待分解的数据的所述数据上限和所述数据下限之和不等于所述第二预设值时,令第k个所述IMF分量为当前所述待分解的数据,返回步骤“确定当前待分解的数据的数据上限和数据下限”;
当前所述待分解的数据的局部极值点个数和零点个数的绝对差值小于等于所述第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和等于所述第二预设值时,确定第k个所述IMF分量的残差,令第k个所述IMF分量为当前所述待分解的数据;
判断第k个所述IMF分量的残差是否单调,若单调,则输出k个所述IMF分量;若不单调,则令k=k+1并返回步骤“确定当前待分解的数据的数据上限和数据下限”。
可选的,将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据,具体包括:
对所有所述IMF分量的预测特征进行快速傅里叶变换;
基于傅里叶变换后的特征确定高频的IMF分量预测特征和低频的IMF分量预测特征;
选取所有所述低频的IMF分量预测特征进行重构,得到所述待测网络流量重构数据。
可选的,将每一所述IMF分量输入至训练好的LSTM模型中之前包括:
对所有所述所述IMF分量进行数据清洗和归一化处理。
可选的,将每一所述IMF分量输入至训练好的LSTM模型中之前还包括:
获取多路径QUIC的历史网络流量异常数据集;
对所述历史网络流量异常数据集应用EMD方法分解出多个IMF分量集;
将每一所述IMF分量集分为训练集和测试集;
利用所述训练集和所述测试集对训练前的LSTM模型进行训练和测试,得到所述训练后的LSTM模型。
可选的,利用所述训练集和所述测试集对训练前的LSTM模型进行训练和测试,得到所述训练后的LSTM模型之后还包括:
将所述测试集对应的模型输出的预测数据进行重构,得到历史网络流量重构数据;
基于所述历史网络流量重构数据和所述历史网络流量异常数据集计算所述训练后的LSTM模型的平均绝对百分比误差和均方根误差参数值;
根据所述平均绝对百分比误差和所述均方根误差参数值对所述训练后的LSTM模型进行评估。
本发明还提供一种多路径QUIC异常流量检测系统,所述系统包括:
数据采集模块,用于获取多路径QUIC的待测网络流量数据;
流量数据处理模块,用于对所述待测网络流量数据应用EMD方法分解出多个IMF分量;
数据预测模块,用于将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征;
数据重构模块,用于将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据;
异常检测模块,用于基于所述待测网络流量重构数据进行异常流量检测。
本发明还提供一种电子设备,包括存储器及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行所述的多路径QUIC异常流量检测方法。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供一种多路径QUIC异常流量检测方法、系统及设备,对获取的待测网络流量数据进行EMD分解,并对分解后的IMF分量输入至LSTM中,得到每一IMF分量的预测数据,最后基于预测数据进行重构,基于重构数据进行异常流量检测。利用经验模态分解(EMD)对数据分解去噪,基于EMD方法分解后的数据具有不同时间尺度,很好地适应了数据不同频率的变换,利用长短时记忆网络(LSTM)和学习数据的长时依赖性,LSTM可以有效针对分解后的每个IMF进行建模和准确预测等优势,融合EMD和LSTM的MPQUIC异常流量检测手段,使得重构后的数据更加准确的反映数据的抖动趋势,更加明显直观的体现正常和异常情况的区别,从而更加准确的检测到多路径QUIC(MPQUIC)异常流量,适用于探究MPQUIC网络环境下的异常检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的多场景多路径传输的MPQUIC示意图;
图2为本发明提供的MPQUIC的高层次架构;
图3为本发明实施例1提供的一种多路径QUIC异常流量检测方法流程图;
图4为本发明实施例1提供的EMD的过程;
图5为本发明实施例1提供的LSTM的基本内部结构;
图6为本发明实施例2提供的一种多路径QUIC异常流量检测系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种多路径QUIC异常流量检测方法,利用经验模态分解(EMD)对数据分解去噪,利用长短时记忆网络(LSTM)和学习数据的长时依赖性,从而通过基于EMD和LSTM的MPQUIC实现更加准确的MPQUIC异常流量检测。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一
如图3所示,本实施例提供一种多路径QUIC异常流量检测方法,所述方法包括:
S1:获取多路径QUIC的待测网络流量数据。
数据的获取,是通过ns3系统的仿真设计组件进行MPQUIC网络流量数据的生成。当相应的流量数据产生后,利用统计组件对数据进行统计处理,得到一系列的仿真数据集。
S2:对所述待测网络流量数据应用EMD方法分解出多个IMF分量。
然后,数据预处理可以通过EMD方法,分解统计后的仿真数据集为多个IMF,再对这些IMF数据进行清理和归一化处理,以便符合LSTM模型的数据输入条件。
EMD方法最初是用于处理信号的一种方法,可以将复杂的非平稳信号分解为一系列的IMF分量,这样的分解过程处理了信号的局部时域特征。EMD基于数据驱动,具有自适应性,无需先验的基函数就能进行信号处理,在众多领域内受到广泛应用。
EMD的执行流程分为以下四步,其中前三步为EMD的分解过程,如图4所示。
1)准备原始数据:找到一组非平稳非线性的信号数据S(t)。
2)确定数据的上下限:找出待分解信号的局部极值点,将所有的极大值点定义为上包络线,称作数据的上限U(t);所有的极小值点定义为下包络线,称作数据的下限L(t)。这一步通过对全部的包络线求平均值M(t),用于构造新的IMF分量。
3)分解:将原始数据减去数据上限和下限的均值,得到第一个IMF,得到的第一个IMF表示为I1(t)=S(t)-M(t)。为了得到第二个IMF,则将第一个I1(t)作为原始数据进行第二次分解,得到I2(t)=I1(t)-M1(t)。在迭代过程中,设置了原始信号的筛选条件,即当原始数据的局部极值点个数E与零点个数Z的绝对差值大于1,或者原始数据的上下限之和不为0时,终止筛选。值得注意的是,每次分解都会产生一个残差项,只有在最终的残差项为单调函数时,该执行过程才会终止。假设进行了k次筛选,则最终得到:
Ik(t)=Ik-1(t)-Mk-1(t)#(2)
重构为对所有得到的IMF分量进行叠加,得到重构后的新数据。在这一步中,给定C1(t)=I1(t),C2(t)=I2(t),…,Ck(t)=Ik(t),由于S(t)最终分解成n个IMF分量Ii(t)和残差Rn(t),则重构进行如下操作:
从EMD的执行过程中可以看出,EMD的迭代分解过程是基于不断变化的数据进行处理,而非预先制定。这种对应变化的分析,使其对网络流量这类时序数据能进行自适应的时频分析。
更为具体的,步骤S2包括:
S21:确定当前待分解的数据的数据上限和数据下限;第一次筛选时,当前所述待分解的数据为所述待测网络流量数据。
S22:基于所述数据上限和所述数据下限确实数据平均值。
S23:基于当前所述待分解的数据和所述数据平均值确定第k个所述IMF分量。
S24:判断当前所述待分解的数据的局部极值点个数和零点个数的绝对差值是否大于第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和是否等于第二预设值。
S25:当前所述待分解的数据的局部极值点个数和零点个数的绝对差值大于所述第一预设值且当前所述待分解的数据的所述数据上限和所述数据下限之和不等于所述第二预设值时,令第k个所述IMF分量为当前所述待分解的数据,返回步骤“确定当前待分解的数据的数据上限和数据下限”。
S26:当前所述待分解的数据的局部极值点个数和零点个数的绝对差值小于等于所述第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和等于所述第二预设值时,确定第k个所述IMF分量的残差,令第k个所述IMF分量为当前所述待分解的数据。
S27:判断第k个所述IMF分量的残差是否单调,若单调,则输出k个所述IMF分量;若不单调,则令k=k+1并返回步骤“确定当前待分解的数据的数据上限和数据下限”。
S3:将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征。
LSTM是基于时间的循环神经网络,该网络是从循环神经网络(RNN)的基础上改进而来。RNN在处理长时记忆数据存在一定缺陷,而LSTM针对其缺陷部分,增加了“门”的机制,包括遗忘门、输入门和输出门。这些门可以从时序数据中分析出哪一部分需要保存并记忆,哪一部分需要遗忘并丢弃。门的概念让LSTM具有处理长序列数据中的依赖关系的能力,并根据分析出的数据相关性进行可靠预测。
LSTM的基本内部结构如图5所示,图中表明了LSTM的细胞状态、遗忘门、输入门和输出门等部件信息。其中,细胞状态是LSTM的传送机制,可以在数据序列中传送和保存信息,由于门控单元的存在,传送信息的细胞状态可以无视数据长度的限制。此外,细胞状态通过加法和乘法对信息流动进行精细操控,在控制信息的输入输出方面起到关键作用。门控单元通过激活函数σ产生的权重值(即表明信息与对应操作间的重要程度),来执行遗忘、输入、输出等操作。图中的Xt是输入的数据序列,ht是数据信息在隐藏状态下,通过tanh函数的映射下得到的输出,Ct是t时刻更新后的细胞状态信息。LSTM的计算过程如下:
1)对应门控单元中的遗忘门F、输入门I、输出门O和候选细胞状态分别给t时刻输入信息Xt和t-1时刻隐藏状态输出ht-1四个相应的权重值W和偏置b,并用sigmoid激活函数σ进行初始化。计算公式有:
Ft=σ(WXFXt+WhFht-1+bF)#(4)
It=σ(WXIXt+WhIht-1+bI)#(5)
Ot=σ(WXOXt+WhOht-1+bO)#(6)
2)计算更新后的细胞状态Ct。该步骤通过对t时刻遗忘门的信息值Ft和t-1时刻代表历史信息的细胞状态Ct-1进行逐点乘法⊙操作,以及对t时刻输入门的信息值It和候选细胞状态进行逐点乘法⊙操作,最终二者相加。这样得到的细胞状态相比于前一时刻的已经遗忘了一部分信息,并且保存了新的信息。
3)计算隐藏状态下的输出ht。该步骤使用了输出门,控制现存的记忆信息Ct要输出多少到ht。
ht=Ot⊙tanhCt#(9)。
LSTM模型的数据输入形式如下:
其中n是延时步长,y1,...,yn表示用n个网络流量数据去预测未来的数据。
LSTM模型的模型的数据输出形式如下:
其中z是预测窗口大小,表示预测之后z个时刻的数据。
S4:将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据。
其中,步骤S4具体包括:
S41:对所有所述IMF分量的预测特征进行快速傅里叶变换。
S42:基于傅里叶变换后的特征确定高频的IMF分量预测特征和低频的IMF分量预测特征。
S43:选取所有所述低频的IMF分量预测特征进行重构,得到所述待测网络流量重构数据。
S5:基于所述待测网络流量重构数据进行异常流量检测。
在本实施例的方案中,为了保证LSTM模型预测的准确性,在步骤S3中将每一所述IMF分量输入至训练好的LSTM模型中之前还包括,对LSTM模型进行训练、测试和评估。具体为:
(1)获取多路径QUIC的历史网络流量异常数据集。
(2)对所述历史网络流量异常数据集应用EMD方法分解出多个IMF分量集。
(3)将每一所述IMF分量集分为训练集和测试集。
(4)利用所述训练集和所述测试集对训练前的LSTM模型进行训练和测试,得到所述训练后的LSTM模型。
LSTM模块通过划分每个IMF样本集为测试集和训练集,并把训练集数据给LSTM模型进行训练。模型训练完成后,保存LSTM模型文件,用测试集数据去进行预测过程,得到每个IMF的预测值。
(5)将所述测试集对应的模型输出的预测数据进行重构,得到历史网络流量重构数据。
(6)基于所述历史网络流量重构数据和所述历史网络流量异常数据集计算所述训练后的LSTM模型的平均绝对百分比误差和均方根误差参数值。
(7)根据所述平均绝对百分比误差和所述均方根误差参数值对所述训练后的LSTM模型进行评估。
为了验证模型的好坏,加入了指标评估组件,计算模型的平均绝对百分比误差(MAPE)、均方根误差(RMSE)参数值。
其中y是真实值,是预测值。RMSE越小,代表模型的精确度越好;MAPE越接近0%,表明模型越完美,越接近于100%,表明模型越劣质
本实施例合理地运用EMD分解了大量噪声下的复杂时序数据,产生多个IMF,通过细分化的方式进行多次的LSTM建模和预测,减小了预测的误差,提高了预测的准确度。这样的设计使LSTM充分对原始流量数据采取了多时间尺度的分析,更好地捕捉到了数据的长期依赖关系。基于EMD方法和LSTM模型,提出的网络异常检测方法,可以及时预警和防控,用于提高网络安全性。同时使用EMD方法和LSTM模型进行MPQUIC网络环境下的流量异常检测,丰富了有关MPQUIC协议安全性和鲁棒性的研究。
针对网络环境下非平稳流量数据具有容易产生波动的特性,我们选取了深度学习的长短时记忆网络(LSTM)方法为基本分析方法,并结合数字信号分解技术中的经验模态分解(EMD),提出了一种基于EMD-LSTM的MPQUIC流量异常检测模型。本研究基于攻击和未攻击的网络流量数据,使用该模型在具有大量噪声的非平稳数据中,通过EMD方法根据数据的自相适应性,分解出多个不同时间尺度上的本征模态函数(IMF)。然后,使用LSTM去提取每一个分量的动态特征,分析它们的相关性和趋势性。最后,选取所有IMF分量进行累加,得到该模型最终的网络流量预测数据。同时,我们还采用了快速傅里叶变换(FFT)区分高频和低频的IMF分量,选取所有低频的IMF进行重构策略的实施。这一步用于去除噪声影响,使我们可以通过重构后的值反映数据的抖动趋势,更加明显直观地体现正常和异常情况的区别,证明模型检验异常的可行性。对比结果表明,本研究提出的模型,无论是在存在异常情况还是正常情况下,都比使用BP模型、随机森林(RF)模型、LSTM模型等做异常流量检测更为有效,对异常情况和正常情况的网络流量都能做到更为精确的预测分析。
实施例二
如图6所示,本实施例提供一种多路径QUIC异常流量检测系统,所述系统包括:
数据采集模块,用于获取多路径QUIC的待测网络流量数据。
流量数据处理模块,用于对所述待测网络流量数据应用EMD方法分解出多个IMF分量。
数据预测模块,用于将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征。
数据重构模块,用于将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据。
异常检测模块,用于基于所述待测网络流量重构数据进行异常流量检测。
其中,数据预测模块和数据重构模块对应图6中的“LSTM module”。
实施例三
本实施例提供一种电子设备,包括存储器及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行实施例一的多路径QUIC异常流量检测方法。
可选地,上述电子设备可以是服务器。
另外,本发明实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的多路径QUIC异常流量检测方法。
本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种多路径QUIC异常流量检测方法,其特征在于,所述方法包括:
获取多路径QUIC的待测网络流量数据;
对所述待测网络流量数据应用EMD方法分解出多个IMF分量;
将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征;
将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据;
基于所述待测网络流量重构数据进行异常流量检测。
2.根据权利要求1所述的方法,其特征在于,对所述待测网络流量数据应用EMD方法分解出多个IMF分量,具体包括:
确定当前待分解的数据的数据上限和数据下限;第一次筛选时,当前所述待分解的数据为所述待测网络流量数据;
基于所述数据上限和所述数据下限确实数据平均值;
基于当前所述待分解的数据和所述数据平均值确定第k个所述IMF分量;
判断当前所述待分解的数据的局部极值点个数和零点个数的绝对差值是否大于第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和是否等于第二预设值;
当前所述待分解的数据的局部极值点个数和零点个数的绝对差值大于所述第一预设值且当前所述待分解的数据的所述数据上限和所述数据下限之和不等于所述第二预设值时,令第k个所述IMF分量为当前所述待分解的数据,返回步骤“确定当前待分解的数据的数据上限和数据下限”;
当前所述待分解的数据的局部极值点个数和零点个数的绝对差值小于等于所述第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和等于所述第二预设值时,确定第k个所述IMF分量的残差,令第k个所述IMF分量为当前所述待分解的数据;
判断第k个所述IMF分量的残差是否单调,若单调,则输出k个所述IMF分量;若不单调,则令k=k+1并返回步骤“确定当前待分解的数据的数据上限和数据下限”。
3.根据权利要求1所述的方法,其特征在于,将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据,具体包括:
对所有所述IMF分量的预测特征进行快速傅里叶变换;
基于傅里叶变换后的特征确定高频的IMF分量预测特征和低频的IMF分量预测特征;
选取所有所述低频的IMF分量预测特征进行重构,得到所述待测网络流量重构数据。
4.根据权利要求1所述的方法,其特征在于,将每一所述IMF分量输入至训练好的LSTM模型中之前包括:
对所有所述所述IMF分量进行数据清洗和归一化处理。
5.根据权利要求1所述的方法,其特征在于,将每一所述IMF分量输入至训练好的LSTM模型中之前还包括:
获取多路径QUIC的历史网络流量异常数据集;
对所述历史网络流量异常数据集应用EMD方法分解出多个IMF分量集;
将每一所述IMF分量集分为训练集和测试集;
利用所述训练集和所述测试集对训练前的LSTM模型进行训练和测试,得到所述训练后的LSTM模型。
6.根据权利要求5所述的方法,其特征在于,利用所述训练集和所述测试集对训练前的LSTM模型进行训练和测试,得到所述训练后的LSTM模型之后还包括:
将所述测试集对应的模型输出的预测数据进行重构,得到历史网络流量重构数据;
基于所述历史网络流量重构数据和所述历史网络流量异常数据集计算所述训练后的LSTM模型的平均绝对百分比误差和均方根误差参数值;
根据所述平均绝对百分比误差和所述均方根误差参数值对所述训练后的LSTM模型进行评估。
7.一种多路径QUIC异常流量检测系统,其特征在于,所述系统包括:
数据采集模块,用于获取多路径QUIC的待测网络流量数据;
流量数据处理模块,用于对所述待测网络流量数据应用EMD方法分解出多个IMF分量;
数据预测模块,用于将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征;
数据重构模块,用于将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据;
异常检测模块,用于基于所述待测网络流量重构数据进行异常流量检测。
8.一种电子设备,其特征在于,包括存储器及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行权利要求1-6任一项所述的多路径QUIC异常流量检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310711370.5A CN116647405B (zh) | 2023-06-15 | 2023-06-15 | 一种多路径quic异常流量检测方法、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310711370.5A CN116647405B (zh) | 2023-06-15 | 2023-06-15 | 一种多路径quic异常流量检测方法、系统及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116647405A true CN116647405A (zh) | 2023-08-25 |
CN116647405B CN116647405B (zh) | 2024-04-05 |
Family
ID=87615359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310711370.5A Active CN116647405B (zh) | 2023-06-15 | 2023-06-15 | 一种多路径quic异常流量检测方法、系统及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116647405B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116865965A (zh) * | 2023-09-01 | 2023-10-10 | 北京双湃智安科技有限公司 | 基于秘密共享的异常事件监测协同告警方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100125213A1 (en) * | 2008-11-18 | 2010-05-20 | Men-Tzung Lo | Systems and methods for assessing dynamic cerebral autoregulation |
CN107317701A (zh) * | 2017-06-13 | 2017-11-03 | 电子科技大学 | 一种基于经验模态分解的网络流量异常检测方法 |
CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
CN113919593A (zh) * | 2021-11-12 | 2022-01-11 | 兰州理工大学 | 一种基于注意力机制的ME-MBiGRU短时交通流量预测方法 |
CN114116168A (zh) * | 2021-11-26 | 2022-03-01 | 江苏省未来网络创新研究院 | 一种虚拟网络流量采集的方法 |
CN115481784A (zh) * | 2022-08-26 | 2022-12-16 | 合肥工业大学 | 一种基于改进组合模型的交通流量预测方法及应用 |
-
2023
- 2023-06-15 CN CN202310711370.5A patent/CN116647405B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100125213A1 (en) * | 2008-11-18 | 2010-05-20 | Men-Tzung Lo | Systems and methods for assessing dynamic cerebral autoregulation |
CN107317701A (zh) * | 2017-06-13 | 2017-11-03 | 电子科技大学 | 一种基于经验模态分解的网络流量异常检测方法 |
CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
CN113919593A (zh) * | 2021-11-12 | 2022-01-11 | 兰州理工大学 | 一种基于注意力机制的ME-MBiGRU短时交通流量预测方法 |
CN114116168A (zh) * | 2021-11-26 | 2022-03-01 | 江苏省未来网络创新研究院 | 一种虚拟网络流量采集的方法 |
CN115481784A (zh) * | 2022-08-26 | 2022-12-16 | 合肥工业大学 | 一种基于改进组合模型的交通流量预测方法及应用 |
Non-Patent Citations (3)
Title |
---|
JIN LIU 等: "《Short-Term Traffic Flow Forecasting Using Ensemble Approach Based on Deep Belief Networks》", 《IEEE》, 31 December 2022 (2022-12-31) * |
朱永强 等: "《基于互补型集成经验模态分解和遗传最小乘支持向量机的交通流量预测模型》", 《科学技术与工程》, 31 December 2020 (2020-12-31) * |
蒋舟: "《基于组合模型和分解集成模型的网站流量预测研究》", 《中国优秀硕士学位论文全文数据库》, 15 June 2022 (2022-06-15) * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116865965A (zh) * | 2023-09-01 | 2023-10-10 | 北京双湃智安科技有限公司 | 基于秘密共享的异常事件监测协同告警方法及系统 |
CN116865965B (zh) * | 2023-09-01 | 2023-11-14 | 北京双湃智安科技有限公司 | 基于秘密共享的异常事件监测协同告警方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116647405B (zh) | 2024-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112785016B (zh) | 基于机器学习的新能源汽车保养维护与故障监测诊断方法 | |
Li et al. | Deep learning-based remaining useful life estimation of bearings using multi-scale feature extraction | |
Li et al. | Missing traffic data: comparison of imputation methods | |
CN109120462B (zh) | 机会网络链路的预测方法、装置及可读存储介质 | |
Zhou | Heteroscedasticity and autocorrelation robust structural change detection | |
US11595415B2 (en) | Root cause analysis in multivariate unsupervised anomaly detection | |
CN116647405B (zh) | 一种多路径quic异常流量检测方法、系统及设备 | |
CN114298443B (zh) | 基于健康状态指数的工业设备预测性维护方法、装置和电子设备 | |
CN114297036B (zh) | 数据处理方法、装置、电子设备及可读存储介质 | |
Maiorino et al. | Data-driven detrending of nonstationary fractal time series with echo state networks | |
Gao et al. | Measurement and prediction of wear volume of the tool in nonlinear degradation process based on multi-sensor information fusion | |
Srivastava et al. | Artificial neural network and non-linear regression: A comparative study | |
Zhang et al. | Identification of continuous-time nonlinear systems: The nonlinear difference equation with moving average noise (NDEMA) framework | |
CN116610998A (zh) | 一种基于多模态数据融合的开关柜故障诊断方法和系统 | |
CN117216844B (zh) | 一种桥梁结构损伤检测方法、系统和存储介质 | |
Wang et al. | A structurally re-parameterized convolution neural network-based method for gearbox fault diagnosis in edge computing scenarios | |
CN109065176B (zh) | 一种血糖预测方法、装置、终端和存储介质 | |
CN116046396A (zh) | 一种轴承故障诊断方法、装置、设备及介质 | |
Moon et al. | AD 2: Improving quality of IoT data through compressive anomaly detection | |
CN115221024A (zh) | 数据库性能短时预警方法、模型训练方法、装置及设备 | |
Navaneeth et al. | Koopman operator for time-dependent reliability analysis | |
Varini | A Monte Carlo method for filtering a marked doubly stochastic Poisson process | |
CN117195105B (zh) | 基于多层卷积门控循环单元的齿轮箱故障诊断方法及装置 | |
CN110750848A (zh) | 一种考虑软件运行的软-硬件退化系统剩余寿命估计的方法 | |
CN114329905B (zh) | 全范围模拟机可信度评估方法、装置及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |