CN116760742A

CN116760742A - 基于多阶段混合时空融合的网络流量异常检测方法及系统

Info

Publication number: CN116760742A
Application number: CN202310749445.9A
Authority: CN
Inventors: 胡游君; 刘金锁; 邱玉祥; 刘军; 邹徐熹; 沈耀威; 顾亚林; 李马峰; 张俊杰; 邱文元; 施健; 刘皓; 谢伟; 唐跃中; 张王俊; 卢士达; 张露维; 冯天波; 何旭东; 卲佳炜
Original assignee: Nanjing University of Aeronautics and Astronautics; State Grid Corp of China SGCC; State Grid Shanghai Electric Power Co Ltd; Nari Information and Communication Technology Co; State Grid Electric Power Research Institute
Current assignee: Nanjing University of Aeronautics and Astronautics; State Grid Corp of China SGCC; State Grid Shanghai Electric Power Co Ltd; Nari Information and Communication Technology Co; State Grid Electric Power Research Institute
Priority date: 2023-06-21
Filing date: 2023-06-21
Publication date: 2023-09-15
Anticipated expiration: 2043-06-21
Also published as: CN116760742B

Abstract

本发明公开了一种基于多阶段时空融合的网络流量深度异常检测方法及系统，首先使用图注意力网络和门控时间卷积网络分别提取网络流量的时空特征，然后采用双仿射模块对时空特征进行深度融合，并提出了多阶段逐层传播机制来增强模型对原始数据的特征提取，提高模型的异常识别能力，再通过对自编码器采用对抗训练的方式来放大异常的重构误差，增加了双解码器对异常样本的区分能力。本发明有效的提高了模型的泛化能力和拟合能力，同时对中间潜变量特征表示运用K‑means算法进行特征聚类，将特征与簇心的最大距离作为判断异常的标准之一，有效的减少了模型的虚警率。

Description

基于多阶段混合时空融合的网络流量异常检测方法及系统

技术领域

本发明涉及网络流量异常检测技术领域，具体涉及一种基于多阶段时空融合的网络流量深度异常检测方法及系统。

背景技术

物联网充分利用了云或无线网络与其他设备交换数据的简洁和高效，一切都与互联网相连，如智能传感器、健身移动应用程序、恒温器、光伏系统和空调等，通过互联网连接节点、智能城市、系统、框架和传感器，实现通信、数据共享和控制。然而，最初设计时几乎没有安全机制的物联网设备却很容易被恶意用户(如攻击者)破坏，这可能导致恶意入侵。随着物联网设备与互联网的融合越来越深，物联网设备也越来越容易受到不法分子的攻击。例如网络攻击者通过僵尸网络病毒、蠕虫木马注入等方式袭击智能家居、智能电表等设备来获取用户的隐私数据；又或者攻击国家电网等重要基础设施，导致其无法正常工作，造成大面积范围停电，影响人们正常生活，并对相关电力设施造成永久性损害。因此，物联网系统和框架正在开发和实施多种防御机制和策略，以保护信息，但由于异构性、资源受限和连接性等问题，传统互联网企业的入侵检测系统可能因效率较低而不适合物联网系统。而且由于这些安全解决方案的复杂性、成本等原因，此类企业安全解决方案不适合部署在物联网环境中。网络流量异常检测通过对网络流量进行分析，检测出与正常流量明显不同的流量，因其不依赖于静态特征码，被看作检测未知新攻击的有效手段。

研究人员针对异常网络流量的检测提出了许多方案，主要包括基于传统机器学习的异常检测方法、基于深度学习的异常检测方法。传统机器学习的网络入侵检测方法，通常需要较高的存储和计算资源，且这些方法依赖于手工设计的流量识别特征，导致这类方法的准确性和推广能力受到限制。另一方面由于现在网络攻击更加隐蔽，恶意通信量和可以捕获的威胁检测样本相对较少，很容易导致模型的学习过程太短和训练不足，使得传统的网络入侵检测方法具有较低准确率和较高虚警率。而深度学习网络入侵检测方法能够有效处理大规模网络流量数据，相较于传统机器学习方法，深度学习具备更强的表征性能，可有效提升网络流量异常检测的效率及准确率，使基于深度学习的网络流量异常检测成为当前网络攻击的有效防护手段。但现有的网络流量异常检测大多不考虑网络流量之间的时空关系或者仅对学习到的时空关系进行简单的拼接，这忽略了非相邻时空信息之间的深层联系，并且仅使用简单的方法来合并时空信息不利于获得长期的深度时空依赖。

发明内容

针对上述现有技术的不足，本发明提供一种基于多阶段时空融合的网络流量深度异常检测方法及系统，首先使用图注意力网络和门控时间卷积网络分别提取网络流量的时空特征，然后采用双仿射模块对时空特征进行深度融合，并提出了多阶段逐层传播机制来增强模型对原始数据的特征提取，提高模型的异常识别能力，再通过对自编码器采用对抗训练的方式来放大异常的重构误差，增加了双解码器对异常样本的区分能力，有效的提高了模型的泛化能力和拟合能力，同时对中间潜变量特征表示运用K-means算法进行特征聚类，将特征与簇心的最大距离作为判断异常的标准之一，有效的减少了模型的虚警率。

为实现上述技术目的，本发明采取的技术方案为：

一种基于多阶段混合时空融合的网络流量异常检测方法，所述网络流量异常检测方法包括以下步骤：

S1，对生成的网络流量数据中的离散型特征进行One-hot编码将其转换为数值型特征，采用最小-最大归一化方法对网络流量特征进行归一化处理，采用图注意力神经网络捕获网络流量特征之间的相关性，提取得到网络流量数据的空间特征；

S2，使用门控时间卷积网络的因果扩张卷积机制从不同时间层次捕获网络流量的时间依赖性和频率特征，采用多层堆叠的门控时间卷积网络自适应地选择相应信息传递给下一层，多层堆叠的门控时间卷积网络由叠加的门控时间卷积层和输出层组成，门控时间卷积网络由两个并行的时间卷积层组成，提取得到网络流量数据的时间特征；

S3，采用双仿射模块对网络流量数据的空间特征和时间特征进行时空信息深度融合，将融合的信息按序传递给后续单元，将经过逐层传播和双仿射变换的时空信息合并生成最终时空特征表示，并通过门控循环单元网络对最终时空特征表示进行编码生成潜变量；

S4，在重构阶段解码器通过对潜变量进行重构得到当前时间戳的重构值，通过计算重构值与当前时间戳的真实值的差异进行异常诊断，对双编码器模型进行训练；

S5，在异常检测阶段利用训练好的双编码器模型重构测试数据得到重构得分，并对低维潜在表示进行聚类得到聚类中心，计算测试集低维潜在表示与聚类中心的最大距离得分，结合重构得分来判断时间序列中任意一个时间戳为异常的可能性，实现网络流量异常检测。

进一步地，步骤S1中，提取得到网络流量数据的空间特征的过程包括以下步骤：

S11，基于分组特征、基于流特征和基于内容特征提取得到原始物联网络流量中的包含协议、服务和状态在内的离散型特征，采用One-hot编码将离散型特征转换为数值型特征；

S12，采用最小-最大归一化方法对网络流量特征的每个维度进行归一化处理：

其中，min(S_train)和max(S_train)分别是网络流量数据集中训练集的最大值和最小值，表示归一化处理后的网络流量数据；

S13，通过长度为N的滑动窗口生成固定长度的输入，表示为Wt＝{x_t-N+1，…，x_t-1，x_t}，x_t表示第t个时间戳的数据；将网络流量多元时间序列视为一个完全图，其中每个节点代表某个特征，每条边表示两个对应特征之间的关系，通过图注意力神经网络来捕捉相邻节点之间的关系，其中每个节点可以用一个序列向量s_i＝{s_i，n|n∈[0，N)}表示，总共有K个节点；式中，N是滑动窗口大小，K为多元时间序列特征的总数，s_i，n表示节点i在滑动窗口中第n个数据；图注意力网络计算每个节点特征表示为：

其中，表示每个节点i的输出表示，与节点i序列向量s_i有相同的形状；σ表示sigmoid激活函数；α_ij表示注意力得分，用来衡量节点i和相邻节点j直接的相关性，J表示节点i的相邻节点个数；注意力得分α_ij表示为：

式中，表示两个节点的拼接；/>是可学习的列向量，其中N是滑动窗口大小，exp表示以自然常数e为底的指数函数，LeakyReLU是非线性激活函数，s_i和s_j分别表示节点i序列向量和节点j序列向量。

进一步地，步骤S2中，提取得到网络流量数据的时间特征的过程包括以下步骤：

使用门控时间卷积网络的因果扩张卷积机制从不同时间层次捕获网络流量的时间依赖性和频率特征，扩张因子表示为：

D＝{2⁰，2¹，...，2^d-1}

式中，第d-1层的时间卷积网络的扩张因子为2^d-1，因果扩张卷积表示为：

其中，F(t)为t时刻的数据输出，f(m)表示第m个滤波器，x_t-D·m为第t-D·m个时间戳的数据输入，D为扩张因子，与网络层数成指数关系，M为滤波器的大小；

TCN运算表示为：

其中，TCN(x_t)表示第t个时间戳的数据x_t记过TCN变化后的输出，表示时间卷积网络内部的一系列因果扩张卷积和激活函数组成的运算，ReLU表示激活函数；

采用多层堆叠的门控时间卷积网络自适应地选择相应信息传递给下一层，通过残差连接和跳跃连接来避免模型训练时的梯度消失和过拟合问题，门控时间卷积网络公式表示为：

其中，θ₁、θ₂、b₁和b₂为TCN模型参数，是元素乘积，g是输出的激活函数，σ是sigmoid函数用来决定保留到下一层的信息的比例，W是线性层的权重，b是线性层的偏置，x_t表示第t个时间戳的数据，/>表示单层门控时间卷积网络的输出，/>表示多层堆叠门控时间卷积网络最终输出。

进一步地，步骤3中，基于逐层传播和双仿射变换的时空特征融合的过程包括以下步骤：

采用双仿射变换对时空信息之间进行特征交换，并将交换后的特征作为初始分别输入到下个时空融合单元的图注意力网络和时间卷积网络中，通过多层时空融合单元之间的逐层传播机制实现特征之间的深度融合，双仿射变换如下：

其中，和/>分别是第1层时间卷积网络模型和图注意力网络模型经过双仿射模块的输出，W₁和W₂是可学习的权重矩阵，通过/>和/>之间多次逐层传播双仿射操作，实现时空特征深度融合；

将经过逐层传播和双仿射变换的时空信息合并生成最终时空特征表示并通过门控循环单元网络对特征进行编码生成最终潜变量z：

其中，z_t表示第t个时间戳最终生成的潜变量，h_t-1表示门控循环单元在第t-1个时间戳生成的隐藏状态，表示经过多层时空融合的在第t个时间戳的输出。

进一步地，步骤4中，通过在门控循环单元之后堆叠两个维度为k的全连接层作为解码器；双编码器主要包括自第一自编码器和第二自编码器，第一自编码器由编码网络和第一解码网络组成，第二自编码器由编码网络和第二解码网络组成；

通过两阶段对抗训练提升双编码器的重构能力，在第一阶段中第一自编码器和第二自编码器分别进行自训练，以学习重建正常输入数据，在第二阶段中通过将第一自编码器的重构输出重新输入到第二自编码器进行对抗训练；

基于双编码器的特征解码和对抗训练的过程包括以下步骤：

在重构阶段解码器通过对潜变量z进行重构得到当前时间戳的重构值，并通过计算重构值与当前时间戳的真实值的差异进行异常诊断，通过在门控循环单元之后堆叠两个维度为k的全连接层作为解码器：

Decoder(z_t)＝Linear₂(Linear₁(GRU(z_t)))

x_recin＝Decoder(z_t)；

双编码器主要包括自第一自编码器和第二自编码器，第一自编码器由编码网络和第一解码网络组成，第二自编码器由编码网络和第二解码网络组成；

第一自编码器和第二自编码器的编码-解码形式AE₁(x_t)和AE₂(x_t)如下公式所示：

AE₁(x_t)＝Decoder1(Encoder(x_t))

AE₂(x_t)＝Decoder2(Encoder(x_t))；

式中，x_t表示第t个时间戳的数据，Encoder(x_t)是编码网络的输出结果，Decoderl()是第一解码网络的解码函数，Decoder20是第二解码网络的解码函数；

通过两阶段对抗训练提升双编码器的重构能力，在第一阶段，将正常数据经过编码网络编码后同时输入第一解码网络和第二解码网络，通过各自解码器网络重构出数据；loss_AE1，loss_AE2分别表示第一自编码器和第二自编码器在自训练中的重构损失：

其中，x_t，k表示第t个时间戳数据x_t中的第k个特征的值，K为多元时间序列特征的总数，AE₁(x_t，k)和AE₁(x_t，k)分别表示输入数据x_t，k经过第一自编码器和第二自编码器重构后的值；

在第二阶段，来自第一自编码器生成的重构数据再次由编码网络压缩到z，然后由第二自编码器重建，同时使用对抗性训练的机制，第一自编码器的目标是最小化W和第二自编码器输出之间的差异，第二自编码器的目标是最大化这一差异；对抗训练目标是：

进一步地，步骤S5中，以数据的重构误差为基础计算滑动窗口的异常分数，重构误差计算公式表示为：

其中，表示测试集中第t个时间戳的数据，/>和/>分别表示输入数据/>经过第一自编码器和第二自编码器重构后的值。

进一步地，步骤S5中，在利用非对称自编码器学习到原始高维轨迹数据在低维隐空间中的特征表示后，通过K-mean算法对训练数据的低维隐空间进行聚类得到多个聚类中心，计算测试集低维隐空间与聚类中心的最大距离并作为异常得分，通过对训练数据使用聚类算法带来的额外先验信息来提高模型的准确率，聚类最大聚类异常得分表示为：

其中，z_t第t个时间戳最终生成的潜变量，c_p表示对训练数据集聚类产生的第p个聚类中心，P表示聚类中心总数。

最终异常得分为：

score＝(1-β)×a_recon+β×a_cluster

其中，参数β用来衡量重构得分以及聚类得分之间的比例，a_cluster表示重构误差。

本发明还公开了一种基于多阶段混合时空融合的网络流量异常检测系统系统，所述网络流量异常检测系统包括：

空间特征提取模块，用于对生成的网络流量数据中的离散型特征进行One-hot编码将其转换为数值型特征，采用最小-最大归一化方法对网络流量特征进行归一化处理，采用图注意力神经网络捕获网络流量特征之间的相关性，提取得到网络流量数据的空间特征；

时间特征提取模块，用于使用门控时间卷积网络的因果扩张卷积机制从不同时间层次捕获网络流量的时间依赖性和频率特征，采用多层堆叠的门控时间卷积网络自适应地选择相应信息传递给下一层，多层堆叠的门控时间卷积网络由叠加的门控时间卷积层和输出层组成，门控时间卷积层由两个并行的时间卷积层组成，提取得到网络流量数据的时间特征；

时空特征融合模块，用于采用双仿射模块对网络流量数据的空间特征和时间特征进行时空信息深度融合，将融合的信息按序传递给后续单元，将经过逐层传播和双仿射变换的时空信息合并生成最终时空特征表示，并通过门控循环单元网络对最终时空特征表示进行编码生成潜变量；

模型训练模块，用于在重构阶段解码器通过对潜变量进行重构得到当前时间戳的重构值，通过计算重构值与当前时间戳的真实值的差异进行异常诊断，对双编码器模型进行训练；

异常检测模块，用于在异常检测阶段利用训练好的双编码器模型重构测试数据得到重构得分，并对低维潜在表示进行聚类得到聚类中心，计算测试集低维潜在表示与聚类中心的最大距离得分，结合重构得分来判断时间序列中任意一个时间戳为异常的可能性，实现网络流量异常检测。

本发明还公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现如前所述的方法步骤。

本发明还公开了一种电子设备，所述电子设备包括处理器以及存储器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，实现如前所述的方法步骤。

与现有技术相比，本发明的有益效果如下：

第一，本发明的基于多阶段混合时空融合的网络流量异常检测方法，构建了一种新颖的时空特征提取单元，采用了图注意力神经网络来捕获网络流量的空间相关性，采用基于门控的时间卷积网络来捕获网络流量的时间依赖性和频率特征。

第二，本发明的基于多阶段混合时空融合的网络流量异常检测方法，采用双仿射映射对时空特征进行深度融合，并提出了多阶段逐层传播机制来增强模型对原始数据的特征提取，提高了模型的异常识别能力。

第三，本发明的基于多阶段混合时空融合的网络流量异常检测方法，采用了基于对抗训练的自编码器架构，并在此基础上提出了聚类得分，通过对生成的低维潜变量表示进行特征聚类，并将与簇心的最大距离作为判断异常的标准，有效的减少了模型的虚警率。

附图说明

图1为本发明实施例提供的一种基于多阶段混合时空融合的网络流量异常检测方法整体框架图；

图2为本发明实施例提供的一种基于多阶段混合时空融合的网络流量异常检测方法流程图；

图3为本发明实施例提供的TCN内部详细结构图；

图4是本发明实施例提供的门控TCN模型图；

图5是本发明实施例提供的消融实验图；

图6是本发明实施例提供的超参数实验图；

图7是本发明实施例提供的一种基于多阶段混合时空融合的网络流量异常检测系统的结构示意图。

具体实施方式

以下结合附图对本发明的实施例作进一步详细描述。

本发明提出了一种基于多阶段混合时空融合的网络流量异常检测方法，所述网络流量异常检测方法包括以下步骤：

S2，使用门控TCN的因果扩张卷积机制从不同时间层次捕获网络流量的时间依赖性和频率特征，采用多层堆叠的门控时间卷积网络自适应地选择相应信息传递给下一层，多层堆叠的门控时间卷积网络由叠加的门控时间卷积层和输出层组成，门控时间卷积层由两个并行的时间卷积层组成，提取得到网络流量数据的时间特征；

S5，在异常检测阶段利用训练好的双编码器模型重构测试数据得到重构得分，并对低维潜在表示进行聚类得到聚类中心，计算测试集低维潜在表示与聚类中心的最大距离得分，结合重构得分来判断时间序列中任意一个时间戳为异常的可能性，实现网络流量异常检测。本发明提出的基于多阶段时空融合的网络流量深度异常检测方法的总体框架如图1所示，主要分为两个阶段：训练阶段和异常检测阶段。在训练阶段主要训练STFAD模型对预处理过的正常网络流量数据进行重构，如图1所示，首先使用GAT和门控TCN构建时空特征提取基本单元，并对多个时空特征提取基本单元采用多阶段逐层传播机制来构建本发明的多阶段时空特征提取模型，同时结合双仿射映射对时空特征进行时空信息深度融合，使得本发明模型可以有效的学习非相邻时空特征之间的深层联系，并将最终融合的时空特征输入门控循环单元网络生成低维潜在表示，以完成对输入数据的特征编码操作。最后，本发明采用GRU堆叠两个全连接层作为解码器，通过解码器以获取最终重构结果，并采用对抗训练的方式来放大异常输入的重建误差。在异常检测阶段利用训练好的模型重构测试数据，并对生成的低维潜在特征表示进行特征聚类得到聚类中心，计算低维特征表示与聚类中心的最大距离得分，结合测试数据的重构误差来计算该时间戳的异常得分。本发明采用了一种非参数动态阈值方法来确定阈值∈，当a_t＞∈时，则相对应的异常标签y_t＝1，否则y_t＝0。

参见图2，图2是本发明实施例提供的一种基于多阶段时空融合的网络流量深度异常检测方法及系统的流程图，具体的，本发明方法包括：

步骤1：基于图注意力神经网络的空间特征提取。

原始物联网络数据包经过基于分组特征、基于流特征和基于内容特征等特征提取方法后生成的网络流量中包含如协议、服务和状态等离散型特征，为保证离散型特征值的无序性，本发明采用One-Hot编码将其转换为数值型特征。同时由于网络流量数据不同特征之间的数值差异较大，为消除网络流量因特征间数值差异较大而带来的不良影响，同时减短模型的训练时长使训练过程尽快收敛，采用最小-最大归一化方法对网络流量每个维度进行归一化：

其中，min(S_train)和max(S_train)分别是网络流量数据集中训练集的最大值和最小值，表示归一化处理后的网络流量数据。由于网络流量数据存在时间关联性，本发明通过长度为N的滑动窗口生成固定长度的输入，表示为Wt＝{x_t-N+1，…，x_t-1，x_t}，x_t表示第t个时间戳的数据。这使得模型对于时间观测点的异常检测并不是只关注x_t本身，而是结合历史时间依赖信息对x_t的异常情况进行评分。

本发明将网络流量多元时间序列视为一个完全图，其中每个节点代表某个特征，每条边表示两个对应特征之间的关系，通过图注意力神经网络来捕捉相邻节点之间的关系，其中每个节点可以用一个序列向量s_i＝{s_i，t|t∈[0，N)}表示，总共有K个节点。其中，N是滑动窗口大小，K为多元时间序列特征的总数，s_i，n表示节点i在滑动窗口中第n个数据。GAT层计算每个节点特征表示为：

其中，表示每个节点i的输出表示，与节点i序列向量s_i具有相同的形状；σ表示sigmoid激活函数；α_ij表示注意力得分，用来衡量节点i和相邻节点j直接的相关性，J表示节点i的相邻节点个数。注意力得分α_ij表示为：

其中，表示两个节点的拼接；/>是可学习的列向量，其中N是滑动窗口大小，exp表示以自然常数e为底的指数函数，LeakyReLU是非线性激活函数，s_i和s_j分别表示节点i序列向量和节点j序列向量。

步骤2：基于门控时间卷积网络的时间特征提取。

使用TCN来并行的捕获时序数据的时序特征，TCN的本质是一维卷积神经网络(Convolutional Neural Networks，CNN)针对时间序列问题的优化和改造。TCN利用独特的因果扩张卷积来实现指数级大的感受野，对指定长度序列数据进行整体感知，因此使用TCN使用与网络层数成指数关系的扩张因子来构建具有不同感受野的TCN。扩张因子可以表示为：

D＝{2⁰，2¹，...，2^d-1}

中，第d-1层的TCN的扩张因子为2^d-1，因此，因果扩张卷积表示为：

其中，F(t)为t时刻的数据输出，f(m)表示第m个滤波器，x_t-D·m为第t-D·m个时间戳的数据输入，D为扩张因子，与网络层数成指数关系，M为滤波器的大小。由于TCN的感受野大小取决于网络深度d以及滤波器大小M和扩张因子D的影响，因此为了使得TCN模型输出能够获取更长的历史信息，TCN通过堆叠因果扩张卷积层来实现并采用了残差网络架构来缓解增加深度带来的梯度消失问题，具体TCN网络结构如图3所示。因此TCN运算可表示为：

其中，TCN(x_t)表示第t个时间戳的数据x_t记过TCN变化后的输出，表示TCN内部的一系列因果扩张卷积和激活函数组成的运算，ReLU表示激活函数。

本发明为自适应地选择重要的信息传递给下一层，采用多层堆叠的门控时间卷积网络，该模型由叠加的门控时间卷积层和输出层组成。其中，门控时间卷积层由两个并行的时间卷积层(TCN-a和TCN-b)组成。通过叠加多个时间卷积层，使得本模型能够处理不同时间层次的空间依赖性和频率特征，并通过残差连接和跳跃连接来避免模型训练时的梯度消失和过拟合问题，如图4所示。门控TCN公式具体表示为：

其中，θ₁、θ₂、b₁和b₂为TCN模型参数，是元素乘积，g是输出的激活函数，σ是sigmoid函数用来决定保留到下一层的信息的比例，W是线性层的权重，b是线性层的偏置，x_t表示第t个时间戳的数据，/>表示单层门控TCN的输出，/>表示多层堆叠门控TCN最终输出。

步骤3：基于逐层传播和双仿射变换的时空特征融合。

本发明采用双仿射变换对时空信息之间进行特征交换，并将交换后的特征作为初始分别输入到下个时空融合单元的GAT和TCN中，通过多层时空融合单元之间的逐层传播机制实现特征之间的深度融合，双仿射变换如下：

其中和/>分别是第1层TCN模型和GAT模型经过双仿射模块的输出，W₁和W₂是可学习的权重矩阵，通过/>和/>之间多次逐层传播双仿射操作，实现时空特征深度融合。

再将经过逐层传播和双仿射变换的时空信息合并生成最终时空特征表示并通过门控循环单元网络对特征进行编码生成最终潜变量z：

其中，z_t表示第t个时间戳最终生成的潜变量，h_t-1表示GRU在第t-1个时间戳生成的隐藏状态，表示经过多层时空融合的在第t个时间戳的输出。

步骤4：基于双编码器的特征解码和对抗训练。

在重构阶段解码器通过对潜变量z进行重构得到当前时间戳的重构值，并通过计算重构值与当前时间戳的真实值的差异进行异常诊断，通过在GRU层之后堆叠两个维度为k的全连接层作为解码器：

Decoder(z_t)＝Linear₂(Linear₁(GRU(z_t)))

x_recon＝Decoder(z_t)

其中，GRU作为LSTM的一种变体，与LSTM相比GRU的结构更为简单，其将遗忘门和输入门合并为一个更新门，因此当训练数据量很大时可以节省大量的时间。

如图1框架所示，STFAD主要包括自编码器AE1和自编码器AE2，自编码器AE1由编码网络Encoder和解码网络Decoder1组成，自编码器AE2由编码网络Encoder和解码网络Decoder2组成。其编码-解码形式如下公式所示：

AE₁(x_t)＝Decoder1(Encoder(x_t))

AE₂(x_t)＝Decoder2(Encoder(x_t))

本发明通过两阶段对抗训练提升双编码的重构能力。在第一阶段中自编码AE₁和AE₂分别进行自训练，以学习重建正常输入数据，在第二阶段，以对抗训练的方式训练自编码器AE₁和AE₂，通过将AE₁的重构输出重新输入到AE₂进行对抗训练，具体流程如下：

第一阶段中为了使得Encoder、Decoder1和Decoder2可以重构正常数据，将正常数据经过Encoder编码后同时输入Decoder和Decoder2，通过各自解码器网络重构出数据。因此，该阶段的主要目的是使得AE1和AE2可以学习到正常数据的特征分布，最小化对正常数据的重构损失，其中loss_AE1，loss_AE2分别表示自编码AE1和自编码AE2在自训练中的重构损失：：

其中，x_t，k表示第t个时间戳数据x_t中的第k个特征的值，K为多元时间序列特征的总数，AE₁(x_n，i)和AE₁(x_n，i)分别表示输入数据x_n，i经过自编码器AE₁和AE₂重构后的值。

在第二阶段，来自AE1生成的重构数据再次由编码器Encoder压缩到z，然后由自编码器AE2重建，同时使用对抗性训练的机制，AE1的目标是最小化W和AE2输出之间的差异，这表示AE1成功的欺骗了AE2，使得AE2将AE1重构后的数据当作真实的数据，因而产生较小的重构误差。AE2的目标是最大化这一差异，表示AE2能够正确区别真实数据和重构数据，因而产生较大的重构误差。对抗训练目标是：

步骤5：基于重构损失与特征聚类的异常得分计算。

在完成模型的构建与训练后，自编码器AE₁和自编码器AE₂的网络权重得到收敛，此时包含异常的测试数据用来输入模型完成检测。根据模型的预测标签和真实标签来衡量模型的性能。本发明以数据的重构误差为基础计算滑动窗口的异常分数，计算公式表示为：

其中，表示测试集中第t个时间戳的数据，/>和/>分别表示输入数据/>经过自编码器AE₁和AE₂重构后的值；

此外，由于自编码器易受噪声数据的影响使得模型在训练时候学习到了不应该学到的异常分布，使得部分异常数据同样具有较低的重构误差，导致模型存在高假阳性问题，针对此问题，本发明在利用非对称自编码器学习到原始高维轨迹数据在低维隐空间中的特征表示后，通过K-mean算法对训练数据的低维隐空间进行聚类得到多个聚类中心，计算测试集低维隐空间与聚类中心的最大距离并作为异常得分，通过对训练数据使用聚类算法带来的额外先验信息来提高模型的准确率，聚类最大聚类异常得分表示为：

其中，z_t表示第t个时间戳最终生成的潜变量，c_p表示对训练数据集聚类产生的第p个聚类中心，P表示聚类中心总数。因此本发明最终异常得分为：

score＝(1-β)×a_recon+β×a_duster

其中，β参数用来衡量重构得分以及聚类得分之间的比例，a_recon表示重构误差，同时本发明采用了一种非参数动态阈值POT(Peaks-Over-Threshold)方法来确定阈值∈，当score＞∈时，该窗口数据被视为异常，反之，则为正常。

为了评估本发明的有效性，本发明采用精确率(Precision)、召回率(Recall)、F1分数作为衡量检测效果的指标。其中，精确率表示被模型预测为异常的异常样本占所有被模型预测为异常的比例，召回率表示被模型预测为异常的异常样本占所有真实异常样本的比例，F1分数为综合考虑精确率和召回率的性能衡量指标。后续用P表示精确率，R表示召回率，F1表示F1分数。并在四个真实的公开数据集上进行实验验证，四个数据集分别是KDD99、UNSW_NB15、NSL-KDD和CIC-IDS2017。其中，KDD99数据集是网络安全系统评估中使用最广泛的数据集之一。

表1展示了本发明与与几种最新的异常检测方法在四个公开数据集上的性能对比实验结果，包括每种方法对应的精确率、召回率以及F1分数。可以看出，本发明在KDD99、UNSW_NB15和NSL-KDD三个数据集上均取得了最高的F1分数，证明了本发明的有效性。MemAE采用了内存增强的自编码器来检测异常，但是当特征之间的相互关系变得复杂和非线性时，此类自编码器在检测细微异常方面可能会表现不佳，因此在部分数据上效果略低于采用了对抗训练的USAD和BiGAN-PCA。虽然USAD和BiGAN-PCA都采用了对抗训练的方式，但只考虑了时间上的依赖性没有考虑特征变量间的相关性，因此相比于本发明所提方法效果不佳。MAD-GAN主要是对特征变量间的相关性进行建模，但它却忽略了沿时间维度学习每个度量的低维表示，类似地DAGMM-EIF也无法实现对时间信息的捕获，以上这些缺陷都会导致检测性能无法达到最佳。

表1整体实验结果

为了验证本发明所提方法关键模块的有效性，本发明将在UNSW_NB15和NSL-KDD数据集上进行消融实验，本发明设计了STFAD的三种变体，分别命名为STFAD_01、STFAD_02和STFAD_03，三种模型的描述如下所示：

(1)STFAD_01：相比于本发明只考虑时间依赖关系，而不考虑特征之间的依赖关系

(2)STFAD_02，相比于本发明只考虑特征之间的依赖关系，而不考虑时间依赖关系

(3)STFAD_03，相比于本发明不进行多层时空特征融合。

从图5的实验结果可以看出，同时考虑时空特征以及双仿射变化进行融合的模型取得了最高的F1分数，与其他变体相比，STFAD在UNSW_NB15和NSL-KDD上均取得了稳步的提升，验证了本发明多阶段混合时空融合的必要性。

为了检验设置不同超参数对模型训练的性能影响，设计了滑动窗口大小K和潜变量维度Z的超参数实验。如图6(a)的实验结果所示，分别选取并实验了滑动窗口大小在时模型效果。从结果可以看出，本发明方法的F1分数在窗口大小取时最高。经过分析，可能是由于数据集中异常序列的长短不一，对于较小的异常段，如果选取了比较大的窗口，可能会导致小异常的隐藏。如图6(b)所示，分别选取并实验了时模型效果。从结果可以看出，本发明方法的召回率R、和F1分数均在潜变量维度取8时最高。经过分析，可能是由于当潜变量Z取值过于小时，所包含的信息较少不利于模型很好的重构数据，如果选取了比较大的潜变量维度，可能会导致对训练数据过拟合。

参见图7，本发明实施例提供的一种基于多阶段混合时空融合的网络流量异常检测系统，包括：存储单元、处理单元以及接口单元。处理单元用于对基于多阶段混合时空融合的网络流量异常检测系统的动作进行控制管理。接口单元用于支持基于多阶段混合时空融合的网络流量异常检测系统与其他装置的交互；存储单元用于存储可执行代码和数据。

其中，以处理单元为处理器，存储单元为存储器，接口单元为通信接口为例。基于多阶段混合时空融合的网络流量异常检测系统参照图7中所示，包括通信接口601、处理器602、存储器603和总线604，通信接口601、处理器602通过总线604与存储器603相连。

处理器602可以是一个通用中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。存储器603可以是只读存储器(Read-OnlyMemory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(Random Access Memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。存储器603用于存储执行本申请方案的应用程序代码，并由处理器602来控制执行。通讯接口601用于支持基于多阶段混合时空融合的网络流量异常检测系统与其他装置的交互。处理器602用于执行存储器603中存储的应用程序代码，从而实现本申请实施例中的网络流量异常检测方法。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种基于多阶段混合时空融合的网络流量异常检测方法，其特征在于，所述网络流量异常检测方法包括以下步骤：

2.根据权利要求1所述的基于多阶段混合时空融合的网络流量异常检测方法，其特征在于，步骤S1中，提取得到网络流量数据的空间特征的过程包括以下步骤：

3.根据权利要求1所述的基于多阶段混合时空融合的网络流量异常检测方法，其特征在于，步骤S2中，提取得到网络流量数据的时间特征的过程包括以下步骤：

D＝{2⁰，2¹，...，2^d-1}

TCN运算表示为：

4.根据权利要求1所述的基于多阶段混合时空融合的网络流量异常检测方法，其特征在于，步骤3中，基于逐层传播和双仿射变换的时空特征融合的过程包括以下步骤：

5.根据权利要求4所述的基于多阶段混合时空融合的网络流量异常检测方法，其特征在于，步骤4中，通过在门控循环单元之后堆叠两个维度为k的全连接层作为解码器；双编码器主要包括自第一自编码器和第二自编码器，第一自编码器由编码网络和第一解码网络组成，第二自编码器由编码网络和第二解码网络组成；

基于双编码器的特征解码和对抗训练的过程包括以下步骤：

Decoder(z_t)＝Linear₂(Linear₁(GRU(z_t)))

x_recon＝Decoder(z_t)；

AE₁(x_t)＝Decoder1(Encoder(x_t))

AE₂(x_t)＝Decoder2(Encoder(x_t))；

式中，x_t表示第t个时间戳的数据，Encoder(x_t)是编码网络的输出结果，Decoder1()是第一解码网络的解码函数，Decoder20是第二解码网络的解码函数；

6.根据权利要求1所述的基于多阶段混合时空融合的网络流量异常检测方法，其特征在于，步骤S5中，以数据的重构误差为基础计算滑动窗口的异常分数，重构误差计算公式表示为：

7.根据权利要求1所述的基于多阶段混合时空融合的网络流量异常检测方法，其特征在于，步骤S5中，在利用非对称自编码器学习到原始高维轨迹数据在低维隐空间中的特征表示后，通过K-mean算法对训练数据的低维隐空间进行聚类得到多个聚类中心，计算测试集低维隐空间与聚类中心的最大距离并作为异常得分，通过对训练数据使用聚类算法带来的额外先验信息来提高模型的准确率，聚类最大聚类异常得分表示为：

最终异常得分为：

score＝(1-β)×a_recon+β×a_cluster

其中，参数β用来衡量重构得分以及聚类得分之间的比例，a_recon表示重构误差。

8.一种基于权利要求1-7任一项中所述方法的基于多阶段混合时空融合的网络流量异常检测系统系统，其特征在于，所述网络流量异常检测系统包括：

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现权利要求1-7任意一项所述的方法步骤。

10.一种电子设备，其特征在于，所述电子设备包括处理器以及存储器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，实现权利要求1-6任意一项所述的方法步骤。