CN116776148A - 一种quic网络异常行为检测方法、系统及设备 - Google Patents

Abstract

本发明公开一种QUIC网络异常行为检测方法、系统及设备，涉及网络流量异常检测领域，方法包括：获取QUIC网络流量数据；利用NGO算法优化CNN‑LSTM模型的模型超参数，得到优化CNN‑LSTM模型；将QUIC网络流量数据输入到所述优化CNN‑LSTM模型中，得出网络流量检测结果。本发明中，利用CNN对QUIC网络流量进行特征提取，然后使用LSTM对提取的特征进行时序建模，同时融合NGO算法来优化CNN‑LSTM模型中的超参数，大大提升了CNN‑LSTM模型检测的准确性。

Description

一种QUIC网络异常行为检测方法、系统及设备

技术领域

本发明涉及网络流量异常检测领域，特别是涉及一种基于NGO-CNN-LSTM的QUIC网络异常行为检测方法、系统及设备。

背景技术

随着区块链技术和人工智能的不断发展，Web3.0时代已经到来，它改变了传统的客户端与服务器之间的简单交互式的通信方式。Web3.0时代将建立一个去中心化的、安全性更高、更加透明的分布式网络环境。区块链网络中的每个参与者都可以通过智能合约实现自动化、不可篡改的交易，并且通过共识机制确保数据的完整性和安全性。在这样的背景下，网络通信协议也需要不断创新和升级，以便更好地支持更加复杂庞大的数据交互场景。

HTTP协议作为Web通信的重要标准之一，经历了从HTTP/1.0到HTTP/1.1，再到HTTP/2.0的多次演进和升级。虽然HTTP/2.0协议在HTTP/1的基础上，引入了二进制分帧、多路复用等新特性，解决了高延迟、低效率、丢包重传等问题，但是仍存在一些限制，如连接迁移困难、队头阻塞等问题。为了进一步提高网络通信的效率和安全性，需要通过更加高效、安全的传输层协议来支持应用层协议的更好表现，从而应对未来新的挑战和需求。QUIC协议就是一种应对这些挑战的新型协议，它是由Google提出的一种新型的传输协议，可以在UDP之上运行，并且融合了TLS 1.3加密机制，提供了更高的安全性、可靠性、低延迟性以及更强大和高效的安全保障，同时支持更多的应用场景。与TCP协议相比，QUIC协议可以更加灵活地适应不同的网络环境和传输需求，能够在高延迟、高丢包、带宽受限等情况下提供更好的传输性能。与此同时，HTTP/3协议也是基于QUIC协议的新一代Web通信协议，它在保持HTTP协议的稳定性和兼容性的同时，利用QUIC协议提供的高速传输和安全性，进一步提高了网络传输的速度和效率，减少了连接建立和传输过程中的延迟，降低了网络传输的负担，使得Web应用程序和服务的性能得到了大幅提升。可以说QUIC是HTTP/3协议的基础和核心技术。当前，QUIC协议已经被广泛应用于移动设备、Web应用程序和云服务等领域，而区块链技术与QUIC协议的结合，更是可以提供一个去中心化和可验证性的特性，能够更好地满足Web3.0时代的网络通信需求。可以预见，QUIC协议将能够为区块链、物联网等技术的发展提供可靠保障，同时也将不断推动Web3.0时代的发展。图1展示了QUIC协议在物联网和区块链领域的应用场景。QUIC协议提供的高效、安全和可靠的网络通信能够为物联网和区块链发展带来更多可能性，同时也为未来的智能化、去中心化社会的构建打下坚实的基础。

QUIC是一种新型的传输层协议，它使用UDP协议提供快速可靠的传输，因为UDP协议可以提供更快的连接建立和断开，减少网络延迟，特别是对于移动网络和高延迟网络，并且比TCP协议更加灵活和安全。QUIC协议通过TLS 1.3提供端到端的加密安全，可以保护数据的隐私和安全。相比于传统的TLS/TCP协议，QUIC协议的加密机制更为高效，通过一次连接即可完成加密握手过程，大大减少了握手延迟。同时，QUIC协议还提供了0-RTT模式，允许在客户端与服务端已有密钥的情况下进行数据传输，从而更快地建立安全连接，从而避免了一些安全隐患和攻击。QUIC协议可以更好地控制连接状态，提供面向连接的服务，并通过端到端加密机制提高数据传输的安全性。QUIC使用Connection ID作为唯一标识，相比传统TCP连接方式，不需要进行额外的握手重连操作，因此在网络连接状态变化时能够更快地恢复连接，减少传输耗时。QUIC支持多路复用，即可以在单个连接上传输多个数据流，并且可以在同一UDP连接上实现安全、可靠的UDP应用，支持可靠的加密性能和有序传输。它还具有错误恢复的能力，通过在协议中添加错误校验和来检测数据传输中出现的错误，并使用带有错误控制和流量控制机制的快速重传和快速恢复技术，快速恢复数据传输的错误和丢失。所有这些都使得QUIC协议具有更好的性能和可靠性。

QUIC作为一种新兴的网络传输协议，在网络性能、安全性、可靠性等方面都具备诸多优势。如改进了拥塞控制、可以更快地建立连接、支持多路复用等。当前，QUIC协议的研究和应用正在快速发展，学术界关于QUIC的研究主要集中在提高网络传输性能、优化协议性能、安全机制改进以及应用场景扩展等方面。尤其是QUIC的安全性问题，虽然得到了广泛关注，但由于QUIC协议具有许多新的特性和设计，所以仍然存在着诸多挑战和问题，如基于QUIC的网络流量异常检测缺乏充分的研究。

发明内容

本发明的目的是提供一种QUIC网络异常行为检测方法、系统及设备，利用NGO算法优化CNN-LSTM模型的模型超参数，从而提高CNN-LSTM模型检测网络流量异常行为的准确性。

为实现上述目的，本发明提供了如下方案：

一种QUIC网络异常行为检测方法，所述方法包括：

获取QUIC网络流量数据；

利用NGO算法优化CNN-LSTM模型的模型超参数，得到优化CNN-LSTM模型；

将所述QUIC网络流量数据输入到所述优化CNN-LSTM模型中，得出网络流量检测结果。

可选的，利用NGO算法优化CNN-LSTM模型的模型超参数，具体包括：

根据模型目标超参数的不同数值组合构建初始苍鹰种群；所述模型目标超参数为所述CNN-LSTM模型中待优化的模型超参数；所述苍鹰种群中的一个苍鹰个体为所述模型目标超参数的一种数值组合；

对当前所述初始苍鹰种群中的每个苍鹰个体计算适应度；

从所述初始苍鹰种群中随机给每一所述苍鹰个体选择一个捕捉猎物；

对每一所述苍鹰个体，根据所述苍鹰个体的适应度和对应的所述捕捉猎物的适应度的大小对比结果对所述苍鹰个体的不同维度的元素进行位置更新，得到第一新苍鹰个体；

根据所述第一新苍鹰个体的适应度和所述苍鹰个体的适应度的大小对比结果确定每一所述苍鹰个体的区域搜索后的更新位置，得到区域搜索后的苍鹰个体；

根据当前迭代次数和最大迭代次数确定领域搜索的半径；

对每一所述区域搜索后的苍鹰个体，根据所述领域搜索的半径对所述苍鹰个体的区域搜索后的更新位置进行领域搜索位置更新，得到第二新苍鹰个体；

根据所述第二新苍鹰个体的适应度和所述区域搜索后的苍鹰个体的适应度的大小对比结果确定邻域搜索后的苍鹰个体；

判断当前所述迭代次数是否为所述最大迭代次数，若是，则对比当前所有所述邻域搜索后的苍鹰个体的适应度值，得出适应度最优的苍鹰个体，记为所述模型目标超参数的最优数值组合；

若否，则令当前所有所述邻域搜索后的苍鹰个体构成的种群为当前所述初始苍鹰种群，并返回步骤“对当前所述初始苍鹰种群中的每个苍鹰个体计算适应度”，直至当前所述迭代次数为所述最大迭代次数。

可选的，所述目标超参数包括LSTM神经网络的学习率、隐藏神经元数量和dropout参数。

可选的，根据所述苍鹰个体的适应度和对应的所述捕捉猎物的适应度的大小对比结果对所述苍鹰个体的不同维度的元素进行位置更新，具体包括：

其中，P_i表示第i个苍鹰个体S_i的捕捉猎物；表示第i个第一新苍鹰个体体的的第j个维度元素；P1表示区域搜索标识；P_i,j表示第i个苍鹰个体的捕捉猎物P_i的第j个维度元素；S_i,j表示第i个苍鹰个体S_i的第j个维度元素；r是属于[0,1]的随机数；I为取1或2随机变量；F_Pi表示第i个苍鹰个体的捕捉猎物P_i的适应度；F_i表示第i个苍鹰个体的适应度。

可选的，根据所述第一新苍鹰个体的适应度和所述苍鹰个体的适应度的大小对比结果确定每一所述苍鹰个体的区域搜索后的更新位置，得到区域搜索后的苍鹰个体，具体包括：

其中，代表第i个第一新苍鹰个体/>的适应度值。

可选的，所述领域搜索的半径的表达式为：

其中，R为邻域搜索半径；t为当前迭代次数；T表示最大迭代次数。

可选的，根据所述领域搜索的半径对所述苍鹰个体的区域搜索后的更新位置进行领域搜索位置更新，具体包括：

其中，表示第二新苍鹰个体/>的第j个维度元素；P2表示邻域搜索标识；s’_i,j表示第i个区域搜索后的苍鹰个体的第j个维度元素。

可选的，根据所述第二新苍鹰个体的适应度和所述区域搜索后的苍鹰个体的适应度的大小对比结果确定邻域搜索后的苍鹰个体，具体包括：

其中，表示第二新苍鹰个体/>的适应度；F’_i表示第i个区域搜索后的苍鹰个体的适应度。

本发明还提供一种QUIC网络异常行为检测系统，所述系统包括：

数据获取模块，用于获取QUIC网络流量数据；

优化模块，用于利用NGO算法优化CNN-LSTM模型的模型超参数，得到优化CNN-LSTM模型；

检测模块，用于将所述QUIC网络流量数据输入到所述优化CNN-LSTM模型中，得出网络流量检测结果。

本发明提供一种电子设备，包括存储器及处理器，存储器用于存储计算机程序，处理器运行计算机程序以使电子设备执行QUIC网络异常行为检测方法。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提供一种QUIC网络异常行为检测方法、系统及设备，利用CNN对QUIC网络流量进行特征提取，然后使用LSTM对提取的特征进行时序建模，同时融合NGO算法来优化CNN-LSTM模型中的超参数，大大提升了CNN-LSTM模型检测的准确性。此外，NGO算法还能够加速网络的收敛过程，提高模型的泛化能力和性能表现。这不仅提高了异常检测模型的整体分类性能，而且大大降低了模型训练过程中人为干预的影响。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的QUIC在物联网和区块链领域的应用；

图2为本发明实施例一提供的一种QUIC网络异常行为检测方法流程图；

图3为本发明实施例一提供的NGO-CNN-LSTM的体系结构；

图4为本发明实施例一提供的CNN模型结构；

图5为本发明实施例一提供的LSTM模型结构。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在构建网络流量异常模型时，模型的超参数设置同样对模型的性能影响很大，需要针对网络流量数据进行超参数的优化和调整，来使模型性能达到最佳。但是，手动调整这些参数往往是繁琐和不可靠的。使用一种能够自动寻找最优参数的算法是有益且必要的，这对于提高模型的检测精度和效率具有重要意义。

对此，本发明的目的是提供一种QUIC网络异常行为检测方法、系统及设备，利用NGO算法优化CNN-LSTM模型的模型超参数，从而提高CNN-LSTM模型检测网络流量异常行为的准确性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

实施例一

如图2所示，本实施例提供一种QUIC网络异常行为检测方法，所述方法包括：

A1：获取QUIC网络流量数据(待检测的)。

A2：利用NGO算法优化CNN-LSTM模型的模型超参数，得到优化CNN-LSTM模型。

北方苍鹰优化算法是一种基于鹰群捕食行为的群体智能优化技术，其基本思想是模拟北方苍鹰在捕猎过程中的寻找、追踪和捕捉猎物的行为，从而实现优化问题的求解。NGO算法将这种捕食行为转化为一种求解优化问题的过程，将搜索空间看作一个生态系统，其中包含若干个个体(模拟苍鹰)，通过模拟苍鹰的觅食行为不断更新个体的位置和速度，以达到最优解。与传统优化算法相比，NGO算法不需要对目标函数进行任何假设，具有良好的全局搜索能力和高效的收敛性。因此，我们选择NGO算法来优化CNN-LSTM模型的参数，以提高模型检测的准确性和泛化能力。

其中，步骤A2具体包括：

A21：根据模型目标超参数的不同数值组合构建初始苍鹰种群；所述模型目标超参数为所述CNN-LSTM模型中待优化的模型超参数；所述苍鹰种群中的一个苍鹰个体为所述模型目标超参数的一种数值组合。

从搜索空间中随机生成一组初始解作为种群的初始值。

式中，S代表整个苍鹰种群；Si表示种群中的苍鹰个体，s_i,j是给定问题的一个候选解，其代表第i个苍鹰的第j个变量的值；N是种群大小；m是维度；每行的元素分别表示一个种群个体在不同维度上的超参数取值。一个超参数组合作为一个种群个体。

所述目标超参数包括LSTM神经网络的学习率、隐藏神经元数量和dropout参数。

通过使用NGO算法来优化超参数，可以在最大限度地减少训练过程中人工干预影响的同时，提高模型泛化能力和鲁棒性，减少资源开销，在异常检测中能够取得更好的性能。

神经网络的参数对其性能有重要影响，而学习率、隐藏层神经元数量和dropout作为神经网络的重要参数，对训练结果有很大的影响。控制着模型的学习进度，过高的学习率可能会导致网络难以收敛，而过低的学习率会使网络收敛速度过慢。因此，需要根据实际情况对学习率进行调整。隐藏层神经元数量决定着神经网络的容量和表达能力。过多的神经元数量会增加训练时间和计算资源的开销，且容易导致过拟合。而隐藏神经元数量过少会导致网络无法充分学习，从而影响模型的精度。因此，需要考量准确率和效率，再对隐藏层神经元数量进行设置。除此之外，正则化技术是为了缓解过拟合问题而被提出。其中一种常见的方法是使用dropout，在每次训练时随机丢弃一定比例的神经元，这样可以减少神经元之间的依赖关系，提高模型的泛化能力，从而减少过拟合的情况。

优化的超参数还可以是CNN模型参数，例如CNN层数、卷积核大小、卷积核数量等，或者也可以是其他LSTM参数，如LSTM层数、激活函数等。

A22：对当前所述初始苍鹰种群中的每个苍鹰个体计算适应度。

对于每一个苍鹰种群中的苍鹰个体，计算其适应度函数值。

其中，向量F代表获得的目标函数值，而F_i表示种群中的第i个苍鹰个体的目标函数值。

NGO算法在优化问题中的适应度函数是一个关键组成部分，它可以用来评估算法的性能。在每次迭代时，NGO算法计算适应度值以确定算法的优化精度。本文用1减去分类正确率作为适应度函数(即错误率)。分类准确率的计算通过将分类结果与真实标签进行比较，并计算分类正确的样本数占总样本数的比例得到。该适应度函数的目的是最小化分类错误率，以求得一个更好的神经网络模型。适应度函数公式如下：

其中，fitness_value为适应度函数的值，取值范围在[0,1]之间，G为预测值和实际值相同数，共有Q个网络流量样本总数。当预测值和实际值完全相同时，适应度函数的值为1，表示模型的分类效果最佳；当预测值和实际值完全不同时，适应度函数的值为0，表示模型的分类效果最差。

这里预测值指的是模型对验证集上网络流量样本的预测结果，而实际值指的是验证集上网络流量样本的真实标签。在苍鹰优化算法中，种群中的每个个体代表了一个超参数组合。每个个体通过计算适应度函数的值来评估其性能和适应度。在这种情况下，适应度函数的计算涉及到使用超参数组合对训练数据进行建模，并对验证数据进行预测，然后将预测结果与实际值进行比较，根据预测结果与实际值的一致性来计算适应度函数的值。适应度函数的值反映了每个个体在当前超参数设置下的模型性能好坏，从而影响个体在下一代种群中的选择和进化。通过苍鹰优化算法的迭代和演化过程，种群中的个体会不断更新其超参数组合，以寻找最优的超参数配置来提高模型性能和预测准确率。

A23：从所述初始苍鹰种群中随机给每一所述苍鹰个体选择一个捕捉猎物。

随机选择一个猎物，然后迅速攻击它。这个阶段由于在搜索空间中随机选择猎物，增加了搜索能力，确定最佳地区(超参数的最佳数值组合)。

P_i＝S_k,i＝1,2,…,N,k＝1,2,…,i-1,i+1,…,N。

A24：对每一所述苍鹰个体，根据所述苍鹰个体的适应度和对应的所述捕捉猎物的适应度的大小对比结果对所述苍鹰个体的不同维度的元素进行位置更新，得到第一新苍鹰个体。

步骤A25中涉及的更新公式为：

其中，P_i表示第i个苍鹰个体S_i的捕捉猎物(的位置)；表示第i个第一新苍鹰个体体/>的的第j个维度元素；P1表示区域搜索标识；P_i,j表示第i个苍鹰个体的捕捉猎物P_i的第j个维度元素；S_i,j表示第i个苍鹰个体S_i的第j个维度元素；r是属于[0,1]的随机数；I为取1或2随机变量，当I＝2时，可以对每个个体的位移进行增量操作，以此将它们导入搜索空间中的新领域；F_Pi表示第i个苍鹰个体的捕捉猎物P_i的适应度；F_i表示第i个苍鹰个体的适应度。

A25：根据所述第一新苍鹰个体的适应度和所述苍鹰个体的适应度的大小对比结果确定每一所述苍鹰个体的区域搜索后的更新位置，得到区域搜索后的苍鹰个体。

步骤A25中确定区域搜索后的苍鹰个体的表达式为：

其中，代表第i个第一新苍鹰个体/>的适应度值。

对于步骤A24和步骤A25总结起来是区域搜索阶段，其具体过程为：

对于第i个苍鹰，根据步骤A25中涉及的更新公式更新其位置s_i,j(第i个猎物的第j个维度)：如果第i个苍鹰的适应度F_i大于捕捉的猎物的适应度那么位置更新为其中r是取值范围在[0,1]的随机数，I是随机选择的区域索引，用于决定个体的位置更新方式，取值为1或2。这里是根据捕获的猎物位置p_i,j和个体当前位置s_i,j进行位置更新的探索部分。通过在当前位置s_i,j和猎物位置p_i,j之间进行随机移动，并结合当前位置s_i,j进行引导，以寻找更好的解。如果第i个苍鹰的适应度F_i小于或等于捕捉的猎物的适应度/>那么位置更新为/>这里是根据当前位置s_i,j和猎物位置p_i,j进行位置更新的开发部分。通过在当前位置s_i,j和猎物位置p_i,j之间进行随机移动，以进一步改进解的质量。

步骤A25中确定区域搜索后的苍鹰个体的表达式表示如果新的适应度值小于当前适应度值F_i，即/>那么个体的位置更新为新的位置/>并更新个体的适应度值为新的适应度值/>如果新的适应度值/>大于或等于当前适应度值F_i，即/>那么个体的位置和适应度值保持不变。步骤A25的公式是在步骤A24的公式的基础上进行进一步的更新，包括更新个体的适应度值。

A26：根据当前迭代次数和最大迭代次数确定领域搜索的半径。

所述领域搜索的半径的表达式为：

其中，R为邻域搜索半径；t为当前迭代次数；T表示最大迭代次数。

A27：对每一所述区域搜索后的苍鹰个体，根据所述领域搜索的半径对所述苍鹰个体的区域搜索后的更新位置进行领域搜索位置更新，得到第二新苍鹰个体。

其中，步骤A27中涉及的更新公式：

其中，表示第二新苍鹰个体/>的第j个维度元素；P2表示邻域搜索标识；s’_i,j表示第i个区域搜索后的苍鹰个体的第j个维度元素。

A28：根据所述第二新苍鹰个体的适应度和所述区域搜索后的苍鹰个体的适应度的大小对比结果确定邻域搜索后的苍鹰个体。

确定邻域搜索后的苍鹰个体所依据的公式为：

其中，表示第二新苍鹰个体/>的适应度；F’_i表示第i个区域搜索后的苍鹰个体的适应度。

步骤A26至步骤A28总结起来属于领域搜索阶段：在区域搜索的基础上，对个体进行更深入的探索。通过在当前位置周围的邻域进行搜索，寻找更优的解。每个个体根据自身的适应度和邻域中最优解的适应度，进行位置更新。

在区域搜索的基础上，进行更深入的探索。对于第i个苍鹰，更新其位置s_i,j：位置更新为：其中R的计算公式为/> 其中t表示当前的迭代数，T表示最大迭代次数，R表示领域搜索的半径，用于控制个体在当前位置周围进行搜索的范围，(2r-1)是用于控制个体在搜索空间中进行的移动量。步骤A28中的公式使得个体能够在当前位置附近进行更深入的探索，以期找到更优的解。领域搜索的半径R随着迭代次数t的增加而逐渐减小，这意味着在优化过程中，随着迭代的进行，个体的搜索范围逐渐缩小，使其更加聚焦于局部最优解的探索。

步骤A28中的公式表示，如果个体的新适应度值小于当前适应度值F’_i，则使用/>来更新个体的位置和适应度值。这意味着个体在搜索过程中找到了更优的解，因此需要更新个体的状态。如果新的适应度值/>大于或等于当前适应度值F’_i，那么个体的位置和适应度值保持不变。

综上，区域搜索(探索)阶段主要关注在搜索空间中进行探索，寻找潜在的解决方案；而领域搜索(开发)阶段则侧重于对个体进行深入的搜索，以发现更优的解。区域搜索阶段提供了广泛的搜索和多样性，为后续的领域搜索阶段提供了更好的初始解。领域搜索则在区域搜索阶段的基础上进行更深入的搜索，逐渐收敛到更优的解。这两个阶段的递进关系使得优化算法能够在全局和局部之间进行平衡，同时具备广泛搜索和精细调整的能力，以找到最优解。

A29：判断当前所述迭代次数是否为所述最大迭代次数，若是，则对比当前所有所述邻域搜索后的苍鹰个体的适应度值，得出适应度最优的苍鹰个体，记为所述模型目标超参数的最优数值组合。

A210：若否，则令当前所有所述邻域搜索后的苍鹰个体构成的种群为当前所述初始苍鹰种群，并返回步骤A22“对当前所述初始苍鹰种群中的每个苍鹰个体计算适应度”，直至当前所述迭代次数为所述最大迭代次数。

A3：将所述QUIC网络流量数据输入到所述优化CNN-LSTM模型中，得出网络流量检测结果。

如图3所示，示出了基于NGO-CNN-LSTM模型的检测过程。

本发明中，融合了卷积神经网络(CNN)和长短期记忆网络(LSTM)的深度学习模型，用于处理网络流量异常检测问题。CNN-LSTM模型在提取序列数据特征的同时，还考虑到序列之间的时间依赖性，使得模型能够对动态变化的数据进行有效的建模和预测。同时考虑到网络流量数据的高维和非线性特性，传统方法难以提取关键特征，而且还需要大量的时间和计算资源。具体地，采用CNN对高维数据进行特征提取和降维，提高数据的可处理性和模型的学习效率。通过卷积层、批量归一化层、激活函数层、池化层等一系列处理，从数据中提取空间特征，如网络流量的频率、强度和时序分布等，使得网络流量数据可以更加简洁有效的表示，并且能够保留原始数据中的重要特征。而LSTM则可以捕捉数据中的时间依赖性，如流量的周期性变化和潜在的异常信号。LSTM模型在接收到CNN输出的序列特征之后，能够进一步捕捉序列中的时间依赖关系，从而能够更好地理解网络流量的动态演变过程。最后，模型将LSTM的输出连接到全连接层进行分类或回归，以检测网络流量的异常行为。在网络流量异常检测中，CNN-LSTM模型可以学习到流量数据中的时空关系和规律，在保证检测准确率的同时，还可以提高检测效率和处理能力，相较于传统的基于统计学方法和机器学习方法有更好的性能表现。因此，本文建立的CNN-LSTM模型能够对网络异常行为准确地进行检测和预测，提高网络安全性能。此外，该模型还具有较强的泛化能力和扩展性，可以适用于多种网络流量异常检测场景。

卷积神经网络CNN

卷积神经网络是一种用于处理具有网格结构数据的深度学习算法。与传统神经网络不同，CNN利用卷积运算提取输入数据的特征，并通过池化和非线性激活函数等技术对特征进行降维和筛选，最终实现高效准确的分类和识别。CNN是一种能够有效处理多维数据的神经网络结构，具有卓越的特征提取能力和高效性。

CNN的核心思想是利用卷积运算在网络中提取出特征，以此来实现对图像、音频等数据的处理。CNN的核心结构包括卷积层、池化层、全连接层等。其基本结构如图4所示。在卷积层中，神经网络通过卷积操作将输入数据的每一部分与一组可学习的卷积核进行卷积运算，从而获得输入数据的特征图。

卷积层是通过将一组可学习的滤波器(也称为卷积核)与输入数据进行卷积操作来实现的，从而生成一个特征映射(feature map)。其中每个元素对应着输入数据中一个局部区域。通过不同的滤波器，卷积层可以提取不同的特征。卷积层是CNN的核心结构，它能够自动地学习输入数据的特征，并将特征图作为下一层的输入。卷积层通过卷积运算提取输入数据的局部特征，利用多个卷积核分别对输入数据进行卷积操作，从而提取输入数据中的特征。卷积运算的过程可以用下面的公式表示：

其中l代表网络层数，代表l层中的第j个神经元。/>和M分别代表前一层和当前层之间的连接权重和神经元数量。/>为偏置。

卷积层之后是池化层，用来对特征映射进行降维操作，以减少计算量和防止过拟合。最常用的池化方式是最大池化，即在固定的窗口内选取最大值作为输出。

非线性激活函数层是CNN中另一个重要的组成部分，用于引入非线性因素，增强模型的表达能力。常用的激活函数包括ReLU、sigmoid和tanh等。

CNN通常在最后一层使用全连接层，将特征映射到具体的分类或回归结果。全连接层的输出结果通常需要通过softmax函数进行归一化，以得到各个类别的概率分布。

总的来说，CNN是一种有效的深度学习模型，它能够高效地提取输入数据的特征信息，并能够在较少的参数数量下达到较好的性能表现，并通过全连接层实现分类和识别任务。

长短期记忆网络

LSTM是一种特殊的循环神经网络，用于处理具有长期依赖关系的序列数据。相比于传统的循环神经网络(RNN)，LSTM能够更好地处理这种序列数据，并且会避免常规RNN中梯度消失或梯度爆炸的问题。在LSTM中，循环单元包含一个隐藏状态向量和一个记忆细胞向量，可以存储输入序列的信息并控制其在不同时间步长之间的流动。

LSTM的核心思想是引入了三个门控单元：遗忘门、输入门和输出门，以此来控制信息的流动，从而实现对序列数据长期依赖关系的建模和捕捉。这三个门可以通过学习得到最优的参数，来决定需要保留和遗忘哪些信息，以及如何更新当前时刻的状态。遗忘门通过sigmoid函数控制过去的记忆细胞是否要被忘记，输入门通过sigmoid函数控制当前输入的信息有多少会被加入到记忆细胞中，输出门则通过sigmoid函数和tanh函数控制记忆细胞中的信息在当前时间步长被输出的程度。LSTM网络的基本结构如图5所示。

其中，x_t是输入数据，h_t是隐藏状态，c_t是单元状态。σ代表sigmoid函数，f_t、i_t、o_t分别是遗忘门、输入门、输出门。

LSTM网络包含三个门和一个记忆单元，可以有效地控制信息的流动和保存长期依赖关系。具体来说，LSTM网络有以下三个门：

遗忘门(Forget Gate)：控制前一时刻的单元状态中需要被遗忘的信息。根据当前输入和上一时刻的隐藏状态来计算一个数值，表示当前需要遗忘多少信息。其表达式为：

f_t＝σ(W_f·[h_t-1,x_t]+b_f)

其中，f_t表示t时刻遗忘门的输出，W_f表示遗忘门的权重，b_f为偏置，x_t为t时刻的输入。遗忘门的作用是控制上一时刻的输出状态h_t-1在当前时刻是否需要被遗忘，以便让新的输入信息更新细胞状态。

输入门(Input Gate)：控制哪些信息需要被添加到细胞状态中。其表达式为：

i_t＝σ(W_i·[h_t-1,x_t]+b_i)

c_t'＝tanh(W_c·[h_t-1,x_t]+b_c)

其中，i_t表示t时刻输入门的输出，h_t-1表示t-1时刻的输出状态，也称作细胞状态(cell state)，c_t'是候选细胞状态(candidate cell state)，W_i和b_i分别表示输入门的权重和偏置，W_c和b_c分别表示更新候选细胞状态的权重和偏置。σ函数是sigmoid函数，用于将输入转换到0到1之间的范围内。

在LSTM中，上述三个门的输出还需要与细胞状态相乘，以控制信息在细胞状态中的流动和存储。具体来说，细胞状态的计算如下：

c_t＝f_t·c_t-1+i_t·c_t'

其中，c_t表示t时刻的细胞状态，c_t-1表示t-1时刻的细胞状态，c_t'表示t时刻的候选细胞状态，i_t表示输入门的输出，f_t表示遗忘门的输出。细胞状态的更新通过遗忘门控制旧信息的遗忘和输入门控制新信息的加入来实现。

输出门(Output Gate)：控制单元状态中哪些信息需要被传递到下一时刻的隐藏状态中。输出状态的计算如下：

o_t＝σ(W_o·[h_t-1,x_t]·+b_o)

h_t＝o_t·tanh(c_t)

其中，o_t表示t时刻的输出状态，W_o和b_o分别表示输出门的权重和偏置。tanh函数是双曲正切函数，用于将细胞状态映射到[-1,1]之间。

本实施例中，利用CNN对QUIC网络流量进行特征提取，然后使用LSTM对提取的特征进行时序建模，同时融合NGO算法来优化CNN-LSTM模型中的超参数。此外，NGO算法还能够加速网络的收敛过程，提高模型的泛化能力和性能表现。这不仅提高了异常检测模型的整体分类性能，而且大大降低了模型训练过程中人为干预的影响。

本实施例中，为了改进QUIC协议的安全性，以及更好地检测QUIC网络流量中的异常行为，本文提出了一种基于NGO-CNN-LSTM模型的QUIC网络流量异常检测模型。通过将NGO算法应用于CNN-LSTM模型中，可以更好地利用数据的非线性特征，提高模型的学习效果和泛化性能。在对QUIC网络流量进行异常检测的实验中，NGO-CNN-LSTM模型相比传统的机器学习模型和深度学习模型，具有更好的检测性能和更高的准确率。这表明，将NGO算法应用于深度学习模型中，是一种有效的方法来优化QUIC网络流量异常检测的性能。该方法可以有效地提高QUIC网络异常检测的精度和效率，具有重要的实际应用意义。本项研究的主要贡献如下：

(1)提出了一种融合NGO算法的CNN-LSTM模型，用于QUIC流量的异常检测。该模型结合了NGO算法优化神经网络的能力，可以有效提高异常检测的准确率和效率，为QUIC网络安全性研究提供了有力的支持。

(2)基于对QUIC协议的深入研究和对网络流量特征的深入分析，提出了一种可行的QUIC网络流量异常检测方案。该方案可以在不影响网络传输性能的前提下，能够准确识别网络流量中的异常行为，具有较高的实用性和可行性。

(3)通过实验验证，NGO-CNN-LSTM模型在QUIC流量异常检测方面取得了比其他方法更好的性能表现，同时具有更好的鲁棒性和可扩展性。这些结果证明了本文所提出的方法在QUIC网络安全性研究领域具有重要的意义和应用价值。因此，研究如何提升基于QUIC的区块链系统的安全性和可靠性具有重要的现实意义和深远的发展价值。

实施例二

本实施例提供一种QUIC网络异常行为检测系统，所述系统包括：

数据获取模块，用于获取QUIC网络流量数据；

优化模块，用于利用NGO算法优化CNN-LSTM模型的模型超参数，得到优化CNN-LSTM模型；

检测模块，用于将所述QUIC网络流量数据输入到所述优化CNN-LSTM模型中，得出网络流量检测结果。

实施例三

本实施例提供一种电子设备，包括存储器及处理器，存储器用于存储计算机程序，处理器运行计算机程序以使电子设备执行实施例一的QUIC网络异常行为检测方法。

可选地，上述电子设备可以是服务器。

另外，本发明实施例还提供一种计算机可读存储介质，其存储有计算机程序，该计算机程序被处理器执行时实现实施例一的QUIC网络异常行为检测方法。

本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种QUIC网络异常行为检测方法，其特征在于，所述方法包括：

获取QUIC网络流量数据；

利用NGO算法优化CNN-LSTM模型的模型超参数，得到优化CNN-LSTM模型；

将所述QUIC网络流量数据输入到所述优化CNN-LSTM模型中，得出网络流量检测结果。

2.根据权利要求1所述的方法，其特征在于，利用NGO算法优化CNN-LSTM模型的模型超参数，具体包括：

根据模型目标超参数的不同数值组合构建初始苍鹰种群；所述模型目标超参数为所述CNN-LSTM模型中待优化的模型超参数；所述苍鹰种群中的一个苍鹰个体为所述模型目标超参数的一种数值组合；

对当前所述初始苍鹰种群中的每个苍鹰个体计算适应度；

从所述初始苍鹰种群中随机给每一所述苍鹰个体选择一个捕捉猎物；

对每一所述苍鹰个体，根据所述苍鹰个体的适应度和对应的所述捕捉猎物的适应度的大小对比结果对所述苍鹰个体的不同维度的元素进行位置更新，得到第一新苍鹰个体；

根据所述第一新苍鹰个体的适应度和所述苍鹰个体的适应度的大小对比结果确定每一所述苍鹰个体的区域搜索后的更新位置，得到区域搜索后的苍鹰个体；

根据当前迭代次数和最大迭代次数确定领域搜索的半径；

对每一所述区域搜索后的苍鹰个体，根据所述领域搜索的半径对所述苍鹰个体的区域搜索后的更新位置进行领域搜索位置更新，得到第二新苍鹰个体；

根据所述第二新苍鹰个体的适应度和所述区域搜索后的苍鹰个体的适应度的大小对比结果确定邻域搜索后的苍鹰个体；

判断当前所述迭代次数是否为所述最大迭代次数，若是，则对比当前所有所述邻域搜索后的苍鹰个体的适应度值，得出适应度最优的苍鹰个体，记为所述模型目标超参数的最优数值组合；

若否，则令当前所有所述邻域搜索后的苍鹰个体构成的种群为当前所述初始苍鹰种群，并返回步骤“对当前所述初始苍鹰种群中的每个苍鹰个体计算适应度”，直至当前所述迭代次数为所述最大迭代次数。

3.根据权利要求2所述的方法，其特征在于，所述目标超参数包括LSTM神经网络的学习率、隐藏神经元数量和dropout参数。

4.根据权利要求2所述的方法，其特征在于，根据所述苍鹰个体的适应度和对应的所述捕捉猎物的适应度的大小对比结果对所述苍鹰个体的不同维度的元素进行位置更新，具体包括：

其中，P_i表示第i个苍鹰个体S_i的捕捉猎物；表示第i个第一新苍鹰个体体的第j个维度元素；P1表示区域搜索标识；P_i,j表示第i个苍鹰个体的捕捉猎物P_i的第j个维度元素；S_i,j表示第i个苍鹰个体S_i的第j个维度元素；r是属于[0,1]的随机数；I为取1或2随机变量；F_Pi表示第i个苍鹰个体的捕捉猎物P_i的适应度；F_i表示第i个苍鹰个体的适应度。

5.根据权利要求4所述的方法，其特征在于，根据所述第一新苍鹰个体的适应度和所述苍鹰个体的适应度的大小对比结果确定每一所述苍鹰个体的区域搜索后的更新位置，得到区域搜索后的苍鹰个体，具体包括：

其中，代表第i个第一新苍鹰个体/>的适应度值。

6.根据权利要求5所述的方法，其特征在于，所述领域搜索的半径的表达式为：

其中，R为邻域搜索半径；t为当前迭代次数；T表示最大迭代次数。

7.根据权利要求6所述的方法，其特征在于，根据所述领域搜索的半径对所述苍鹰个体的区域搜索后的更新位置进行领域搜索位置更新，具体包括：

其中，表示第二新苍鹰个体/>的第j个维度元素；P2表示邻域搜索标识；s,_i,j表示第i个区域搜索后的苍鹰个体的第j个维度元素。

8.根据权利要求7所述的方法，其特征在于，根据所述第二新苍鹰个体的适应度和所述区域搜索后的苍鹰个体的适应度的大小对比结果确定邻域搜索后的苍鹰个体，具体包括：

其中，表示第二新苍鹰个体/>的适应度；F_i，表示第i个区域搜索后的苍鹰个体的适应度。

9.一种QUIC网络异常行为检测系统，其特征在于，所述系统包括：

数据获取模块，用于获取QUIC网络流量数据；

优化模块，用于利用NGO算法优化CNN-LSTM模型的模型超参数，得到优化CNN-LSTM模型；

检测模块，用于将所述QUIC网络流量数据输入到所述优化CNN-LSTM模型中，得出网络流量检测结果。

10.一种电子设备，其特征在于，包括存储器及处理器，存储器用于存储计算机程序，处理器运行计算机程序以使电子设备执行权利要求1-8任一项所述的QUIC网络异常行为检测方法。