CN117155706A - 网络异常行为检测方法及其系统 - Google Patents
网络异常行为检测方法及其系统 Download PDFInfo
- Publication number
- CN117155706A CN117155706A CN202311411562.0A CN202311411562A CN117155706A CN 117155706 A CN117155706 A CN 117155706A CN 202311411562 A CN202311411562 A CN 202311411562A CN 117155706 A CN117155706 A CN 117155706A
- Authority
- CN
- China
- Prior art keywords
- network traffic
- time sequence
- network
- feature
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 49
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 46
- 239000013598 vector Substances 0.000 claims abstract description 140
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000002159 abnormal effect Effects 0.000 claims abstract description 23
- 238000010586 diagram Methods 0.000 claims description 46
- 238000009826 distribution Methods 0.000 claims description 25
- 239000011159 matrix material Substances 0.000 claims description 22
- 238000012545 processing Methods 0.000 claims description 19
- 238000013527 convolutional neural network Methods 0.000 claims description 17
- 238000005728 strengthening Methods 0.000 claims description 16
- 230000005856 abnormality Effects 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000004913 activation Effects 0.000 claims description 8
- 238000011176 pooling Methods 0.000 claims description 8
- 230000009467 reduction Effects 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 7
- 238000012937 correction Methods 0.000 claims description 6
- 230000011218 segmentation Effects 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 abstract description 37
- 230000006870 function Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 13
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000013135 deep learning Methods 0.000 description 8
- 210000002569 neuron Anatomy 0.000 description 6
- 238000012706 support-vector machine Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013136 deep learning model Methods 0.000 description 2
- 238000007477 logistic regression Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000013179 statistical model Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/092—Reinforcement learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种网络异常行为检测方法及其系统。其首先获取预定时间段内多个预定时间点的网络流量值,接着,将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量,然后,提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列,接着,构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图,最后,基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。这样,可以实现对网络异常行为的识别和检测。
Description
技术领域
本申请涉及网络安全领域,且更为具体地,涉及一种网络异常行为检测方法及其系统。
背景技术
网络异常行为是指在计算机网络中出现的异常、非正常的行为或活动。这些异常行为可能包括网络攻击、网络欺诈、恶意软件传播、未经授权的访问和数据泄漏等。通过网络异常行为检测可以及时发现并在一定程度上防止上述问题的发生。
传统的网络异常行为检测方法主要基于规则或统计模型,需要人工定义特征和阈值,不能有效地适应网络流量的动态变化和多样性。因此,期待一种优化的网络异常行为检测方法。
发明内容
有鉴于此,本申请提出了一种网络异常行为检测方法及其系统,其可以利用深度学习算法构建的网络模型来自适应地学习和调整阈值,进而实现对网络异常行为的识别和检测。
根据本申请的一方面,提供了一种网络异常行为检测方法,其包括:
获取预定时间段内多个预定时间点的网络流量值;
将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;
提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列;
构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图;以及
基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。
根据本申请的另一方面,提供了一种网络异常行为检测系统,其包括:
网络流量值获取模块,用于获取预定时间段内多个预定时间点的网络流量值;
向量化模块,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;
局部时序特征提取模块,用于提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列;
全时域关联关系构建模块,用于构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图;以及
网络行为异常分析模块,用于基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。
根据本申请的实施例,其首先获取预定时间段内多个预定时间点的网络流量值,接着,将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量,然后,提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列,接着,构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图,最后,基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。这样,可以实现对网络异常行为的识别和检测。
根据下面参考附图对示例性实施例的详细说明,本申请的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本申请的示例性实施例、特征和方面,并且用于解释本申请的原理。
图1示出根据本申请的实施例的网络异常行为检测方法的流程图。
图2示出根据本申请的实施例的网络异常行为检测方法的架构示意图。
图3示出根据本申请的实施例的网络异常行为检测方法的子步骤S130的流程图。
图4示出根据本申请的实施例的网络异常行为检测方法的子步骤S150的流程图。
图5示出根据本申请的实施例的网络异常行为检测系统的框图。
图6示出根据本申请的实施例的网络异常行为检测方法的应用场景图。
具体实施方式
下面将结合附图对本申请实施例中的技术方案进行清楚、完整地描述,显而易见地,所描述的实施例仅是本申请的部分实施例,而不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,也属于本申请保护的范围。
如本申请和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其他的步骤或元素。
本申请中使用了流程图用来说明根据本申请的实施例的系统所执行的操作。应当理解的是,前面或下面操作不一定按照顺序来精确地执行。相反,根据需要,可以按照倒序或同时处理各种步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
以下将参考附图详细说明本发明公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
下面将结合附图对本申请实施例中的技术方案进行清楚、完整地描述,显而易见地,所描述的实施例仅仅是本申请的部分实施例,而不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,也属于本申请保护的范围。
如本申请和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其他的步骤或元素。
以下将参考附图详细说明本申请的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
另外,为了更好的说明本申请,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本申请同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本申请的主旨。
传统的网络异常行为检测方法主要基于规则或统计模型,需要人工定义特征和阈值,不能有效地适应网络流量的动态变化和多样性。近年来,深度学习技术在图像、语音、自然语言处理等领域取得了突破性的进展,也引起了网络异常行为检测研究者的关注。深度学习技术可以自动地从原始数据中学习高层次的抽象特征,具有强大的表达能力和泛化能力。
为解决上述技术问题,本申请的技术构思为利用深度学习算法来提取网络流量数据的时序特征和变化模式,并以此来实现对网络异常行为的智能化检测。也就是,在监测和分析网络流量数据的过程中,利用深度学习算法构建的网络模型来自适应地学习和调整阈值,进而实现对网络异常行为的识别和检测。
图1示出根据本申请的实施例的网络异常行为检测方法的流程图。图2示出根据本申请的实施例的网络异常行为检测方法的架构示意图。如图1和图2所示,根据本申请实施例的网络异常行为检测方法,包括步骤:S110,获取预定时间段内多个预定时间点的网络流量值;S120,将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;S130,提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列;S140,构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图;以及,S150,基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。
应可以理解,步骤S110的目的是获取网络流量的原始数据,通过在预定时间段内采集多个预定时间点的网络流量值,可以获取网络流量的时间序列数据,为后续的分析和处理提供基础。在步骤S120中,将获取到的多个预定时间点的网络流量值按照时间维度进行排列,形成网络流量时序输入向量,这样做的目的是将网络流量数据按照时间的顺序进行组织,以便后续的特征提取和分析。在步骤S130中,对网络流量时序输入向量进行处理,提取局部时序特征,得到网络流量局部时序特征向量的序列,局部时序特征可以是针对时间窗口内的网络流量进行统计和分析得到的特征,例如平均值、方差、最大值、最小值等,通过提取局部时序特征,可以捕捉到网络流量的一些局部模式和变化趋势。在步骤S140中,根据网络流量局部时序特征向量的序列,构建全时域关联关系,以得到网络流量模式特征时序关联特征图,这个特征图表示了不同局部时序特征向量之间的关联程度,即它们在时间维度上的相似性或相关性。通过构建时序关联特征图,可以更全面地描述网络流量的模式和变化,为后续的异常检测提供更丰富的信息。在步骤S150中,利用网络流量模式特征时序关联特征图进行网络行为异常检测,通过分析特征图中的模式和关联信息,可以判断网络行为是否与正常行为有所不同,从而确定网络行为是否存在异常,这一步骤可以使用各种分类算法或异常检测算法来实现,例如基于机器学习的方法或基于规则的方法。通过以上各个步骤的处理,可以从原始的网络流量数据中提取出有关网络行为的特征,并通过特征图的分析和判断来确定网络行为是否存在异常。这样的方法可以帮助监测和识别网络中的异常行为,从而提高网络安全性和性能。
具体地,在本申请的技术方案中,首先获取预定时间段内多个预定时间点的网络流量值;并将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量。也就是,将时序离散分布的网络流量转化为结构化的向量表示,以使得后续模型能够进行读取与识别。
接着,提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列。也就是,捕捉网络流量的局部变化模式和特征分布,以理解网络流量的动态变化和行为。应可以理解,一般情况下,网络流量会呈现出一定的趋势,例如逐渐增长或逐渐下降。在网络流量出现波动时,会在短时间内出现明显的增加或减少。这些信息对于判断网络异常行为具有重要意义。
在本申请的一个具体示例中,如图3所示,提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列的编码过程,包括:S131,对所述网络流量时序输入向量进行向量切分以得到网络流量局部时序输入向量的序列;以及,S132,将所述网络流量局部时序输入向量的序列分别通过基于一维卷积层的网络流量时序特征提取器以得到所述网络流量局部时序特征向量的序列。这里,通过向量切分,可以在一定程度上引导模型更加关注细微的网络流量时序变化。
值得一提的是,一维卷积层是深度学习中常用的一种卷积神经网络层,用于处理具有时序结构的数据,例如时间序列数据或信号数据。一维卷积层通过滑动一个卷积核在输入序列上进行卷积操作,从而提取局部时序特征。在网络流量时序输入向量的局部时序特征提取过程中,一维卷积层的作用是对网络流量局部时序输入向量的序列进行特征提取。具体来说,S132步骤中的一维卷积层会通过学习一组卷积核的权重,对输入序列进行卷积操作,并生成一系列新的特征向量。这些特征向量捕捉了输入序列中的局部时序模式和结构信息。一维卷积层在网络流量分析中的应用可以帮助提取网络流量数据的局部时序特征,例如识别网络中的异常流量、检测网络攻击或异常行为等。通过使用一维卷积层,可以有效地捕捉到网络流量数据中的局部时序模式,从而提高对网络流量的分析和理解能力。
更具体地,在步骤S132中,将所述网络流量局部时序输入向量的序列分别通过基于一维卷积层的网络流量时序特征提取器以得到所述网络流量局部时序特征向量的序列,包括:使用所述基于一维卷积层的网络流量时序特征提取器的各层在层的正向传递中对输入数据分别进行一维卷积处理、池化处理和非线性激活处理以由所述基于一维卷积层的网络流量时序特征提取器的最后一层输出所述网络流量局部时序特征向量的序列,其中,所述基于一维卷积层的网络流量时序特征提取器的第一层的输入为所述网络流量局部时序输入向量的序列。
应可以理解,网络流量的异常行为通常不仅仅体现在局部时序特征的变化上,还可能蕴藏在多个局部时序特征间的复杂时序关联之中。因此,在本申请的技术方案中,期待捕捉网络流量的全局模式和长依赖时序关联信息。也就是,构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图。
在本申请的一个具体示例中,构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图的实现方式是:将所述网络流量局部时序特征向量的序列排列为网络流量全局特征矩阵后通过基于卷积神经网络模型的流量间时序提取器以得到网络流量模式特征时序关联特征图。其中,全局特征矩阵集成了各个局部时序特征的信息,反映了整个网络流量的全局模式和行为。
相应地,构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图,包括:将所述网络流量局部时序特征向量的序列排列为网络流量全局特征矩阵后通过基于卷积神经网络模型的流量间时序提取器以得到所述网络流量模式特征时序关联特征图。其中,所述基于卷积神经网络模型的流量间时序提取器包括输入层、卷积层、激活函数层、池化层、全连接层和输出层。
应可以理解,卷积神经网络(Convolutional Neural Network,CNN)是一种深度学习模型,主要用于处理具有网格结构数据的任务,如图像和序列数据。在所述网络流量模式特征时序关联特征图的实现中,基于卷积神经网络模型的流量间时序提取器起到关键作用。该模型通过处理网络流量局部时序特征向量的序列,并将其排列为网络流量全局特征矩阵,然后通过卷积神经网络模型进行处理,从而提取网络流量模式特征时序关联特征图。卷积神经网络模型通过卷积层、池化层和全连接层等组件构成。其中,卷积层利用卷积操作对输入数据进行特征提取,通过学习卷积核的权重来捕捉输入数据中的局部模式。池化层用于减小特征图的尺寸并保留重要的特征信息。全连接层将提取到的特征映射到最终的输出类别或特征向量。在网络流量分析中,卷积神经网络模型可以学习网络流量数据中的时序关联特征,例如识别不同类型的网络流量模式、检测网络中的异常行为或攻击等。通过使用卷积神经网络模型,可以自动学习和提取网络流量数据中的关键特征,从而提高对网络流量的分析和理解能力。
进一步地,如图4所示,基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常,包括:S151,将所述网络流量模式特征时序关联特征图通过特征自相关关联强化模块以得到自相关强化网络流量模式特征时序关联特征图;S152,对所述自相关强化网络流量模式特征时序关联特征图进行特征分布校正以得到校正后自相关强化网络流量模式特征时序关联特征图;以及,S153,将所述校正后自相关强化网络流量模式特征时序关联特征图通过分类器以得到分类结果,所述分类结果用于表示网络行为是否存在异常。
应可以理解,在步骤S151中,网络流量模式特征时序关联特征图通过特征自相关关联强化模块进行处理。特征自相关关联强化模块可以增强特征之间的相关性,从而提高网络行为异常的检测能力,通过对特征图进行自相关操作,可以捕捉到特征之间的时序关联信息,并增强这些关联信息在特征图中的表示。在步骤S152中,对经过自相关强化的网络流量模式特征时序关联特征图进行特征分布校正,特征分布校正的目的是将特征图的分布调整为更适合进行分类的形式,通过对特征图进行归一化、标准化或其他分布调整方法,可以消除特征之间的偏差,使得特征在不同维度上更加平衡。在步骤S153中,将经过校正后的自相关强化网络流量模式特征时序关联特征图输入到分类器中,以得到分类结果。分类器可以是一个机器学习模型,如支持向量机(SVM)、决策树、随机森林等,也可以是深度学习模型,如卷积神经网络(CNN)、循环神经网络(RNN)等。分类器会根据输入的特征图进行学习和训练,然后对网络行为进行分类,判断是否存在异常。通过以上三个步骤的处理,可以从网络流量模式特征时序关联特征图中提取出更具有时序关联性的特征,并进行分类判断,以确定网络行为是否存在异常。这样的处理流程可以提高对网络行为异常的检测准确性和鲁棒性。
具体地,将所述网络流量模式特征时序关联特征图通过特征自相关关联强化模块以得到自相关强化网络流量模式特征时序关联特征图。也就是,利用特征分布之间的相似性,有效聚合目标的完整信息,即突出关于网络流量异常的重要区域特征。
在本申请的一个具体示例中,将所述网络流量模式特征时序关联特征图通过特征自相关关联强化模块以得到自相关强化网络流量模式特征时序关联特征图的编码过程,包括:先将网络流量模式特征时序关联特征图通过第一卷积层以得到降维特征图;随后,将所述降维特征图通过第二卷积层以得到高效关联构造图;接着,利用余弦相似性操作计算所述高效关联构造图的关系矩阵;然后,利用Softmax函数对所述关系矩阵进行归一化处理以得到归一化后关系矩阵;接下来,利用逐元素相乘操作完成所述归一化后关系矩阵对所述降维特征图中任意两个特征值之间关系的建模以得到关联特征图;进一步地,对所述关联特征图进行反卷积操作以得到反卷积后关联特征图;再将所述反卷积后关联特征图与所述降维特征图进行逐元素相加以得到初步结果特征图;继而,对所述初步结果特征图进行通道扩充得到扩充后初步结果特征图后,将所述扩充后初步结果特征图和所述网络流量模式特征时序关联特征图残差连接以得到所述自相关强化网络流量模式特征时序关联特征图。
最后,将所述自相关强化网络流量模式特征时序关联特征图通过分类器以得到分类结果,所述分类结果用于表示网络行为是否存在异常。
更具体地,在步骤S153中,将所述校正后自相关强化网络流量模式特征时序关联特征图通过分类器以得到分类结果,所述分类结果用于表示网络行为是否存在异常,包括:将所述校正后自相关强化网络流量模式特征时序关联特征图按照行向量或者列向量展开为优化分类特征向量;使用所述分类器的全连接层对所述优化分类特征向量进行全连接编码以得到编码分类特征向量;以及,将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
也就是,在本申请的技术方案中,所述分类器的标签包括网络行为存在异常(第一标签),以及,网络行为不存在异常(第二标签),其中,所述分类器通过软最大值函数来确定所述校正后自相关强化网络流量模式特征时序关联特征图属于哪个分类标签。值得注意的是,这里的所述第一标签p1和所述第二标签p2并不包含人为设定的概念,实际上在训练过程当中,计算机模型并没有“网络行为是否存在异常”这种概念,其只是有两种分类标签且输出特征在这两个分类标签下的概率,即p1和p2之和为一。因此,网络行为是否存在异常的分类结果实际上是通过分类标签转化为符合自然规律的二分类的类概率分布,实质上用到的是标签的自然概率分布的物理意义,而不是“网络行为是否存在异常”的语言文本意义。
应可以理解,分类器的作用是利用给定的类别、已知的训练数据来学习分类规则和分类器,然后对未知数据进行分类(或预测)。逻辑回归(logistics)、SVM等常用于解决二分类问题,对于多分类问题(multi-class classification),同样也可以用逻辑回归或SVM,只是需要多个二分类来组成多分类,但这样容易出错且效率不高,常用的多分类方法有Softmax分类函数。
值得一提的是,全连接编码(Fully Connected Encoding)是指将输入数据通过全连接层进行编码的过程。在深度学习中,全连接层是一种常见的神经网络层,其中每个神经元与上一层的所有神经元相连接。全连接层的作用是将输入数据的特征进行组合和映射,生成更高级的特征表示。在网络行为异常检测的过程中,全连接编码用于对校正后自相关强化网络流量模式特征时序关联特征图进行编码,以得到编码分类特征向量。这个过程可以将原始的特征图转换为更具表达能力的特征向量,提取出更重要和有区分度的特征信息。全连接编码的过程如下:1.将校正后的自相关强化网络流量模式特征时序关联特征图按照行向量或列向量展开,这意味着将特征图中的每一行或每一列作为一个独立的输入向量。2.将展开后的特征向量输入到全连接层中,全连接层中的每个神经元都与上一层的所有神经元相连接,因此每个神经元可以接收到所有输入特征的信息。3.全连接层对输入的特征向量进行线性变换和非线性激活操作。线性变换通过权重矩阵和偏置向量将输入特征进行线性组合,而非线性激活函数(如ReLU、Sigmoid、Tanh等)则引入非线性变换,增加模型的表达能力。4.最终得到编码分类特征向量,它是全连接层输出的结果。该向量可以被视为经过编码的网络行为特征的表示,其中每个元素对应一个神经元的输出。5.编码分类特征向量可以进一步输入到分类器的Softmax分类函数中,以得到最终的分类结果。Softmax函数将向量的每个元素映射为一个概率值,表示该输入属于每个类别的概率。通过全连接编码,可以将原始的网络流量模式特征时序关联特征图转换为更具表达能力和区分度的编码分类特征向量,从而提高网络行为异常检测的准确性和性能。编码后的特征向量可以更好地用于分类器的训练和分类过程。
在本申请的技术方案中,将所述网络流量模式特征时序关联特征图通过特征自相关关联强化模块得到所述自相关强化网络流量模式特征时序关联特征图时,所述网络流量模式特征时序关联特征图的每个特征矩阵表达所述网络流量仅时域划分确定的局部时域的局部时域内-局部时域间时序关联特征,而其各个特征矩阵之间遵循卷积神经网络模型的通道分布,通过特征自相关关联强化模块,可以以所述网络流量模式特征时序关联特征图的通道向量为单位,基于特征矩阵的多维度时序特征分布来进行特征矩阵分布维度下的特征自相关强化,这在提升所述自相关强化网络流量模式特征时序关联特征图的整体表达一致性的同时,也会导致所述自相关强化网络流量模式特征时序关联特征图的通道分布表达偏离所述网络流量模式特征时序关联特征图的通道分布表达,影响其相对于分类结果的目标分布表达一致性,从而影响所述自相关强化网络流量模式特征时序关联特征图通过分类器得到的分类结果的准确性。
因此,优选地,首先计算所述网络流量模式特征时序关联特征图的每个特征矩阵的全局均值以获得网络流量模式特征时序关联特征向量,例如记为,再计算所述自相关强化网络流量模式特征时序关联特征图的每个特征矩阵的全局均值以获得自相关强化网络流量模式特征时序关联特征向量,例如记为/>,再以所述网络流量模式特征时序关联特征向量/>对所述自相关强化网络流量模式特征时序关联特征向量/>进行校正,以获得校正后自相关强化网络流量模式特征时序关联特征向量,例如记为/>。
相应地,在一个示例中,对所述自相关强化网络流量模式特征时序关联特征图进行特征分布校正以得到校正后自相关强化网络流量模式特征时序关联特征图,包括:计算所述网络流量模式特征时序关联特征图的每个特征矩阵的全局均值以获得网络流量模式特征时序关联特征向量;计算所述自相关强化网络流量模式特征时序关联特征图的每个特征矩阵的全局均值以获得自相关强化网络流量模式特征时序关联特征向量;以如下优化公式对所述自相关强化网络流量模式特征时序关联特征向量进行校正以得到校正后自相关强化网络流量模式特征时序关联特征向量;其中,所述优化公式为:
其中,表示所述网络流量模式特征时序关联特征向量,/>表示所述自相关强化网络流量模式特征时序关联特征向量,/>和/>分别表示所述网络流量模式特征时序关联特征向量/>和所述自相关强化网络流量模式特征时序关联特征向量/>的全局均值的倒数,且/>是单位向量,/>表示按位置点乘,/>表示向量减法,/>表示向量加法,/>表示所述校正后自相关强化网络流量模式特征时序关联特征向量;以及,以所述校正后自相关强化网络流量模式特征时序关联特征向量对所述自相关强化网络流量模式特征时序关联特征图沿通道进行加权以得到所述校正后自相关强化网络流量模式特征时序关联特征图。
也就是,在考虑到通道维度分布表达一致性的情况下,如果将所述自相关强化网络流量模式特征时序关联特征向量视为所述网络流量模式特征时序关联特征向量/>的特征分布增强输入,则考虑到所述网络流量模式特征时序关联特征向量/>的目标特征在类空间内的目标分布信息损失,可能导致类回归目的损失,因此通过对特征分布相对于彼此的离群分布(outlier distribution)进行交叉惩罚的方式,可以通过特征插值式融合实现特征增强和回归鲁棒的自监督式平衡,以提升所述网络流量模式特征时序关联特征向量/>和所述自相关强化网络流量模式特征时序关联特征向量/>的一致性,这样,再以经过校正的自相关强化网络流量模式特征时序关联特征向量/>对所述自相关强化网络流量模式特征时序关联特征图沿通道进行加权,就可以提升所述自相关强化网络流量模式特征时序关联特征图通过分类器得到的分类结果的准确性。
综上,基于本申请实施例的网络异常行为检测方法,其可以利用深度学习算法构建的网络模型来自适应地学习和调整阈值,进而实现对网络异常行为的识别和检测。
图5示出根据本申请的实施例的网络异常行为检测系统100的框图。如图5所示,根据本申请实施例的网络异常行为检测系统100,包括:网络流量值获取模块110,用于获取预定时间段内多个预定时间点的网络流量值;向量化模块120,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;局部时序特征提取模块130,用于提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列;全时域关联关系构建模块140,用于构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图;以及,网络行为异常分析模块150,用于基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。
在一种可能的实现方式中,所述局部时序特征提取模块130,包括:向量切分单元,用于对所述网络流量时序输入向量进行向量切分以得到网络流量局部时序输入向量的序列;以及,一维卷积单元,用于将所述网络流量局部时序输入向量的序列分别通过基于一维卷积层的网络流量时序特征提取器以得到所述网络流量局部时序特征向量的序列。
在一种可能的实现方式中,所述一维卷积单元,用于:使用所述基于一维卷积层的网络流量时序特征提取器的各层在层的正向传递中对输入数据分别进行一维卷积处理、池化处理和非线性激活处理以由所述基于一维卷积层的网络流量时序特征提取器的最后一层输出所述网络流量局部时序特征向量的序列,其中,所述基于一维卷积层的网络流量时序特征提取器的第一层的输入为所述网络流量局部时序输入向量的序列。
这里,本领域技术人员可以理解,上述网络异常行为检测系统100中的各个单元和模块的具体功能和操作已经在上面参考图1到图4的网络异常行为检测方法的描述中得到了详细介绍,并因此,将省略其重复描述。
如上所述,根据本申请实施例的网络异常行为检测系统100可以实现在各种无线终端中,例如具有网络异常行为检测算法的服务器等。在一种可能的实现方式中,根据本申请实施例的网络异常行为检测系统100可以作为一个软件模块和/或硬件模块而集成到无线终端中。例如,该网络异常行为检测系统100可以是该无线终端的操作系统中的一个软件模块,或者可以是针对于该无线终端所开发的一个应用程序;当然,该网络异常行为检测系统100同样可以是该无线终端的众多硬件模块之一。
替换地,在另一示例中,该网络异常行为检测系统100与该无线终端也可以是分立的设备,并且该网络异常行为检测系统100可以通过有线和/或无线网络连接到该无线终端,并且按照约定的数据格式来传输交互信息。
图6示出根据本申请的实施例的网络异常行为检测方法的应用场景图。如图6所示,在该应用场景中,首先,获取预定时间段内多个预定时间点的网络流量值(例如,图6中所示意的D),然后,将所述多个预定时间点的网络流量值输入至部署有网络异常行为检测算法的服务器(例如,图6中所示意的S)中,其中,所述服务器能够使用所述网络异常行为检测算法对所述多个预定时间点的网络流量值进行处理以得到用于表示网络行为是否存在异常的分类结果。
附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种网络异常行为检测方法,其特征在于,包括:
获取预定时间段内多个预定时间点的网络流量值;
将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;
提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列;
构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图;以及
基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。
2.根据权利要求1所述的网络异常行为检测方法,其特征在于,提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列,包括:
对所述网络流量时序输入向量进行向量切分以得到网络流量局部时序输入向量的序列;以及
将所述网络流量局部时序输入向量的序列分别通过基于一维卷积层的网络流量时序特征提取器以得到所述网络流量局部时序特征向量的序列。
3.根据权利要求2所述的网络异常行为检测方法,其特征在于,将所述网络流量局部时序输入向量的序列分别通过基于一维卷积层的网络流量时序特征提取器以得到所述网络流量局部时序特征向量的序列,包括:
使用所述基于一维卷积层的网络流量时序特征提取器的各层在层的正向传递中对输入数据分别进行一维卷积处理、池化处理和非线性激活处理以由所述基于一维卷积层的网络流量时序特征提取器的最后一层输出所述网络流量局部时序特征向量的序列,其中,所述基于一维卷积层的网络流量时序特征提取器的第一层的输入为所述网络流量局部时序输入向量的序列。
4.根据权利要求3所述的网络异常行为检测方法,其特征在于,构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图,包括:
将所述网络流量局部时序特征向量的序列排列为网络流量全局特征矩阵后通过基于卷积神经网络模型的流量间时序提取器以得到所述网络流量模式特征时序关联特征图。
5.根据权利要求4所述的网络异常行为检测方法,其特征在于,所述基于卷积神经网络模型的流量间时序提取器包括输入层、卷积层、激活函数层、池化层、全连接层和输出层。
6.根据权利要求5所述的网络异常行为检测方法,其特征在于,基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常,包括:
将所述网络流量模式特征时序关联特征图通过特征自相关关联强化模块以得到自相关强化网络流量模式特征时序关联特征图;
对所述自相关强化网络流量模式特征时序关联特征图进行特征分布校正以得到校正后自相关强化网络流量模式特征时序关联特征图;以及
将所述校正后自相关强化网络流量模式特征时序关联特征图通过分类器以得到分类结果,所述分类结果用于表示网络行为是否存在异常。
7.根据权利要求6所述的网络异常行为检测方法,其特征在于,将所述网络流量模式特征时序关联特征图通过特征自相关关联强化模块以得到自相关强化网络流量模式特征时序关联特征图,包括:
将网络流量模式特征时序关联特征图通过第一卷积层以得到降维特征图;
将所述降维特征图通过第二卷积层以得到高效关联构造图;
利用余弦相似性操作计算所述高效关联构造图的关系矩阵;
利用Softmax函数对所述关系矩阵进行归一化处理以得到归一化后关系矩阵;
利用逐元素相乘操作完成所述归一化后关系矩阵对所述降维特征图中任意两个特征值之间关系的建模以得到关联特征图;
对所述关联特征图进行反卷积操作以得到反卷积后关联特征图;
将所述反卷积后关联特征图与所述降维特征图进行逐元素相加以得到初步结果特征图;以及
对所述初步结果特征图进行通道扩充得到扩充后初步结果特征图后,将所述扩充后初步结果特征图和所述网络流量模式特征时序关联特征图残差连接以得到所述自相关强化网络流量模式特征时序关联特征图。
8.一种网络异常行为检测系统,其特征在于,包括:
网络流量值获取模块,用于获取预定时间段内多个预定时间点的网络流量值;
向量化模块,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;
局部时序特征提取模块,用于提取所述网络流量时序输入向量的局部时序特征以得到网络流量局部时序特征向量的序列;
全时域关联关系构建模块,用于构建所述网络流量局部时序特征向量的序列之间的全时域关联关系以得到网络流量模式特征时序关联特征图;以及
网络行为异常分析模块,用于基于所述网络流量模式特征时序关联特征图,确定网络行为是否存在异常。
9.根据权利要求8所述的网络异常行为检测系统,其特征在于,所述局部时序特征提取模块,包括:
向量切分单元,用于对所述网络流量时序输入向量进行向量切分以得到网络流量局部时序输入向量的序列;以及
一维卷积单元,用于将所述网络流量局部时序输入向量的序列分别通过基于一维卷积层的网络流量时序特征提取器以得到所述网络流量局部时序特征向量的序列。
10.根据权利要求9所述的网络异常行为检测系统,其特征在于,所述一维卷积单元,用于:
使用所述基于一维卷积层的网络流量时序特征提取器的各层在层的正向传递中对输入数据分别进行一维卷积处理、池化处理和非线性激活处理以由所述基于一维卷积层的网络流量时序特征提取器的最后一层输出所述网络流量局部时序特征向量的序列,其中,所述基于一维卷积层的网络流量时序特征提取器的第一层的输入为所述网络流量局部时序输入向量的序列。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311411562.0A CN117155706B (zh) | 2023-10-30 | 2023-10-30 | 网络异常行为检测方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311411562.0A CN117155706B (zh) | 2023-10-30 | 2023-10-30 | 网络异常行为检测方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117155706A true CN117155706A (zh) | 2023-12-01 |
CN117155706B CN117155706B (zh) | 2024-02-13 |
Family
ID=88908436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311411562.0A Active CN117155706B (zh) | 2023-10-30 | 2023-10-30 | 网络异常行为检测方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117155706B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115842636A (zh) * | 2021-08-20 | 2023-03-24 | 中国科学院计算机网络信息中心 | 一种基于时序特征的网络异常行为监测方法以及装置 |
CN116015837A (zh) * | 2022-12-22 | 2023-04-25 | 南阳理工学院 | 用于计算机网络信息安全的入侵检测方法及系统 |
CN116346639A (zh) * | 2023-03-04 | 2023-06-27 | 西安电子科技大学青岛计算技术研究院 | 一种网络流量预测方法、系统、介质、设备及终端 |
CN116647411A (zh) * | 2023-07-17 | 2023-08-25 | 厦门巴掌互动科技有限公司 | 游戏平台网络安全的监测预警方法 |
CN116704431A (zh) * | 2023-05-24 | 2023-09-05 | 湖南省三联环保科技有限公司 | 水污染的在线监测系统及其方法 |
CN116781430A (zh) * | 2023-08-24 | 2023-09-19 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
CN116866054A (zh) * | 2023-07-25 | 2023-10-10 | 安徽百方云科技有限公司 | 公共信息安全监测系统及其方法 |
-
2023
- 2023-10-30 CN CN202311411562.0A patent/CN117155706B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115842636A (zh) * | 2021-08-20 | 2023-03-24 | 中国科学院计算机网络信息中心 | 一种基于时序特征的网络异常行为监测方法以及装置 |
CN116015837A (zh) * | 2022-12-22 | 2023-04-25 | 南阳理工学院 | 用于计算机网络信息安全的入侵检测方法及系统 |
CN116346639A (zh) * | 2023-03-04 | 2023-06-27 | 西安电子科技大学青岛计算技术研究院 | 一种网络流量预测方法、系统、介质、设备及终端 |
CN116704431A (zh) * | 2023-05-24 | 2023-09-05 | 湖南省三联环保科技有限公司 | 水污染的在线监测系统及其方法 |
CN116647411A (zh) * | 2023-07-17 | 2023-08-25 | 厦门巴掌互动科技有限公司 | 游戏平台网络安全的监测预警方法 |
CN116866054A (zh) * | 2023-07-25 | 2023-10-10 | 安徽百方云科技有限公司 | 公共信息安全监测系统及其方法 |
CN116781430A (zh) * | 2023-08-24 | 2023-09-19 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
Non-Patent Citations (1)
Title |
---|
张露璐等: "基于深度学习的入侵检测研究", 信息与电脑(理论版) * |
Also Published As
Publication number | Publication date |
---|---|
CN117155706B (zh) | 2024-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110704842A (zh) | 一种恶意代码家族分类检测方法 | |
CN113283590B (zh) | 一种面向后门攻击的防御方法 | |
CN113095370A (zh) | 图像识别方法、装置、电子设备及存储介质 | |
CN117041017B (zh) | 数据中心的智能运维管理方法及系统 | |
CN111694954B (zh) | 图像分类方法、装置和电子设备 | |
CN116451139B (zh) | 一种基于人工智能的直播数据快速分析方法 | |
CN117078007A (zh) | 一种融合尺度标签的多尺度风控系统及其方法 | |
CN117155706B (zh) | 网络异常行为检测方法及其系统 | |
CN116310563A (zh) | 一种贵金属库存的管理方法及系统 | |
CN116400168A (zh) | 一种基于深度特征聚类的电网故障诊断方法及系统 | |
CN116232699A (zh) | 细粒度网络入侵检测模型的训练方法和网络入侵检测方法 | |
CN114972871A (zh) | 基于图像配准的少样本图像异常检测方法及系统 | |
Girish et al. | Inter-frame video forgery detection using UFS-MSRC algorithm and LSTM network | |
CN114168648B (zh) | 基于连续监督的鲁棒深度半监督异常检测方法及系统 | |
CN117676099B (zh) | 基于物联网的安全预警方法及系统 | |
CN116721441B (zh) | 基于区块链的门禁安全管理方法与系统 | |
CN117421723B (zh) | 基于Server Mesh的微服务系统 | |
CN115865458B (zh) | 基于lstm和gat算法的网络攻击行为检测方法、系统及终端 | |
CN116232761B (zh) | 基于shapelet的网络异常流量检测方法及系统 | |
CN115996133B (zh) | 一种工业控制网络行为检测方法以及相关装置 | |
CN113609480B (zh) | 基于大规模网络流的多路学习入侵检测方法 | |
CN116630816B (zh) | 基于原型对比学习的sar目标识别方法、装置、设备及介质 | |
CN113222056B (zh) | 面向图像分类系统攻击的对抗样本检测方法 | |
EP3940601A1 (en) | Information processing apparatus, information processing method, and information program | |
CN113205082B (zh) | 基于采集不确定性解耦的鲁棒虹膜识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |