CN117197543A - 基于GMD图像化与改进ResNeXt的网络异常检测方法及装置 - Google Patents

基于GMD图像化与改进ResNeXt的网络异常检测方法及装置 Download PDF

Info

Publication number
CN117197543A
CN117197543A CN202311060003.XA CN202311060003A CN117197543A CN 117197543 A CN117197543 A CN 117197543A CN 202311060003 A CN202311060003 A CN 202311060003A CN 117197543 A CN117197543 A CN 117197543A
Authority
CN
China
Prior art keywords
data
resnext
sample set
network
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311060003.XA
Other languages
English (en)
Inventor
王丽娜
杨葛英
吴津宇
王清浩
刘晓稳
付杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN202311060003.XA priority Critical patent/CN117197543A/zh
Publication of CN117197543A publication Critical patent/CN117197543A/zh
Pending legal-status Critical Current

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Image Analysis (AREA)

Abstract

为了解决网络异常检测中特征提取能力较弱的问题,本发明通过将输入一维特征属性数据转化为二维RGB图像,从而将网络异常检测问题转化为图像异常检测问题,并将空间注意力机制引入ResNeXt网络模型中,提高模型特征提取能力。本发明公开的一种基于GMD图像化与改进ResNeXt的动态网络异常检测方法,首先采取结合了格拉姆角场、马尔可夫变迁场和差值编码的图像化方法将输入数据转化为二维RGB图像,然后将ResNeXt网络结构中的标准卷积替换为具有动态调整感受野功能的MA‑Dilated卷积,并使用改进后的ResNeXt网络进行特征提取,最后使用极限学习机完成分类工作,能够实现对异常数据的高效准确检测。

Description

基于GMD图像化与改进ResNeXt的网络异常检测方法及装置
技术领域
本发明涉及人工智能信息安全技术领域,尤其涉及一种基于GMD图像化与改进ResNeXt的网络异常检测方法及装置。
背景技术
网络异常检测作为网络安全领域的一种重要的安全防护技术,可以从网络数据中提取有价值的流量特征,并利用这些特征构建一个二分类模型,以便更好地识别网络流量异常,从而有效地阻止网络攻击,保护个人信息和个人资产等关键数据不被窃取和破坏,提高计算机系统的安全性,维护互联网环境的信息安全。相较于传统的入侵检测技术,网络异常检测技术不仅具有更低的模型训练成本,而且能够更加有效地检测出网络中的异常行为,已经成为当今网络安全领域的一个重要防护手段。
目前,网络异常检测技术被划分为五类:基于统计学习的、基于机器学习的、基于深度学习的、基于集成学习的以及基于协议分析的网络异常检测。其中,基于统计学习的网络异常检测是一种早期的网络异常检测技术,其捕获历史网络流量数据,分析数据之间的相互关系,利用统计学的知识建立正常网络模型,并基于该模型进行检测;基于机器学习的网络异常检测根据输入数据和输出数据之间的关联映射,训练形成模型,并基于该模型进行检测;基于深度学习的网络异常检测是在机器学习的基础上,采用具有深层次的“深度”学习思想的神经网络进行检测;基于集成学习的网络异常检测通过选择多个学习器来完成对整体数据的训练和后续检测工作;基于协议分析的网络异常检测通过构造正常行为的训练模型,并比较观测活动是否异于正常行为模型,从而进行检测。
目前的网络异常检测技术的特征提取能力较弱,提取得到的特征不能包含原始数据中的所有重要信息,导致检测准确度不高,误报率较高等问题的出现。同时,在真实的网络场景中,流量往往会夹杂着大量的无用信息,这些含有无用信息的“受损数据”会对网络异常检测工作带来不便,进而降低模型的异常检测性能。
发明内容
本发明针对现有技术的不足,从增强特征提取能力和提高鲁棒性的角度出发,提供一种基于GMD图像化与改进ResNeXt的网络异常检测方法。该方法通过将一维输入原始数据转化为二维图像,并使用引入了空间注意力机制的ResNeXt网络结构进行特征提取,从而提高特征提取能力。此外,该方法在模型训练前向原始数据添加高斯白噪声,从而提高检测方法在噪声环境中的鲁棒性。
为了解决上述技术问题,本发明技术方案为:
第一方面提供了基于GMD图像化与改进ResNeXt的网络异常检测方法,包括:
S1:对原始网络流量数据进行预处理,预处理包括编码、标准化以及将数据划分为训练样本集和测试样本集,其中训练样本集和测试样本集中包含的数据为一维数据;
S2:使用基于GMD的图像化方法对步骤S1得到的一维数据进行二维图像化转换;
S3:采用改进ResNeXt对转换得到的二维数据进行特征提取,其中,改进ResNeXt为嵌入了空间注意力机制的ResNeXt网络,改进ResNeXt将原始ResNeXt网络结构中的标准卷积替换为能够根据特征动态调整感受野大小的扩张卷积,对不同区域之间的差异性特征进行有针对性和选择性的提取;
S4:将经过步骤S3特征提取后的训练数据输入核极限学习机分类器中进行训练,得到训练好的模型,其中,训练数据在输入核极限学习机分类器之前对其添加高斯白噪声;
S5:将同样经过步骤S3特征提取后的测试数据输入训练好的模型进行网络异常检测。
在一种实施方式中,步骤S1中的编码和标准化包括:
对原始网络流量数据中的字符型特征进行OneHot编码,从而将其转化为二进制向量,对于数值型特征采用Min-Max归一标准化方法将其缩放到[-1,1]的范围。
在一种实施方式中,步骤S2包括:
S2.1:使用格拉姆角场方法计算得到训练样本集的格拉姆角场矩阵作为最终图像的R通道矩阵,通过使用训练样本集中两个不同特征对应的角度φ之和的cos函数计算得到格拉姆角场矩阵;
S2.2:使用马尔可夫变迁场方法计算得到训练样本集的马尔可夫变迁场矩阵作为最终图像的G通道矩阵;
S2.3:使用差值编码方法计算得到训练样本集的差值编码矩阵作为最终图像的B通道矩阵;
S2.4:对R通道矩阵、G通道矩阵以及B通道矩阵进行数值转换,将经过数值转化后的三个矩阵作为R、G、B三个通道上的像素点矩阵,并将三个二维矩阵堆叠,得到通道数为3的三维矩阵,形成最终图像样本。
在一种实施方式中,步骤S2.1包括:
将训练样本集数据序列转化为极坐标系时间序列,计算公式如下:
其中,i表示图像序号,φ是时间序列特征在极坐标下的角度,vi是训练样本集中的第i个数据或者图像的时间序列特征的一般坐标表示,V是时间序列特征集合,ri是时间序列在极坐标下的半径,ti是当前时间序列在时间序列集合中的索引,N是时间序列的总记录数;
通过使用训练样本集中两个不同特征对应的角度φ之和的cos函数计算得到格拉姆角场矩阵MGAF,计算公式如下:
其中,φ1、φ2、φn为不同特征对应的角度。
在一种实施方式中,步骤S2.2包括:
将训练样本集中的所有数据分类为Q个分位数;
采用一阶马尔可夫链的形式分析分位数之间的更迭情况,构造马尔可夫变迁场矩阵MMTF,计算公式如下:
其中,k和l表示两种任意状态,Wk,l表示状态k到l的计数矩阵,x1,x2,...,xn是时序数据,qk是xk的分位桶,ql是xl的分位桶。
在一种实施方式中,步骤S2.3包括:
对于训练样本集V={v1,v2,...,vn},当i=j,1≤i,j≤n时,保留原始数据,即vi;当i≠j,1≤i,j≤n时,计训练样本集中两个不同特征之间的差值,即vi-vj,计算公式如下:
其中,v1、v2和vn时训练样本集中的第一个、第二个和第n个数据的时间序列特征的一般坐标表示。
在一种实施方式中,步骤S3包括:
S3.1:对于输入特征图,分别通过卷积核大小为3×3、扩张率为1,2,3的三个分组卷积,以及批量归一化ReLU激活函数得到三个感受野不同的特征图;
S3.2:将步骤S3.1得到的三个特征图相加,使用全局平均池化层和全局最大池化层分别计算得到全局信息向量,并融合形成向量;
S3.3:通过使用Softmax方法分别计算不同感受野特征图的权重向量,然后使用权重向量将三个特征图融合得到输出特征图。
在一种实施方式中,步骤S4包括:
S4.1:向分类器输入训练数据,训练数据包括数据特征、样本标签类别;
S4.2:选择高斯核函数作为核极限学习机的核函数,核参数设置为(20,1e5);
S4.3:通过核函数计算得到极限学习机的输入输出关系矩阵β;
S4.4:使用关系矩阵β分析得到分类结果。
基于同样的发明构思,本发明第二方面提供了基于GMD图像化与改进ResNeXt的网络异常检测装置,包括:
预处理模块,用于对原始网络流量数据进行预处理,预处理包括编码、标准化以及将数据划分为训练样本集和测试样本集,其中训练样本集和测试样本集中包含的数据为一维数据;
图像化转换模块,用于使用基于GMD的图像化方法对预处理模块得到的一维数据进行二维图像化转换;
特征提取模块,用于采用改进ResNeXt对转换得到的二维数据进行特征提取,其中,改进ResNeXt为嵌入了空间注意力机制的ResNeXt网络,改进ResNeXt将原始ResNeXt网络结构中的标准卷积替换为能够根据特征动态调整感受野大小的扩张卷积,对不同区域之间的差异性特征进行有针对性和选择性的提取;
训练模块,用于将经过特征提取模块进行特征提取后的训练数据输入核极限学习机分类器中进行训练,得到训练好的模型,其中,训练数据在输入核极限学习机分类器之前对其添加高斯白噪声;
异常检测模块,用于将同样经过特征提取模块进行特征提取后的测试数据输入训练好的模型进行网络异常检测。
基于同样的发明构思,本发明第三方面提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被执行时实现第一方面所述的方法。
相对于现有技术,本发明的优点和有益的技术效果如下:
本发明公开的基于GMD图像化与改进ResNeXt的网络异常检测方法,使用基于GMD的图像化方法将一维输入原始数据转化为二维图像,将ResNeXt网络结构中的标准卷积替换为具有动态调整感受野功能的MA-Dilated卷积(扩张卷积),并使用改进后的ResNeXt网络进行特征提取,最后使用极限学习机完成分类工作,能够实现对异常数据的高效准确检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中公开的方法中数据处理的流程图;
图2是本发明实施例中模型训练的流程图;
图3是本发明实施例中利用测试数据输入训练好的模型进行网络异常检测的流程图。
具体实施方式
为了解决网络异常检测中特征提取能力较弱的问题,本发明通过将输入一维特征属性数据转化为二维RGB图像,从而将网络异常检测问题转化为图像异常检测问题,并将空间注意力机制引入ResNeXt网络模型中,提高模型特征提取能力。具体地,本发明公开的基于GMD图像化与改进ResNeXt的动态网络异常检测方法,首先采取结合了格拉姆角场、马尔可夫变迁场和差值编码(GMD)的图像化方法将输入数据转化为二维RGB图像,然后将ResNeXt网络结构中的标准卷积替换为具有动态调整感受野功能的MA-Dilated卷积,并使用改进后的ResNeXt网络进行特征提取,最后使用极限学习机完成分类工作,能够实现对异常数据的高效准确检测。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本实施例公开了基于GMD图像化与改进ResNeXt的网络异常检测方法,包括:
S1:对原始网络流量数据进行预处理,预处理包括编码、标准化以及将数据划分为训练样本集和测试样本集,其中训练样本集和测试样本集中包含的数据为一维数据;
S2:使用基于GMD的图像化方法对步骤S1得到的一维数据进行二维图像化转换;
S3:采用改进ResNeXt对转换得到的二维数据进行特征提取,其中,改进ResNeXt为嵌入了空间注意力机制的ResNeXt网络,改进ResNeXt将原始ResNeXt网络结构中的标准卷积替换为能够根据特征动态调整感受野大小的扩张卷积,对不同区域之间的差异性特征进行有针对性和选择性的提取;
S4:将经过步骤S3特征提取后的训练数据输入核极限学习机分类器中进行训练,得到训练好的模型,其中,训练数据在输入核极限学习机分类器之前对其添加高斯白噪声;
S5:将同样经过步骤S3特征提取后的测试数据输入训练好的模型进行网络异常检测。
具体来说,步骤S1通过对原始网络流量数据进行预处理并进行数据集划分,以确保神经网络模型能够准确地识别出特定格式的数据,并且对于训练数据添加高斯白噪声从而提高检测模型鲁棒性。
步骤S2设计一种新颖的基于格拉姆角场(Gramian angular field)、马尔可夫变迁场(Markov transition Field)以及差值编码(Difference coding)技术(GMD)图像化方法对步骤S1得到的一维数据进行二维图像化转换,并称之为GMD图像化方法,使预处理后的数据特征尺寸满足卷积神经网络的输入要求,并且在保证简易实施的同时又不丢失部分原始数据。
步骤S3采用嵌入了空间注意力机制的ResNeXt网络进行特征提取。
步骤S4是模型的训练,步骤S5在模型训练完成后,将同样经过步骤S3特征提取后的测试样本集输入模型进行网络异常检测,从而检验网络异常检测的性能是否提高。
本发明提出的基于GMD图像化与改进ResNeXt的网络异常检测方法,可以解决现有网络异常检测模型特征提取能力较弱,以及在噪声环境中的鲁棒性较差等问题,从而达到提高检测准确性的技术效果。
在一种实施方式中,步骤S1编码和标准化包括:
对原始网络流量数据中的字符型特征进行OneHot编码,从而将其转化为二进制向量,对于数值型特征采用Min-Max归一标准化方法将其缩放到[-1,1]的范围。
对原始网络流量数据进行上述处理后,便于后续模型的训练。对于训练样本集,在进入模型训练前添加高斯白噪声,对于测试样本集不做处理。
在一种实施方式中,步骤S2包括:
S2.1:使用格拉姆角场方法计算得到训练样本集的格拉姆角场矩阵作为最终图像的R通道矩阵,通过使用训练样本集中两个不同特征对应的角度φ之和的cos函数计算得到格拉姆角场矩阵;
S2.2:使用马尔可夫变迁场方法计算得到训练样本集的马尔可夫变迁场矩阵作为最终图像的G通道矩阵;
S2.3:使用差值编码方法计算得到训练样本集差值编码矩阵作为最终图像的B通道矩阵;
S2.4:对R通道矩阵、G通道矩阵以及B通道矩阵进行数值转换,将经过数值转化后的三个矩阵作为R、G、B三个通道上的像素点矩阵,并将三个二维矩阵堆叠,得到通道数为3的三维矩阵,形成最终图像样本。
在一种实施方式中,步骤S2.1包括:
将训练样本集数据序列转化为极坐标系时间序列,计算公式如下:
其中,i表示图像序号,φ是时间序列特征在极坐标下的角度,vi是训练样本集中的第i个数据或者图像的时间序列特征的一般坐标表示,V是时间序列特征集合,ri是时间序列在极坐标下的半径,ti是当前时间序列在时间序列集合中的索引,N是时间序列的总记录数;
通过使用训练样本集中两个不同特征对应的角度φ之和的cos函数计算得到格拉姆角场矩阵MGAF,计算公式如下:
其中,φ1、φ2、φn为不同特征对应的角度。
在一种实施方式中,步骤S2.2包括:
将训练样本集中的所有数据分类为Q个分位数;
采用一阶马尔可夫链的形式分析分位数之间的更迭情况,构造马尔可夫变迁场矩阵MMTF,计算公式如下:
其中,k和l表示两种任意状态,Wk,l表示状态k到l的计数矩阵,x1,x2,...,xn是时序数据,qk是xk的分位桶,ql是xl的分位桶。
在一种实施方式中,步骤S2.3包括:
对于训练样本集V={v1,v2,...,vn},当i=j,1≤i,j≤n时,保留原始数据,即vi;当i≠j,1≤i,j≤n时,计算训练样本集中两个不同特征之间的差值,即vi-vj,计算公式如下:
其中,v1、v2和vn训练样本集中的第一个、第二个和第n个数据的时间序列特征的一般坐标表示,Mdiff为差值编码矩阵。
具体实施过程中,在对于步骤2.1、2.2、2.3计算得到的三个通道上的矩阵,S2.4使用如下公式进行数值转换,从而消除原有矩阵中的负值。再将经过转化后的三个矩阵作为R、G、B三个通道上的像素点矩阵,并将三个二维矩阵堆叠,得到通道数为3的三维矩阵,形成最终图像样本。
其中,Mmax表示M中的最大值,Mmin表示M中的最小值,I为单位矩阵。
在一种实施方式中,步骤S3包括:
S3.1:对于输入特征图,分别通过卷积核大小为3×3、扩张率为1,2,3的三个分组卷积,以及批量归一化ReLU激活函数得到三个感受野不同的特征图;
S3.2:将步骤S3.1得到的三个特征图相加,使用全局平均池化层和全局最大池化层分别计算得到全局信息向量,并融合形成向量;
S3.3:通过使用Softmax方法分别计算不同感受野特征图的权重向量,然后使用权重向量将三个特征图融合得到输出特征图。
具体来说,步骤S3.1中对于对于输入特征图X∈RH+W+C,H、W、C分别表示特征图的高度、宽度以及通道数,通过卷积核大小为3×3、扩张率为1,2,3的三个分组卷积,以及批量归一化ReLU激活函数得到三个感受野不同的特征图U1∈RH+W+C、U2∈RH+W+C、U3∈RH+W+C
步骤S3.2通过下述方式实现:
首先,将步骤S3.1得到的三个特征图相加:
U=U1+U2+U3
然后,使用全局平均池化层和全局最大池化层分别计算得到全局信息向量s1、s2,并融合形成向量s。
s=s1+s2
其中,h表示特征图的横向索引,w表示特征图的纵向索引,U(h,w)表示特征图在位置(h,w)处的特征值。
步骤S3.3通过下述方式实现:
首先,通过使用Softmax方法分别计算不同感受野特征图的权重向量,特征图的第i行的计算如下所示。
其中,ai表示权重向量a的第i个序列值,bi表示权重向量b的第i个序列值,ci表示权重向量c的第i个序列值;Ai表示特征图U1的第i行,Bi表示特征图U2的第i行,Ci表示特征图U3的第i行。
然后,使用权重向量将三个特征图融合得到输出特征图Y∈RH+W+C
Y=a×U1+b×U2+c×U3
其中,a、b和c分别为特征图U1、U2和U3的权重向量。
在一种实施方式中,步骤S4包括:
S4.1:向分类器输入训练数据,训练数据包括数据特征、样本标签类别;
S4.2:选择高斯核函数作为核极限学习机的核函数,核参数设置为(20,1e5);
S4.3:通过核函数计算得到极限学习机的输入输出关系矩阵β;
S4.4:使用关系矩阵β分析得到分类结果。
下面通过具体实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
本发明的输入原始网络流量数据采用网络入侵检测数据集,在网络异常检测模型的训练与测试前会对初始输入数据进行数据预处理。参见图1,首先,当输入数据中存在字符型特征时,通过OneHot编码将字符型特征转化为数值型特征。随后,采用Min-Max归一标准化方法将数据缩放到[-1,1]的范围。最后,对数据进行样本集判断,如果是训练样本集,则添加高斯白噪声,随后进行模型训练;如果不是,则进行异常检测。
图2是本发明的模型训练过程,将图1中划分好的测试样本集输入到模型中,设符合网络异常检测标准时需要达到的正确率为c%,通过判断最近十次的训练结果来确定是否符合测试标准,如果十次实验平均的检测正确率大于等于c%,则符合网络异常检测标准,结束训练,并且进行网络异常检测;否则继续训练,直到模型达到预期正确率。
图3是本发明的网络异常检测过程,将图1中划分好的测试样本集输入到模型中,使用基于GMD的图像化处理方法和改进的ResNeXt网络结构,提取特征向量,随后将特征向量输入到核极限学习机分类器中,预测输入样本的流量分类情况,如果输入流量属于攻击流量,则说明网络中存在异常,否则说明网络中未出现异常。
实施例二
基于同样的发明构思,本实施例公开了基于GMD图像化与改进ResNeXt的网络异常检测装置,包括:
预处理模块,用于对原始网络流量数据进行预处理,预处理包括编码、标准化以及将数据划分为训练样本集和测试样本集,其中训练样本集和测试样本集中包含的数据为一维数据;
图像化转换模块,用于使用基于GMD的图像化方法对预处理模块得到的一维数据进行二维图像化转换;
特征提取模块,用于采用改进ResNeXt对转换得到的二维数据进行特征提取,其中,改进ResNeXt为嵌入了空间注意力机制的ResNeXt网络,改进ResNeXt将原始ResNeXt网络结构中的标准卷积替换为能够根据特征动态调整感受野大小的扩张卷积,对不同区域之间的差异性特征进行有针对性和选择性的提取;
训练模块,用于将经过特征提取模块进行特征提取后的训练数据输入核极限学习机分类器中进行训练,得到训练好的模型,其中,训练数据在输入核极限学习机分类器之前对其添加高斯白噪声;
异常检测模块,用于将同样经过特征提取模块进行特征提取后的测试数据输入训练好的模型进行网络异常检测。
由于本发明实施例二所介绍的装置为实施本发明实施例一中基于GMD图像化与改进ResNeXt的网络异常检测方法所采用的装置,故而基于本发明实施例一所介绍的方法,本领域所属人员能够了解该装置的具体结构及变形,故而在此不再赘述。凡是本发明实施例一中方法所采用的装置都属于本发明所欲保护的范围。
实施例三
基于同一发明构思,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被执行时实现如实施例一中所述的方法。
由于本发明实施例三所介绍的计算机可读存储介质为实施本发明实施例一中基于GMD图像化与改进ResNeXt的网络异常检测方法所采用的计算机可读存储介质,故而基于本发明实施例一所介绍的方法,本领域所属人员能够了解该计算机可读存储介质的具体结构及变形,故而在此不再赘述。凡是本发明实施例一的方法所采用的计算机可读存储介质都属于本发明所欲保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,包括:
S1:对原始网络流量数据进行预处理,预处理包括编码、标准化以及将数据划分为训练样本集和测试样本集,其中训练样本集和测试样本集中包含的数据为一维数据;
S2:使用基于GMD的图像化方法对步骤S1得到的一维数据进行二维图像化转换;
S3:采用改进ResNeXt对转换得到的二维数据进行特征提取,其中,改进ResNeXt为嵌入了空间注意力机制的ResNeXt网络,改进ResNeXt将原始ResNeXt网络结构中的标准卷积替换为能够根据特征动态调整感受野大小的扩张卷积,对不同区域之间的差异性特征进行有针对性和选择性的提取;
S4:将经过步骤S3特征提取后的训练数据输入核极限学习机分类器中进行训练,得到训练好的模型,其中,训练数据在输入核极限学习机分类器之前对其添加高斯白噪声;
S5:将同样经过步骤S3特征提取后的测试数据输入训练好的模型进行网络异常检测。
2.如权利要求1所述的基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,步骤S1中的编码和标准化包括:
对原始网络流量数据中的字符型特征进行OneHot编码,从而将其转化为二进制向量,对于数值型特征采用Min-Max归一标准化方法将其缩放到[-1,1]的范围。
3.如权利要求1所述的基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,步骤S2包括:
S2.1:基于训练样本集,利用格拉姆角场方法计算得到训练样本集的格拉姆角场矩阵作为最终图像的R通道矩阵,通过使用训练样本集中两个不同特征对应的角度φ之和的cos函数计算得到格拉姆角场矩阵;
S2.2:使用马尔可夫变迁场方法计算得到训练样本集的马尔可夫变迁场矩阵作为最终图像的G通道矩阵;
S2.3:使用差值编码方法计算得到训练样本集的差值编码矩阵作为最终图像的B通道矩阵;
S2.4:对R通道矩阵、G通道矩阵以及B通道矩阵进行数值转换,将经过数值转化后的三个矩阵作为R、G、B三个通道上的像素点矩阵,并将三个二维矩阵堆叠,得到通道数为3的三维矩阵,形成最终图像样本。
4.如权利要求3所述的基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,步骤S2.1包括:
将训练样本集数据序列转化为极坐标系时间序列,计算公式如下:
其中,i表示图像序号,φ是时间序列特征在极坐标下的角度,vi是训练样本集中的第i个数据或者图像的时间序列特征的一般坐标表示,V是时间序列特征集合,ri是时间序列在极坐标下的半径,ti是当前时间序列在时间序列集合中的索引,N是时间序列的总记录数;
通过使用训练样本集中两个不同特征对应的角度φ之和的cos函数计算得到格拉姆角场矩阵MGAF,计算公式如下:
其中,φ1、φ2、φn为不同特征对应的角度。
5.如权利要求3所述的基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,步骤S2.2包括:
将训练样本集中的所有数据分类为Q个分位数;
采用一阶马尔可夫链的形式分析分位数之间的更迭情况,构造马尔可夫变迁场矩阵MMTF,计算公式如下:
其中,k和l表示两种任意状态,Wk,l表示状态k到l的计数矩阵,x1,x2,...,xn是时序数据,qk是xk的分位桶,ql是xl的分位桶。
6.如权利要求3所述的基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,步骤S2.3包括:
对于训练样本集V={v1,v2,...,vn},当i=j,1≤i,j≤n时,保留原始数据,即vi;当i≠j,1≤i,j≤n时,计算训练样本中两个不同特征之间的差值,即vi-vj,计算公式如下:
其中,v1、v2和vn是训练样本集中的第一个、第二个和第n个数据的时间序列特征的一般坐标表示。
7.如权利要求1所述的基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,步骤S3包括:
S3.1:对于输入特征图,分别通过卷积核大小为3×3、扩张率为1,2,3的三个分组卷积,以及批量归一化ReLU激活函数得到三个感受野不同的特征图;
S3.2:将步骤S3.1得到的三个特征图相加,使用全局平均池化层和全局最大池化层分别计算得到全局信息向量,并融合形成向量;
S3.3:通过使用Softmax方法分别计算不同感受野特征图的权重向量,然后使用权重向量将三个特征图融合得到输出特征图。
8.如权利要求1所述的基于GMD图像化与改进ResNeXt的网络异常检测方法,其特征在于,步骤S4包括:
S4.1:向分类器输入训练数据,训练数据包括数据特征、样本标签类别;
S4.2:选择高斯核函数作为核极限学习机的核函数,核参数设置为(20,1e5);
S4.3:通过核函数计算得到极限学习机的输入输出关系矩阵β;
S4.4:使用关系矩阵β分析测试样本集得到分类结果。
9.基于GMD图像化与改进ResNeXt的网络异常检测装置,其特征在于,包括:
预处理模块,用于对原始网络流量数据进行预处理,预处理包括编码、标准化以及将数据划分为训练样本集和测试样本集,其中训练样本集和测试样本集中包含的数据为一维数据;
图像化转换模块,用于使用基于GMD的图像化方法对预处理模块得到的一维数据进行二维图像化转换;
特征提取模块,用于采用改进ResNeXt对转换得到的二维数据进行特征提取,其中,改进ResNeXt为嵌入了空间注意力机制的ResNeXt网络,改进ResNeXt将原始ResNeXt网络结构中的标准卷积替换为能够根据特征动态调整感受野大小的扩张卷积,对不同区域之间的差异性特征进行有针对性和选择性的提取;
训练模块,用于将经过特征提取模块进行特征提取后的训练数据输入核极限学习机分类器中进行训练,得到训练好的模型,其中,训练数据在输入核极限学习机分类器之前对其添加高斯白噪声;
异常检测模块,用于将同样经过特征提取模块进行特征提取后的测试数据输入训练好的模型进行网络异常检测。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被执行时实现如权利要求1至8中任一项权利要求所述的方法。
CN202311060003.XA 2023-08-21 2023-08-21 基于GMD图像化与改进ResNeXt的网络异常检测方法及装置 Pending CN117197543A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311060003.XA CN117197543A (zh) 2023-08-21 2023-08-21 基于GMD图像化与改进ResNeXt的网络异常检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311060003.XA CN117197543A (zh) 2023-08-21 2023-08-21 基于GMD图像化与改进ResNeXt的网络异常检测方法及装置

Publications (1)

Publication Number Publication Date
CN117197543A true CN117197543A (zh) 2023-12-08

Family

ID=88997052

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311060003.XA Pending CN117197543A (zh) 2023-08-21 2023-08-21 基于GMD图像化与改进ResNeXt的网络异常检测方法及装置

Country Status (1)

Country Link
CN (1) CN117197543A (zh)

Similar Documents

Publication Publication Date Title
CN111444881B (zh) 伪造人脸视频检测方法和装置
CN111368886B (zh) 一种基于样本筛选的无标注车辆图片分类方法
CN110728209B (zh) 一种姿态识别方法、装置、电子设备及存储介质
CN111461134B (zh) 一种基于生成对抗网络的低分辨率车牌识别方法
EP3396625A1 (en) Image tampering detection method and system, electronic apparatus and storage medium
CN111709313B (zh) 基于局部和通道组合特征的行人重识别方法
CN108108760A (zh) 一种快速人脸识别方法
CN110175248B (zh) 一种基于深度学习和哈希编码的人脸图像检索方法和装置
CN112818969A (zh) 一种基于知识蒸馏的人脸姿态估计方法及系统
CN110852311A (zh) 一种三维人手关键点定位方法及装置
CN110909618A (zh) 一种宠物身份的识别方法及装置
CN113066002A (zh) 对抗样本的生成方法、神经网络的训练方法、装置及设备
CN116311214B (zh) 车牌识别方法和装置
CN116910752B (zh) 一种基于大数据的恶意代码检测方法
CN111507320A (zh) 后厨违规行为检测方法、装置、设备和存储介质
CN110852327A (zh) 图像处理方法、装置、电子设备及存储介质
CN110956080A (zh) 一种图像处理方法、装置、电子设备及存储介质
CN114581646A (zh) 文本识别方法、装置、电子设备及存储介质
CN111709305B (zh) 一种基于局部图像块的人脸年龄识别方法
CN110188646B (zh) 基于梯度方向直方图与局部二值模式融合的人耳识别方法
CN114444566A (zh) 一种图像伪造检测方法、装置以及计算机存储介质
CN112149526A (zh) 一种基于长距离信息融合的车道线检测方法及系统
US11361589B2 (en) Image recognition method, apparatus, and storage medium
CN114170686A (zh) 一种基于人体关键点的屈肘行为检测方法
CN117437691A (zh) 一种基于轻量化网络的实时多人异常行为识别方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination