CN117251813A - 一种网络流量异常检测方法和系统 - Google Patents

一种网络流量异常检测方法和系统 Download PDF

Info

Publication number
CN117251813A
CN117251813A CN202311241247.8A CN202311241247A CN117251813A CN 117251813 A CN117251813 A CN 117251813A CN 202311241247 A CN202311241247 A CN 202311241247A CN 117251813 A CN117251813 A CN 117251813A
Authority
CN
China
Prior art keywords
data
network traffic
feature
network
prediction model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311241247.8A
Other languages
English (en)
Inventor
房朝辉
宣萍
丁宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ANHUI PROVINCE PRODUCT QUALITY SUPERVISION AND INSPECTION INSTITUTE
Original Assignee
ANHUI PROVINCE PRODUCT QUALITY SUPERVISION AND INSPECTION INSTITUTE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ANHUI PROVINCE PRODUCT QUALITY SUPERVISION AND INSPECTION INSTITUTE filed Critical ANHUI PROVINCE PRODUCT QUALITY SUPERVISION AND INSPECTION INSTITUTE
Priority to CN202311241247.8A priority Critical patent/CN117251813A/zh
Publication of CN117251813A publication Critical patent/CN117251813A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/211Selection of the most significant subset of features
    • G06F18/2113Selection of the most significant subset of features by ranking or filtering the set of features, e.g. using a measure of variance or of feature cross-correlation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明适用于网络安全技术领域,提供了一种网络流量异常检测方法和系统,所述网络流量异常检测方法包括以下步骤:获取网络流量数据作为样本数据,将样本数据分为训练数据集和测试数据集;使用预置的SHAP算法对所述测试数据集进行特征选择,以形成最优特征子集;通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值;根据每个特征的注意力值分类所述网络流量数据,识别出异常网络流量。本发明使用SHAP算法进行数据特征的选择,而不是对特征向量进行降维处理;再通过有注意力机制的预测模型提取分析网络流量数据中特征之间的相关性,提取更准确的向量特征,继而实现网络异常流量的高性能检测,提高检测效率。

Description

一种网络流量异常检测方法和系统
技术领域
本发明属于网络安全技术领域,尤其涉及一种网络流量异常检测方法和系统。
背景技术
网络信息技术的迅速发展,使得互联网数据规模日益增大、网络应用范围不断扩大,因此网络安全受到越来越多专家学者的高度关注。近年来,随着无线传感器网络(WSN)的快速发展,无线传感器网络的安全性引起了许多研究者的高度关注。无线传感器网络可以实时收集和传递更多的环境信息,其灵活高效的功能使人们的生活更加轻松。然而,一旦无线传感器网络受到攻击,如DoS攻击,在资源有限的无线传感器网络设备中将是致命的,并造成严重的破坏。因此,检测网络流量异常变得越来越重要。
当前,网络环境复杂,网络攻击差异显著。拒绝服务(DoS)攻击越来越常见,这增加了网络流量异常检测的难度。有必要提出更有效的方法来提高网络流量异常检测的准确性。事实上,网络异常流量的检测问题已经通过多种方式进行了研究。现阶段,近年来的主要研究方向集中在机器学习和深度学习上。
使用基于机器学习的方法检测DoS攻击,由于其简单高效,已经得到了广泛的研究。决策树(DT)、支持向量机(SVM)和K近邻(KNN)是用于此目的的常见机器学习算法。Ma等人提出了一种基于核支持向量机的网络流量异常检测方法,对异常流量进行分类。Ahmad等人使用DT来检测DoS攻击,他们在分类前将DT与特征选择技术相结合,以确保良好的检测精度。Alharbi等人采用KNN方法对DoS攻击进行了有效的检测。尽管这些基于机器学习的算法在网络流量异常检测方面取得了良好的性能,但在特征学习方面仍然不足,尤其是在当今更加复杂多变的网络环境中。
为了提高网络异常检测方法的特征学习能力,深度学习方法在异常检测中表现出了良好的效果,在这一研究方向上引起了极大的关注。Mezina等人应用了两种基于卷积神经网络的新方法:基于U-Net和基于时间卷积网络的网络攻击分类,结果表明,与其他网络架构相比,时间卷积网络与长短期记忆网络和U-Net模型相结合,可以提高更高的网络流量分类精度。此外,Patil等人提出了一种基于主成分分析(PCA)和双向生成对抗性网络的网络流量异常预测方法,该方法在通过PCA进行特征降维后,通过双向生成对抗网络进行特征提取和分类。Yao等人提出了一种基于PCA和深度卷积神经网络的无线传感器网络DoS流量异常检测方法,并为异常流量检测提供了有效的分类性能。
基于上述研究,传统的基于机器学习的算法特征学习能力不足,而基于深度学习的算法通常会增加大量参数,难以优化。另一方面,基于深度学习的算法首先解决了特征的降维问题,然后对提取的特征应用不同的分类器进行网络流量分类。例如,Abdulhammed等人提出了一种方法,该方法将CIC-IDS2017数据集上的特征数量从81个减少到10个,并实现了二分类和多分类的高精度。Salo等人提出了一种基于新颖降维的方法,第一步结合了特征选择和提取技术,第二步是在提取的特征上应用不同的分类器。因此,如何直接提取数据中更重要的特征,避免特征的降维,提高网络流量异常检测的精度是一个重要的研究问题。
发明内容
本发明实施例的目的在于提供一种网络流量异常检测方法,以实现流量特征更加准确的提取,旨在进一步提高现有异常流量检测方法的有效检测率,降低误报率。
本发明实施例是这样实现的,一种网络流量异常检测方法,所述网络流量异常检测方法包括以下步骤:
获取网络流量数据作为样本数据,将样本数据分为训练数据集和测试数据集;
使用预置的SHAP算法对所述测试数据集进行特征选择,以形成最优特征子集;
通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值;
根据每个特征的注意力值分类所述网络流量数据,识别出异常网络流量。
本发明实施例的另一目的在于提供一种网络流量异常检测系统,该网络流量异常检测系统包括:数据获取模块、SHAP算法运行模块、注意力值计算模块和异常网络流量识别模块;
所述模型训练模块,用于获取网络流量数据作为样本,将样本中的部分或全部网络流量数据用于训练自注意力机制;
所述数据获取模块,用于获取网络流量数据作为样本数据,将样本数据分为训练数据集和测试数据集;
所述SHAP算法运行模块,使用预置的SHAP算法对所述测试数据集进行特征选择,以形成最优特征子集;
所述注意力值计算模块,可通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值;
所述异常网络流量识别模块,能够根据每个特征的注意力值分类所述网络流量数据,识别出异常网络流量。
本发明实施例的另一目的在于提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述网络流量异常检测方法的步骤。
本发明实施例的另一目的在于提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述网络流量异常检测方法的步骤。
本发明实施例提供的一种网络流量异常检测方法,该方法使用SHAP算法来表征特征的重要性和评估特征的行为,它具有优越的特征提取能力;可以从原始数据集中选择最优特征子集,再通过改进有注意力机制的网络流量异常预测模型(DCNN)进行数据分类,DCNN对特征选择后的流量特征进行学习,有效地对正常流量和异常流量进行分类,提取分析网络流量数据中特征之间的相关性,从而提取更准确的向量特征,继而实现网络异常流量的高性能检测,提高检测效率,降低误报率。
附图说明
图1为本发明实施例提供的一种网络流量异常检测方法的流程图;
图2为本发明实施例中网络流量异常预测模型的工作流程图;
图3为本发明实施例中UNSW-NB15数据集上三个模型(SVM、XGB与DCNN+SA)的ROC曲线比较图;
图4为本发明实施例中UNSW-NB15数据集上三个模型(SVM、XGB与DCNN+SA)的PRC曲线比较图;
图5为本发明实施例中UNSW-NB15数据集上SVM的分类混淆矩阵结果;
图6为本发明实施例中UNSW-NB15数据集上XGBoost的分类混淆矩阵结果;
图7为本发明实施例中UNSW-NB15数据集上DCNN+SA的分类混淆矩阵结果;
图8为本发明实施例提供的一种网络流量异常检测系统的框架结构示意图;
图9为本发明实施例提供的另一种网络流量异常检测系统的框架结构示意图;
图10为本发明实施例提供的一种SHAP算法运行模块的结构框图;
图11为本发明实施例提供的一种模型训练模块的结构框图;
图12为一个实施例中计算机设备的内部结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1为本发明实施例提供的一种网络流量异常检测方法的工作流程图,具体可以包括以下步骤S101-步骤S107:
步骤S101,获取网络流量数据作为样本数据,将样本数据分为训练数据集和测试数据集;
本步骤中,可以通过流量监测器对网络流量进行监测,可以提取网络流量获得网络流程数据,作为样本数据进行网络流量异常检测,在异常检测时可以根据一些可以表征网络异常的特征进行提取和分析,例如异常的源IP地址或接入端口等。
此外,还可以通过样本对训练数据集的注意力机制(或自注意力机制)进行训练,训练后的该注意力机制可以视为一种神经网络模型,通过该神经网络模型,学习n个网络流量特征之间的相关性,进而得到更能体现网络异常的特征或特征向量,从而提取更准确的流量特征,继而实现网络异常流量的高性能检测,提高检测效率,降低误报率。
其中,特征向量包括特征以及特征在网络流量数据中的位置信息。
步骤S103,使用预置的SHAP算法对所述测试数据集进行特征选择,以形成最优特征子集;
其中,SHAP算法,通常作为解释预测模型的框架之一;一个示例包括如下步骤:
在样本数据中随机取n(n可取100)个样本做基准,用于产出解释器的基准值;
解析选取的样本得到shap值,随机取10个样本用于解析shap值;
可加性验证。
步骤S105,通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值;
步骤S107,根据每个特征的注意力值分类所述网络流量数据,识别出异常网络流量。
本实施例中,本发明实施例提供的一种网络流量异常检测方法,该方法使用SHAP算法来表征特征的重要性和评估特征的行为,它具有优越的特征提取能力;可以从原始数据集中选择最优特征子集,再通过改进有注意力机制的网络流量异常预测模型(即DCNN+SA)进行数据分类,DCNN对特征选择后的流量特征进行学习,有效地对正常流量和异常流量进行分类,提取分析网络流量数据中特征之间的相关性,从而提取更准确的向量特征,继而实现网络异常流量的高性能检测,提高检测效率,降低误报率。
在一个示例中,注意力机制可以描述为将查询和一组键值对映射到输出,其中查询、键、值和输出都是向量。输出被计算为值的加权和,其中分配给每个值的权重是由查询与相应关键字的兼容性函数计算的,兼容性函数计算为现有技术,在此不再详述。
注意力机制用于根据不同特征的重要性为其分配不同的权重。大的权重被分配给具有重要性的特征,从而可以在特征学习期间更好地捕获重要信息。在DCNN中,通过用注意力机制替换池化层,避免由池化下采样引起的特征损失。注意力机制的加入提高了DCNN的特征学习能力,实验证明该方法是有效的。
在实践中,注意力函数是同时在一组查询上计算的,它们被打包成矩阵Q,键和值也被打包成矩阵K和V。
在步骤S105中,所述的通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值,一种是通过注意力机制确定所述网络流量数据中每个特征的注意力值,具体包括以下步骤:
将提取的n个特征编码为n个向量Xi,其中i=1,2,…,n;
将每个向量Xi与权重矩阵WQ、WK、WV相乘,得到每个特征的矩阵Qi=XiWQ、矩阵Ki=XiWK、矩阵Vi=XiWV,其中Qi为特征i的查询输入,Ki为特征i的键输入,Vi为特征i的权重系数对值;
将特征i的查询输入Qi与特征j的键输入Kj分别作点积运算,得到特征i的n个权重得分Si,j,并进行归一化处理,得到n个概率值Zi,j
将n个概率值Zi,j对n个权重系数对值Vi进行加权求和,得到特征i的注意力值Ai
本实施例中,通过注意力机制提取分析网络流量数据中特征之间的相关性,根据相关性可以对特征进行分类或排序,从而便于提取更准确的向量特征,再基于提取的特征,通过异常流量检测分类器对样本进行异常流量识别,继而实现网络异常流量的高性能检测,提高检测效率,降低误报率。
一般地,现有的基于卷积循环神经网络的网络流量异常检测算法,可以得到较高的精度、召回率和准确率。但是现有的基于深度学习的网络流量异常检测方法,在进行异常检测时忽略了特征之间的相关性,在一些场景中,例如复杂的大规模网络数据,检测时会让特征参数非常多,变得很复杂,使得对网络流量数据特征提取的准确性降低,导致异常流量有效检测率低、误报率高等问题;基于此,通过注意力机制提取分析网络流量数据中特征之间的相关性,则可以降低特征参数的复杂度,减少数据运算量,提高检测效率,以及降低误报率。
在一个实施例中,注意力机制可以用下面的矩阵形式表示为:
Attention(Q,K,V)=Softmax(Q·KT)·V (1);
其中Q,K,V均为矩阵;分别表示询问输入矩阵、键输入矩阵和权重系数对值矩阵,对应上述的查询、键和值。
在一个实施例的示例中,所述的异常流量检测分类器可以采用卷积神经网络实现,主要由数据输入层、特征提取卷积层、激活函数层(ReLU)、池化层和全连接层架构而成,其中卷积层和池化层主要作用是提取数据的特征。
在每个卷积层中,一个神经元往往只和相邻层的一小部分神经元相连;而每个卷积层中包含若干个特征图,每个特征图的神经元都共享权值(称为卷积核)。在卷积神经网络的训练过程中,通过利用卷积核进行权值学习,能够减少网络各层之间的连接以及减少模型的过拟合。因此,卷积层和池化层在简化模型复杂度、减少模型的训练参数等方面起到了重要作用。
在一个实施例中,对数据特征进行提取前,可以对网络流量数据进行数据预处理,以便于更好的进行特征提取;
上述预处理方式包括但不限于数据清洗、数据集成、数据变换、数据规约等,由于数据预处理属于现有技术,在此不再赘述。
本实施例的一个示例中,所述数据特征包括源IP地址、源端口号、目标IP地址、目标端口号、交易协议等。
上述,注意力机制的工作流程主要包括两个过程:一是根据询问(Query,Q)和键(Key,K)计算权重系数;二是根据权重系数对值(Value,V)进行加权求和;具体计算方式为现有技术,在此不在赘述。
在本实施例的一个示例中,所述的使用预置的SHAP算法对所述网络流量数据进行特征选择,以形成最优特征子集,具体包括以下步骤:
对样本数据中的数据特征进行编码;
使用SHAP算法计算每个所述编码的Shapley值,并根据Shapley值进行特征重要性的排序;
根据排序情况,选择对预测结果贡献度大于贡献阈值的编码,该编码对应的数据特征组成最优特征子集;贡献阈值为一参数值,可以根据数据量级的需要进行灵活的选择。
为了提高检测效率和准确度,在提取的特征中,某个特征在同一条网络数据流量中可能多次出现时,若不能区分前后出现的特征而误认为它们都是同样的,那么可能影响检测的结果,需要进行区分。
本示例中,所述的对样本数据中的数据特征进行编码的步骤,具体包括:
对样本数据中的数据特征进行提取,将提取的n个特征编码为n个向量Xi
利用词嵌入技术对提取的每个数据特征进行编码;
获取每个数据特征在网络流量数据中的位置编码,并在对数据特征进行词嵌入时引入,生成携带有位置信息的向量Xi。其中,提取的所述数据特征包括源IP地址、源端口号、目标IP地址、目标端口号和交易协议。
本实施例中,采用词嵌入方式对每个特征进行编码,可以把一个维数为所有词的数量的高维空间嵌入到一个维数低得多的连续向量空间中,即将提取的特征由稀疏向量转换为密集、连续的向量空间,使在注意力机制进行相关性学习分析时,可以被更好地识别各特征之间的相似性。
当然在一些实施例中,也可采用其他的编码方式,例如采用one-hot方式编码,优选采用词嵌入方式实现特征编码。
如图2所示,在一个实施例中,所述网络流量异常检测方法还包括:
选择初始预测模型,该初始预测模型包括卷积层、池化层和全连接层;
对初始预测模型进行改进,即选择注意力机制对初始预测模型中的池化层进行替换得到网络流量异常预测模型;
通过训练数据集训练所述的网络流量异常预测模型。
在一个实施例中,将所述权重矩阵WQ、WK、WV初始化为随机矩阵,之后进行模型训练,并在模型训练过程中通过反向传播算法对随机矩阵进行更新。
本实施例中,将权重矩阵WQ、WK、WV初始化为随机矩阵,可以避免应用环境的干扰,提高检测准确度,而为了进一步地提高该方法的准确性,根据特征的不同,可能需要对权重矩阵的权重进行调整,因此,在根据前一权重矩阵的值对前一特征向量进行计算注意力值Ai后,可以调整后一特征对应的注意力值Ai+1的权重;可以采用静态反向传播、循环反向传播,直到反馈值与测试值的误差达到某一个阈值后,可停止计算;本实施例的反向传播是具有快速、易于实现且简单的优点。
具体地,可以将样本数据分开进行训练和测试,在进行训练和测试过程中,调整权重和学习率;根据显示的准确率来确定最终的权重矩阵WQ、WK、WV;进而实现每一个特征的注意力值的计算,从而提取出更具高关联度的特征,继而提高检测方法的检测有效性、准确度。
可以理解的是,图2中,SVM是一种分类技术,它使用非线性映射将原始数据转换为更高维的数据,以找到一个超平面,根据训练样本的类别最佳地分离他们。SVM在检测DoS攻击中的应用,被证明它是检测网络流量异常的一种有效方法。
XGBoost是一个分布式梯度增强库,广泛用于分类场景。它具有许多优点,如灵活性、高效率和可移植性。该算法的基本原理是为一系列决策树的每个叶节点分配定量权重。并行增强树由XGBoost提供。XGBoost具有很好的处理稀疏高维数据的能力,同时继承了原有boosting算法的高精度。
CNN被广泛用于目标识别、文本分类和异常识别。一般地,传统的CNN主要由三层组成:卷积层、池化层和全连接层。
在本实施例中,改进为DCNN,用于网络流量异常检测。它用注意力机制代替池化层来提取重要特征。在实验中,该DCNN模型具有良好的特征提取能力和轻量级的模型结构,对网络异常流量检测更有效。
上述的实验:在一个示例中,通过已公开的UNSW-NB15数据集,来对验证本实施例提出的网络流量异常检测方法(DCNN+SA)的性能。从准确率(Accuracy)、精确率(Precision)、召回率(Recall)和F-score指标中的多个方面进行测试;
本实施例中,UNSW-NB15数据集由澳大利亚国家安全中心于2015年创建,它对当前网络的攻击类型更多,更好地反映当前网络的实际情况。UNSW-NB15数据集包含47种特征类型和9种攻击类型。本实验中,只研究DoS攻击类型的检测问题。将UNSW-NB15数据集分为训练集和测试数据集,其中训练和测试数据集中的正常攻击次数和DoS攻击次数分别为55999、12264、36999、4089。其中,精确率(Precision)、召回率(Recall)和F1-score指标的定义分别为:
其中TP(真阳性)对于模型预测和目标样本的真类别都是阳性情况;TN(真阴性)对于模型预测和目标样本的真类别都是阴性情况;FP(假阳性)对于模型预测是阳性情况,但是对于目标样本的真实类别是阴性情况;FN(假阴性)对于模型预测是阴性情况,但是对于目标样本的真实类别是阳性情况;
在UNSW-NB15数据集上分别就三个指标对Normal类别和DoS攻击类别的三个模型(SVM、CNN与DCNN+SA)的分类性能进行了比较;对比结果参照表1;
表1为三个模型测试的对比结果参照表
通过表1可以看出,本发明提出的CNN+SA对于Recall(召回率)度量,在Normal类别中的检测率最高,而XGBoost在DoS攻击类别中的检出率最高,其次是DCNN+SA;对于Precision(精度)度量,我们的模型DCNN+SA在DoS攻击类别中的检测率最高,而XGBoost在Normal类别中的检出率最高,其次是DCNN+SA;对于F1-score(分数)度量,本实施例提出的模型DCNN+SA在Normal类别和DoS攻击类别中都获得了最佳性能。结果表明,与基于机器学习的SVM和XGBoost方法相比,本实施例提出的深度学习模型DCNN+SA(即网络流量异常预测模型)具有有效的网络流量异常检测能力。
进一步的,图3为本发明实施例中UNSW-NB15数据集上三个模型(SVM、XGB与DCNN+SA)的ROC曲线比较图;图4为本发明实施例中UNSW-NB15数据集上三个模型(SVM、XGB与DCNN+SA)的PRC曲线比较图;图5为本发明实施例中UNSW-NB15数据集上SVM的分类混淆矩阵结果;图6为本发明实施例中UNSW-NB15数据集上XGBoost的分类混淆矩阵结果;图7为本发明实施例中UNSW-NB15数据集上DCNN+SA的分类混淆矩阵结果;
通过图3、图4可以看出,三个模型在受试者特征曲线(ROC曲线)和精度召回曲线(PRC曲线)方面的性能。这两条曲线能够评估三个模型在整个决策值范围内的预测性能,曲线下的区域(AUROC和AUPRC)通常用于量化模型的性能。
其中,ROC曲线表示估计类别的TP速率和FP速率之间的权衡。当ROC曲线下面积(AUROC)较大时,表示模型的性能较好。从图2可以看出,DCNN+SA、XGBoost和SVM的AUROC值分别为0.999、0.995和0.993。很明显,本实施例的CNN+SA具有最高的AUROC值,它比其他模型表现最好。
而PRC曲线下的面积量化了模型的性能。如图3所示,基于DCNN+SA的模型的AUPRC为0.992,高于基于XGBoost(0.988)和SVM(0.940)的模型。总体而言,基于深度学习的模型在UNSW-NB15数据集上的性能优于机器学习模型,这是由于其更稳定深度学习模型的特征学习能力。
最后,为了更直观地可视化模型改进如何帮助检测DoS攻击类别,在一个示例中进行了混淆矩阵实验。图5-图7显示了UNSW-NB15数据集上SVM、XGBoost和DCNN+SA的分类混淆矩阵。
从中可以看出,与SVM相比,本实施例的DCNN+SA的Normal和DoS攻击的正确检测次数分别增加268次和38次。与XGBoost模型相比,DCNN+SA的DoS攻击正确检测次数减少28次,而相应的Normal正确检测次数增加28次。从混淆矩阵结果中可以得出,本实施例的DCNN+SA在Dos攻击的正确检测次数上表现出与XGBoost几乎相同的能力,而在正常和Dos攻击的正确检测方面,它表现得比SVM模型好得多。本实施例的DCNN+SA模型用注意力机制取代了传统卷积结构中的最大池化层;因此,DCNN+SA具有更好的特征提取能力,提高了流量异常检测的性能。
因此,本实施例提供的一种网络异常流量检测方法,使用SHAP算法和基于DCNN+SA的网络异常流量模型。首先,通过SHAP算法对样本数据进行最优特征子集选择,来表征特征重要性和评估特征行为,具有更充分的特征学习能力。其次,提出一种网络异常流量模型,基于一维DCNN结构,用注意力机制代替池化层来提取重要特征,用于网络流量异常检测。最后,一系列数值实验表明,与基于机器学习的SVM和XGBoost方法相比,本实施例提出的DCNN+SA在召回率(Recall)、精度(Precision)和F1-score方面具有有效的网络流量异常检测能力。此外,与SVM和XGBoost相比,DCNN+SA的AUROC和AUPRC值最高。而混淆矩阵结果表明,DCNN+SA在Dos攻击的正确检测次数上表现出与XGBoost几乎相同的能力,而在Normal和Dos攻击时表现出比SVM模型好得多的能力。总的来说,本方法对DoS流量异常检测是有效的。
此外,一系列数值实验中的UNSW-NB15数据集,是综合性的网络攻击流量数据集,包含正常数据以及Fuzzers、Analysis、Backdoors、DoS、Exploits、Generic、Reconnaissance、Shellcode、Worms等9种常见的攻击;能够代表普遍的网络流量数据,因此,本实施例的测试具有普适性,测试结果能够反映实际的应用环境下的检测结果。
在另一个实施例中,如图8所示,为一种网络流量异常检测系统的结构框图,所述网络流量异常检测系统包括:数据获取模块100、SHAP算法运行模块200、注意力值计算模块300和异常网络流量识别模块400;
所述数据获取模块100,用于获取网络流量数据作为样本数据,将样本数据分为训练数据集和测试数据集;
所述SHAP算法运行模块200,使用预置的SHAP算法对所述测试数据集进行特征选择,以形成最优特征子集;
所述注意力值计算模块300,可通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值;
所述异常网络流量识别模块400,能够根据每个特征的注意力值分类所述网络流量数据,识别出异常网络流量。
在本实施例中,所述异常网络流量识别模块400至少包括异常网络流量分类器;例如DCNN、SA等。所述的异常网络流量分类器可以采用卷积神经网络实现,为现有技术,在此不再赘述;通常的卷积神经网络主要由数据输入层、特征提取卷积层、激活函数层(ReLU)、池化层和全连接层架构而成,其中卷积层和池化层主要作用是提取数据的特征。在每个卷积层中,一个神经元往往只和相邻层的一小部分神经元相连。而每个卷积层中包含若干个特征图,每个特征图的神经元都共享权值(称为卷积核)。在网络的训练过程中,通过利用卷积核进行权值学习,能够减少网络各层之间的连接以及减少模型的过拟合。因此,卷积层和池化层在简化模型复杂度、减少模型的训练参数等方面起到了重要作用。本领域技术人员容易实现本实施例中的异常网络流量分类器的设置或构建;当然,本实施例的异常网络流量分类器不局限于采用卷积神经网络实现。
如图10所示,在本实施例的一个示例中,所述SHAP算法运行模块200包括特征编码单元210、Shapley值计算单元220、特征子集分析单元230;
所述特征编码单元210,用于对样本数据中的数据特征进行编码;
所述Shapley值计算单元220,用于使用SHAP算法计算每个所述编码的Shapley值,并根据Shapley值进行特征重要性的排序;
所述特征子集分析单元230,可根据排序情况,选择对预测结果贡献度大于贡献阈值的编码,该编码对应的数据特征组成最优特征子集。
在本实施例的一个示例中,所述特征编码单元210包括位置编码子单元,
所述位置编码子单元用于获取所述数据特征在网络流量数据中的位置编码;
其中所述数据特征包括源IP地址、源端口号、目标IP地址、目标端口号和交易协议;所述位置编码子单元用于获取源IP地址、源端口号、目标IP地址、目标端口号和交易协议在网络流量数据中对应的位置编码。
本实施例中,通过位置编码子单元,提取各特征在网络流量数据中的位置编码,并加载到特征中;这样的话,可以避免当某个特征在同一条网络流量数据中多次出现时,若不能区分前后出现的特征而误认为它们都是同样的,可能影响模型输出结果的问题,提高异常网络流量的检测准确率。
如图9、图11所示,在一个实施例中,所述网络流量异常检测系统还包括:模型训练模块500,用于训练网络流量异常预测模型;所述模型训练模块500包括:模型库510、参数优化单元520和模型训练单元530;
所述模型库510,用于选择初始预测模型,该初始预测模型包括卷积层、池化层和全连接层;
所述参数优化单元520,用于对初始预测模型进行改进,即选择注意力机制对初始预测模型中的池化层进行替换得到网络流量异常预测模型;
所述模型训练单元530,用于通过训练数据集训练所述的网络流量异常预测模型。
所述模型训练单元530,用于将样本数据中的部分或全部网络流量数据用于训练注意力机制;所述模型训练单元530可以包括流量监测器、用于注意力机制的可视化训练模型,流量监测器用于监测和获取网络流量数据,作为样本数据传输给可视化训练模型;通过可视化训练模型训练注意力机制的学习能力,根据学习率来判断是否结束训练,并输出各特征之间的相关度结果。
在一个示例中,所述模型训练单元530可以基于反向传播算法实现,利用反向传播模型训练注意力机制,来保障通过训练注意力机制提取分析的特征更具高相关性。
在一个实施例中,提供了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述网络流量异常检测方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述网络流量异常检测方法的步骤。
图12示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是终端(或服务器)。如图12所示,该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现网络流量异常检测方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行网络流量异常检测方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本实施例提供了一种网络流量异常检测方法,该方法使用SHAP算法来表征特征的重要性和评估特征的行为,它具有优越的特征提取能力;可以从原始数据集中选择最优特征子集,再通过改进有注意力机制的网络流量异常预测模型(DCNN+SA)进行数据分类,DCNN对特征选择后的流量特征进行学习,有效地对正常流量和异常流量进行分类,提取分析网络流量数据中特征之间的相关性,从而提取更准确的向量特征,继而实现网络异常流量的高性能检测,提高检测效率,降低误报率。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络流量异常检测方法,其特征在于,所述网络流量异常检测方法包括以下步骤:
获取网络流量数据作为样本数据,将样本数据分为训练数据集和测试数据集;
使用预置的SHAP算法对所述测试数据集进行特征选择,以形成最优特征子集;
通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值;
根据每个特征的注意力值分类所述网络流量数据,识别出异常网络流量。
2.根据权利要求1所述的网络流量异常检测方法,其特征在于,所述的使用预置的SHAP算法对所述网络流量数据进行特征选择,以形成最优特征子集,具体包括以下步骤:
对样本数据中的数据特征进行编码;
使用SHAP算法计算每个所述编码的Shapley值,并根据Shapley值进行特征重要性的排序;
根据排序情况,选择对预测结果贡献度大于贡献阈值的编码,该编码对应的数据特征组成最优特征子集。
3.根据权利要求2所述的网络流量异常检测方法,其特征在于,所述的对样本数据中的数据特征进行编码的步骤,具体包括:
对样本数据中的数据特征进行提取;
利用词嵌入技术对提取的每个数据特征进行编码;
获取每个数据特征在网络流量数据中的位置编码,并在对数据特征进行词嵌入时引入,生成携带有位置信息的向量Xi
4.根据权利要求3所述的网络流量异常检测方法,其特征在于,提取的所述数据特征包括源IP地址、源端口号、目标IP地址、目标端口号和交易协议。
5.根据权利要求1所述的网络流量异常检测方法,其特征在于,所述网络流量异常检测方法还包括:
选择初始预测模型,该初始预测模型包括卷积层、池化层和全连接层;
对初始预测模型进行改进,即选择注意力机制对初始预测模型中的池化层进行替换得到网络流量异常预测模型;
通过训练数据集训练所述的网络流量异常预测模型。
6.一种网络流量异常检测系统,其特征在于,所述网络流量异常检测系统包括:数据获取模块、SHAP算法运行模块、注意力值计算模块和异常网络流量识别模块;
所述数据获取模块,用于获取网络流量数据作为样本数据,将样本数据分为训练数据集和测试数据集;
所述SHAP算法运行模块,使用预置的SHAP算法对所述测试数据集进行特征选择,以形成最优特征子集;
所述注意力值计算模块,可通过训练好的网络流量异常预测模型确定所述最优特征子集中每个特征的注意力值;
所述异常网络流量识别模块,能够根据每个特征的注意力值分类所述网络流量数据,识别出异常网络流量。
7.根据权利要求6所述的网络流量异常检测系统,其特征在于,所述SHAP算法运行模块包括特征编码单元、Shapley值计算单元、特征子集分析单元;
所述特征编码单元,用于对样本数据中的数据特征进行编码;
所述Shapley值计算单元,用于使用SHAP算法计算每个所述编码的Shapley值,并根据Shapley值进行特征重要性的排序;
所述特征子集分析单元,可根据排序情况,选择对预测结果贡献度大于贡献阈值的编码,该编码对应的数据特征组成最优特征子集。
8.根据权利要求7所述的网络流量异常检测系统,其特征在于,所述特征编码单元包括位置编码子单元,
所述位置编码子单元用于获取所述数据特征在网络流量数据中的位置编码;
其中所述数据特征包括源IP地址、源端口号、目标IP地址、目标端口号和交易协议;所述位置编码子单元用于获取源IP地址、源端口号、目标IP地址、目标端口号和交易协议在网络流量数据中对应的位置编码。
9.根据权利要求6所述的网络流量异常检测系统,其特征在于,所述网络流量异常检测系统还包括:模型训练模块,用于训练网络流量异常预测模型;所述模型训练模块包括:模型库、参数优化单元和模型训练单元;
所述模型库,用于选择初始预测模型,该初始预测模型包括卷积层、池化层和全连接层;
所述参数优化单元,用于对初始预测模型进行改进,即选择注意力机制对初始预测模型中的池化层进行替换得到网络流量异常预测模型;
所述模型训练单元,用于通过训练数据集训练所述的网络流量异常预测模型。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1至5中任一项权利要求所述网络流量异常检测方法的步骤。
CN202311241247.8A 2023-09-25 2023-09-25 一种网络流量异常检测方法和系统 Pending CN117251813A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311241247.8A CN117251813A (zh) 2023-09-25 2023-09-25 一种网络流量异常检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311241247.8A CN117251813A (zh) 2023-09-25 2023-09-25 一种网络流量异常检测方法和系统

Publications (1)

Publication Number Publication Date
CN117251813A true CN117251813A (zh) 2023-12-19

Family

ID=89128913

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311241247.8A Pending CN117251813A (zh) 2023-09-25 2023-09-25 一种网络流量异常检测方法和系统

Country Status (1)

Country Link
CN (1) CN117251813A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117914629A (zh) * 2024-03-18 2024-04-19 台州市大数据发展有限公司 一种网络安全检测方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112733917A (zh) * 2020-12-31 2021-04-30 杭州电子科技大学 一种基于shap特征优化的信道均衡方法
CN112990219A (zh) * 2021-03-25 2021-06-18 北京百度网讯科技有限公司 用于图像语义分割的方法和装置
CN115630298A (zh) * 2022-09-28 2023-01-20 安徽省产品质量监督检验研究院 基于自注意力机制的网络流量异常检测方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112733917A (zh) * 2020-12-31 2021-04-30 杭州电子科技大学 一种基于shap特征优化的信道均衡方法
CN112990219A (zh) * 2021-03-25 2021-06-18 北京百度网讯科技有限公司 用于图像语义分割的方法和装置
CN115630298A (zh) * 2022-09-28 2023-01-20 安徽省产品质量监督检验研究院 基于自注意力机制的网络流量异常检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李昂: "BP神经网络在入侵检测领域中的研究与应用", 《中国优秀硕士学位论文全文数据库信息科技辑》, 15 December 2022 (2022-12-15), pages 1 - 66 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117914629A (zh) * 2024-03-18 2024-04-19 台州市大数据发展有限公司 一种网络安全检测方法及系统
CN117914629B (zh) * 2024-03-18 2024-05-28 台州市大数据发展有限公司 一种网络安全检测方法及系统

Similar Documents

Publication Publication Date Title
Lin et al. Data-driven missing data imputation in cluster monitoring system based on deep neural network
Sommer et al. Towards probabilistic verification of machine unlearning
Wang et al. Research on Healthy Anomaly Detection Model Based on Deep Learning from Multiple Time‐Series Physiological Signals
CN110825068A (zh) 一种基于pca-cnn的工业控制系统异常检测方法
CN110912867A (zh) 工业控制系统的入侵检测方法、装置、设备和存储介质
US20210232810A1 (en) Automated monitoring system for biomechanical postural assessment
JP7499360B2 (ja) 深層学習によるコンパクトな表現と時系列セグメントの取得
CN116597384B (zh) 基于小样本训练的空间目标识别方法、装置及计算机设备
Ahuja et al. Deterministic Multi-kernel based extreme learning machine for pattern classification
Sikkandar et al. Soft biometrics‐based face image retrieval using improved grey wolf optimisation
CN117251813A (zh) 一种网络流量异常检测方法和系统
CN115630298A (zh) 基于自注意力机制的网络流量异常检测方法及系统
CN115983087A (zh) 一种注意力机制与lstm结合检测时序数据异常方法及终端机
JP2023012311A (ja) 情報処理装置、情報処理方法及びプログラム
Kaur et al. A hybrid deep learning CNN-ELM approach for parking space detection in Smart Cities
Sheikhpour A local spline regression-based framework for semi-supervised sparse feature selection
WO2022063076A1 (zh) 对抗样本的识别方法及装置
Sheng et al. Network traffic anomaly detection method based on chaotic neural network
Alsenan et al. Auto-KPCA: A Two-Step Hybrid Feature Extraction Technique for Quantitative Structure–Activity Relationship Modeling
Qin et al. CSCAD: Correlation structure-based collective anomaly detection in complex system
Rao et al. A novel feature-based SHM assessment and predication approach for robust evaluation of damage data diagnosis systems
Lee et al. Neuralfp: out-of-distribution detection using fingerprints of neural networks
Abdallah et al. Facial-expression recognition based on a low-dimensional temporal feature space
Rao et al. Iris Flower Classification Using Machine Learning
CN116502705A (zh) 兼用域内外数据集的知识蒸馏方法和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination