CN117955753A - 网络流量检测方法、装置、电子设备及可读存储介质 - Google Patents
网络流量检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN117955753A CN117955753A CN202410358145.2A CN202410358145A CN117955753A CN 117955753 A CN117955753 A CN 117955753A CN 202410358145 A CN202410358145 A CN 202410358145A CN 117955753 A CN117955753 A CN 117955753A
- Authority
- CN
- China
- Prior art keywords
- network
- source domain
- trained
- data
- sample set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 57
- 238000003860 storage Methods 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000004891 communication Methods 0.000 claims abstract description 29
- 230000002159 abnormal effect Effects 0.000 claims abstract description 12
- 238000007781 pre-processing Methods 0.000 claims abstract description 10
- 230000015654 memory Effects 0.000 claims description 38
- 238000012549 training Methods 0.000 claims description 37
- 230000006870 function Effects 0.000 claims description 36
- 238000000605 extraction Methods 0.000 claims description 31
- 230000005540 biological transmission Effects 0.000 claims description 15
- 238000013528 artificial neural network Methods 0.000 claims description 14
- 230000003287 optical effect Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 13
- 238000013527 convolutional neural network Methods 0.000 claims description 12
- 230000002123 temporal effect Effects 0.000 claims description 9
- 125000004122 cyclic group Chemical group 0.000 claims description 8
- 238000011176 pooling Methods 0.000 claims description 7
- 230000007787 long-term memory Effects 0.000 claims description 5
- 230000006403 short-term memory Effects 0.000 claims description 5
- 230000008485 antagonism Effects 0.000 abstract description 9
- 238000005516 engineering process Methods 0.000 abstract description 3
- 230000006978 adaptation Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 11
- 238000004590 computer program Methods 0.000 description 10
- 239000013598 vector Substances 0.000 description 9
- 238000009826 distribution Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 230000035945 sensitivity Effects 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000000306 recurrent effect Effects 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 208000037170 Delayed Emergence from Anesthesia Diseases 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及电力系统技术领域,公开了一种网络流量检测方法、装置、电子设备及可读存储介质;其方法包括:对待检测网络流量数据进行预处理;将得到的处理后待检测网络流量数据输入至目标域特征提取器中,得到待检测特征数据;目标域特征提取器为生成对抗网络中的生成器,生成对抗网络中的判别器用于区分利用目标域特征提取器提取到的目标域特征数据、利用源域流量状态分类器中的源域特征提取器提取的源域特征数据;将待检测特征数据输入至源域流量状态分类器的分类网路中,得到检测结果。针对现有技术无法实现对跨网络域、跨时期流量数据的高效检测的问题,本公开利用对抗式域适应技术,可以高效、准确地检测出电力信息通信网络中的异常流量。
Description
技术领域
本公开涉及电力系统技术领域,具体而言,涉及一种网络流量检测方法、装置、电子设备及计算机可读存储介质。
背景技术
作为电力系统的重要组成部分,电力信息通信网络为实现电力系统各个部件之间的信息交互、监控、控制和调度,提供了必不可少的技术支持,在电力系统数字化转型中扮演着不可替代的关键角色。首先,通过电力信息通信网络实现针对电力系统的远程监测和智能控制,使得运营人员可以实时了解电力设备的状态和性能,即时响应各种数据和信息,及时发现并处理潜在问题,优化电力系统的调度和运行,提高电力系统的适应性和鲁棒性,从而降低系统运行的风险。其次,电力信息通信网络有力支持电力系统的数字化转型,能够迅速、稳定地传递和处理大量实时数据,不仅提升了电力系统的响应速度,还为先进的数据分析和智能决策提供了基础,从而推动电力系统的智能化发展。而随着电力系统的迅猛发展和数字化转型的推进,电力信息通信网络规模和复杂性不断增加,电力信息通信网络正面临着日益严峻的网络安全挑战。因此,为确保电力信息通信网络的安全运行,对于通信网络异常检测方法的研究具有重要意义。
由于电力系统的特殊性、网络结构的复杂性以及通信数据的多样性,传统的基于规则和签名的检测方法难以适应不断变化的网络环境,存在以下不足:对新型、未知攻击的低敏感性和低识别率;面对海量的数据流量和更高复杂性的网络,检测精度较低;针对跨越不同网络域、时期的攻击难以实现知识迁移,难以对整体网络状态进行全面监测。
因此,如何针对跨越不同网络域、时期的流量数据实现快速、准确地检测成为亟需解决的技术问题。
发明内容
针对上述情况,本公开实施例提供了一种网络流量检测方法、装置、电子设备及计算机可读存储介质,旨在解决上述问题或者至少部分地解决上述问题。
第一方面,本公开实施例提供了一种网络流量检测方法,所述方法包括:
对从目标网关中实时获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据;
将所述处理后待检测网络流量数据输入至训练好的目标域特征提取器中,得到待检测特征数据;其中,所述训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,所述训练好的生成对抗网络是利用源域样本集和目标域样本集训练得到的,所述源域样本集和所述目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,所述源域样本集中样本的产生时间早于所述目标域样本集中样本的产生时间,所述训练好的生成对抗网络中的判别器,用于区分利用所述训练好的目标域特征提取器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据;
将所述待检测特征数据输入至所述训练好的源域流量状态分类器中的分类网络中,得到检测结果,其中,所述源域特征提取器的输出作为所述分类网络的输入,所述训练好的源域流量状态分类器是利用所述源域样本集训练得到的。
第二方面,本公开实施例还提供了一种网络流量检测装置,所述装置包括:
预处理模块,用于对从目标网关中实时获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据;
特征提取模块,用于将所述处理后待检测网络流量数据输入至训练好的目标域特征提取器中,得到待检测特征数据;其中,所述训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,所述训练好的生成对抗网络是利用源域样本集和目标域样本集训练得到的,所述源域样本集和所述目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,所述源域样本集中样本的产生时间早于所述目标域样本集中样本的产生时间,所述训练好的生成对抗网络中的判别器,用于区分利用所述训练好的目标域特征提取器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据;
检测模块,用于将所述待检测特征数据输入至所述训练好的源域流量状态分类器中的分类网络中,得到检测结果,其中,所述源域特征提取器的输出作为所述分类网络的输入,所述训练好的源域流量状态分类器是利用所述源域样本集训练得到的。
第三方面,本公开实施例还提供了一种电子设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,可执行指令在被执行时使处理器执行上述网络流量检测方法的步骤。
第四方面,本公开实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储一个或多个程序,一个或多个程序当被包括多个应用程序的电子设备执行时,使得电子设备执行上述网络流量检测方法的步骤。
借由上述技术方案,本公开实施例提供的网络流量检测方法、装置、电子设备及计算机可读存储介质,与传统的基于规则和签名的检测方法相比,本公开实施例提出了一种创新的网络流量检测方法,对获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据,并输入至训练好的目标域特征提取器中,得到待检测特征数据,其中,训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,而生成对抗网络中的判别器,用于区分利用生成器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据,使得提取到的目标域特征与源域特征越来越相似,即令有时间顺序的目标域、源域的数据分布可以保持一致,且源域样本集和目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,因此,利用对抗式技术,目标域特征提取器能够适应不断变化的网络流量数据分布,实现了针对不同网络域、时期的知识迁移,故将待检测特征数据输入至训练好的源域流量状态分类器中的分类网络中,可以得到较准确的检测结果,确保方案在各种网络场景中的有效性。同时,通过学习样本集中不同类型网络域的流量数据特征,使源域流量状态分类器能够识别和防范各类高级、未知网络攻击,提高了信息通信网对未知攻击的检测敏感性,从而提高整体安全性。另外,通过智能学习和对抗性训练,网络可以迅速学习网络的正常行为模式,从而可以高效、准确地检测出电力信息通信网络中的异常流量数据,辅助通信调度运维人员采取措施,减少潜在威胁对电力系统的影响,为电力系统的安全运行和数据的安全传输,提供更为可靠的保障。
上述说明仅是本公开技术方案的概述,为了能够更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为了让本公开的上述和其它目的、特征和优点能够更明显易懂,以下特举本公开的具体实施方式。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本公开的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:
图1示出了本公开实施例提供的网络流量检测方法的流程示意图;
图2示出了本公开实施例提供的生成对抗网络的结构示意图;
图3示出了本公开实施例提供的源域流量状态分类器的结构示意图;
图4示出了本公开实施例提供的网络流量检测装置的结构示意图;
图5示出了本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚,下面将结合本公开具体实施例及相应的附图对本公开技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”及其变体要被解读为意味着“包括但不限于”的开放式术语。
经研究发现,由于电力系统的特殊性、网络结构的复杂性以及通信数据的多样性,传统的基于规则和签名的检测方法难以适应不断变化的网络环境,存在以下不足:对新型、未知攻击的低敏感性和低识别率;面对海量的数据流量和更高复杂性的网络,检测精度较低;针对跨越不同网络域、时期的攻击难以实现知识迁移,难以对整体网络状态进行全面监测。
基于此,本发明提出了一种网络流量检测方法、装置、电子设备及计算机可读存储介质。下面通过具体的实施例对本公开进行详细的描述。
为便于对本实施例进行理解,首先对本公开实施例所公开的一种网络流量检测方法进行详细介绍,本公开实施例所提供的网络流量检测方法的执行主体一般为具有一定计算能力的计算机设备,该计算机设备例如包括:终端设备或服务器或其它处理设备,终端设备可以为用户设备(User Equipment,UE)、移动设备、用户终端、终端等。在一些可能的实现方式中,该网络流量检测方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
图1示出了本公开实施例提供的网络流量检测方法的流程示意图,从图1可以看出,本公开实施例至少包括步骤S101-步骤S103:
步骤S101:对从目标网关中实时获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据。
这里,目标网关用于连接以下至少任两种网络:电力信息通信网的数据通信网、光传输网、接入网。实施时,可以从目标网关的管理系统中实时采集待检测网络流量数据,然后,为了方便计算机对待检测网络流量数据进行处理,可以对待检测网络流量数据进行预处理,得到处理后的待检测网络流量数据,处理后的待检测网络流量数据具体包括一个或多个流,一个流包括多个数据包,一个数据包包括以下数据:源IP地址、目的IP地址、源端口号、目的端口号和传输协议。可以将数据包定义为二维向量,将流定义为三维向量。
步骤S102:将所述处理后待检测网络流量数据输入至训练好的目标域特征提取器中,得到待检测特征数据;其中,所述训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,所述训练好的生成对抗网络是利用源域样本集和目标域样本集训练得到的,所述源域样本集和所述目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,所述源域样本集中样本的产生时间早于所述目标域样本集中样本的产生时间,所述训练好的生成对抗网络中的判别器,用于区分利用所述训练好的目标域特征提取器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据。
在本步骤中,训练好的源域流量状态分类器用于对源域流量数据状态进行分类,包括特征提取和分类两大部分。训练好的目标域特征提取器、源域特征提取器具体可以为任一种特征提取网络模型,比如卷积神经网络、Transformer模型等,对此本公开实施例不作限定。
训练好的生成对抗网络包括判别器和生成器,可以将生成器作为目标域特征提取器。实施时,可以利用源域样本集和目标域样本集训练得到该生成对抗网络。一般地,源域是指网络模型训练时所使用的丰富数据领域,目标域是指网络模型应用时所面对的实际数据领域,具体到本公开实施例中,源域样本集和目标域样本集的划分标准为网络流量的产生时间,源域样本集中的网络流量数据的产生时间不晚于目标域样本集中的网络流量数据的产生时间。可以理解的是,源域样本集的样本数量多于目标域样本集的样本数量。
训练好的生成对抗网络中的判别器用于区分利用训练好的目标域特征提取器从目标域样本集中提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器从源域样本集中提取到的源域特征数据,从而使得提取到的目标域特征与源域特征越来越相似,进而使有时间顺序的目标域、源域的数据分布可以保持一致。
步骤S103:将所述待检测特征数据输入至所述训练好的源域流量状态分类器中的分类网络中,得到检测结果,其中,所述源域特征提取器的输出作为所述分类网络的输入,所述训练好的源域流量状态分类器是利用所述源域样本集训练得到的。
在得到待检测特征数据之后,可以将该待检测特征数据输入至训练好的源域流量状态分类器中的分类网络中,得到检测结果,比如正常/异常。这里,源域特征提取器的输出作为分类网络的输入。分类网络用于流量状态分类,具体的,比如可以包括相互连接的全连接层、softmax层,本公开对此不作限定。步骤S102、S103可以理解为,将原来训练好的源域流量状态分类器中的源域特征提取器,替换为训练好的目标域特征提取器,然后再用替换后的源域流量状态分类器对待检测网络流量数据进行分类。
从图1所示的方法可以看出,与传统的基于规则和签名的检测方法相比,本公开实施例提出了一种创新的网络流量检测方法,对获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据,并输入至训练好的目标域特征提取器中,得到待检测特征数据,其中,训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,而生成对抗网络中的判别器,用于区分利用生成器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据,使得提取到的目标域特征与源域特征越来越相似,即令有时间顺序的目标域、源域的数据分布可以保持一致,且源域样本集和目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,因此,利用对抗式技术,目标域特征提取器能够适应不断变化的网络流量数据分布,实现了针对不同网络域、时期的知识迁移,故将待检测特征数据输入至训练好的源域流量状态分类器中的分类网络中,可以得到较准确的检测结果,确保方案在各种网络场景中的有效性。同时,通过学习样本集中不同类型网络域的流量数据特征,使源域流量状态分类器能够识别和防范各类高级、未知网络攻击,提高了信息通信网对未知攻击的检测敏感性,从而提高整体安全性。另外,通过智能学习和对抗性训练,网络可以迅速学习网络的正常行为模式,从而可以高效、准确地检测出电力信息通信网络中的异常流量数据,辅助通信调度运维人员采取措施,减少潜在威胁对电力系统的影响,为电力系统的安全运行和数据的安全传输,提供更为可靠的保障。
考虑到生成对抗网络的训练对于实现网络流量异常检测的关键作用,在本公开的一种可能的实施方式中,所述训练好的生成对抗网络是根据下述方法生成的:
步骤A1:获取所述源域样本集和所述目标域样本集。
步骤A2:将所述目标域样本集包括的网络流量数据输入至待训练生成对抗网络中的生成器中,得到所述目标域特征数据。
步骤A3:将所述源域样本集包括的网络流量数据输入至所述源域特征提取器中,得到所述源域特征数据。
步骤A4:利用预设生成器损失函数和预设判别器损失函数,以所述待训练生成对抗网络中的判别器不能区分所述目标域特征数据、所述源域特征数据为训练目标,对所述待训练生成对抗网络进行训练,得到所述训练好的生成对抗网络。
图2示出了本公开实施例提供的生成对抗网络的结构示意图。下面结合图2对本实施例进行说明。在本实施中,可以先获取源域样本集、目标域样本集。具体实施时,可以先从网关管理系统中获取来自电力信息通信网数据通信网、传输网、接入网中至少一项的网络流量数据,将采集到的原始网络流量数据切割为单个流,比如,可以利用pkt2flow工具来进行切割,每个流中包括一个或多个数据包,然后过滤掉重复和无法识别的流,并对各个流进行脱敏并打标签,接着读取流中的数据包,统一参数生成二维向量,以NPZ格式存储。将一个流对应的三维向量数据作为一个样本的特征,按照时间先后,将在先的流划分为源域样本集,将在后的流划分为目标域样本集,可以理解的是,源域样本集中样本的数量多于目标域样本集中样本的数量,源域样本集和目标域样本集的大小可以根据实际需要设置,比如,可以设置源域样本集中样本的数量与目标域样本集中样本的数量之间的比为8:2,对此,本公开实施例不作限定。
在得到源域样本集、目标域样本集之后,可以利用源域样本集、目标域样本集对待训练生成对抗网络进行训练,得到训练好的生成对抗网络。具体实施时,可以将目标域样本集中各样本包括的网络流量数据输入至待训练生成对抗网络中的生成器(目标域特征提取器)中,得到各生成器生成的目标域特征数据;然后,将源域样本集中各样本包括的网络流量数据输入至训练好的源域流量状态分类器中的源域特征提取器中,得到源域特征数据;利用目标域特征数据、源域特征数据,可以计算出预设生成器损失函数和预设判别器损失函数分别对应的损失值,可以利用这些损失值对待训练生成对抗网络中的生成器和判别器的参数进行更新,判别器可以更好地区分目标域特征数据、源域特征数据,从而使得生成器可以生成与源域特征数据非常接近的目标域特征数据,最终得到训练好的生成对抗网络。实施时,可以分别给目标域和源域创建迭代器,当某一域样本集中的样本不够用时,从头开始循环。
一种可能的实施方式中,所述预设生成器损失函数为:
所述预设判别器损失函数为:
其中,所述Mt为所述生成器,所述Xs为所述源域样本集;所述Xt为所述目标域样本集,所述D为所述判别器,所述Ms为所述训练好的源域特征提取器,所述xt为从所述目标域样本集中随机抽取的样本,所述为所述xt的期望值,所述xs为从所述源域样本集中随机抽取的样本,所述/>为所述xs的期望值。
在具体的应用场景中,网络攻击可能涉及长时间的渗透和准备。基于此,在本公开实施例的一种可能的实施方式中,所述训练好的目标域特征提取器和所述源域特征提取器包括依次连接的空间特征提取网络和时序特征提取网络。
在本实施例中,空间特征提取网络用于提取网络流量数据中的空间特征,时序特征提取网络用于提取网络流量数据中的时序特征。具体实施时,比如,上述步骤S102具体包括:先利用训练好的目标域特征提取器中的空间特征提取网络,对处理后待检测流量数据进行空间特征提取,得到空间特征数据,利用训练好的目标域特征提取器中的时序特征提取网络对空间特征数据进行时序特征提取,得到待检测特征数据。
一种可能的实施方式中,所述空间特征提取网络为:卷积神经网络、空间金字塔池化网络、特征金字塔网络、残差神经网络、U-Net网络中的一个。
在本实施例中,卷积神经网络(Convolutional Neural Networks, CNNs)是一种深度学习模型,通过卷积层、池化层等结构,CNNs 能够有效地提取数据中的空间特征。空间金字塔池化网络(Spatial Pyramid Pooling Networks, SPP-Nets)是一种改进版的CNNs,可以将不同尺寸的输入转化为固定长度的输出,从而提取出空间特征。特征金字塔网络(Feature Pyramid Networks, FPNs)通过构建特征金字塔,将不同层次的特征进行融合,从而提取出丰富的空间特征。残差神经网络(Residual Neural Networks, ResNets)通过引入残差块,解决了深度神经网络中的梯度消失和表示瓶颈问题。残差块中的跳跃连接可以将低层次的特征直接传递到高层次,从而帮助提取空间特征。U-Net网络通过编码器-解码器结构,将高层次的语义信息和低层次的空间信息结合起来,提取出有效的空间特征。
一种可能的实施方式中,所述时序特征提取网络为:循环神经网络、长短时记忆网络、门控循环单元、时间卷积网络、Transformer 模型中的一个。
在本实施例中,循环神经网络(Recurrent Neural Networks, RNNs)是一种专门设计用于处理序列数据的神经网络,如时间序列、文本序列等。它们通过内部的循环结构,能够捕捉序列数据中的时间依赖关系,从而提取时间特征。长短时记忆网络(Long Short-Term Memory, LSTM)是 RNN 的一种变体,它通过引入门控机制(输入门、遗忘门和输出门),解决了 RNN 在处理长序列时可能出现的梯度消失或梯度爆炸问题。因此,LSTM 能够更好地提取序列数据中的时间特征。门控循环单元(Gated Recurrent Unit, GRU)是另一种 RNN 的变体,它简化了 LSTM 的结构,通过引入重置门和更新门,实现了类似的效果。GRU 在提取时间特征方面也有很好的表现。Transformer 模模型通过自注意力机制和位置编码,能够捕捉序列数据中的时间依赖关系,从而提取时间特征。时间卷积网络(TemporalConvolutional Networks, TCNs)使用一维卷积层来处理序列数据,通过堆叠多个卷积层并应用适当的填充和步长,TCNs 能够捕获不同时间尺度的依赖关系,从而提取时间特征。
示例性地,训练好的目标域特征提取器包括依次连接的卷积神经网络和长短时记忆网络。实施时,比如可以先将n个数据包输入至卷积神经网络中,得到n个数据包的特征向量,将n个特征向量拼接为一个流的空间特征向量,然后,将多个流的空间特征向量输入至LSTM网络中,以提取数据包间的时序特征,最终得到待检测特征数据,比如为一个二维时空特征矩阵。
在本实施例中,训练好的目标域特征提取器和训练好的源域特征提取器包括依次连接的空间特征提取网络和时序特征提取网络,因此,两个特征提取器不仅可以提取到网络流量数据的空间特征,还能提取到网络流量数据的时间特征,从而捕获到网络流量数据的长期的时序依赖关系,提取到的特征更加全面,从而大大提升后续的检测结果的准确性。
考虑到训练好的源域流量状态分类器的训练对于实现源域流量特征提取的关键作用,在本公开的一种可能的实施方式中,所述训练好的源域流量状态分类器是根据下述方法生成的:
步骤B1:获取所述源域样本集;所述源域样本集中样本的标签为正常/异常。
步骤B2: 将所述源域样本集中的各网络流量数据输入至待训练的源域流量状态分类器中,得到对应的流量状态预测值。
步骤B3:根据各所述流量状态预测值、对应的样本标签、预设损失函数,计算各损失值。
步骤B4:利用所述各损失值,对所述待训练的源域流量状态分类器中的参数进行更新,得到所述训练好的源域流量状态分类器。
在本实施例中,为了得到训练好的源域流量状态分类器,可以先获取源域样本集,具体的,可以先按照前述步骤A1中的实施方式得到源域样本集,并对样本集中的每个样本进行人工/机器标注,将每个样本标注为正常/异常。
然后可以利用各个样本对待训练的源域流量状态分类器进行训练,最终得到训练好的源域流量状态分类器。具体实施时,可以将一个样本中的网络流量数据输入至待训练的源域流量状态分类器中,得到对应的流量状态预测值;然后,利用该流量状态预测值和该样本的标签,计算出预设损失函数,比如均方误差、交叉熵损失函数等函数的损失值,利用该损失值,对待训练的源域流量状态分类器中的参数进行更新。以此类推,利用剩余的样本对分类器中的参数进行更新。在得到满足训练要求的源域流量状态分类器之后,可以将该满足训练要求的源域流量状态分类器确定为上述训练好的源域流量状态分类器。
其中,满足训练要求可以为:预设损失函数的函数值收敛,或者,待训练的源域流量状态分类器的训练精度满足预设要求,本公开对该满足训练要求不作具体限定,以能实现为准。
在实际应用场景中,样本集中的正负样本比例通常不平衡,异常流量样本通常远小于正常流量样本,利用不平衡的样本集进行训练,训练好的源域流量状态分类器可能会出现过拟合,使得训练好的源域流量状态分类器的分类准确性降低。基于此,在本公开的一种可能的实施方式中,所述分类网络包括依次相互连接的变分自编码器、全连接层和softmax层。
图3示出了本公开实施例提供的源域流量状态分类器的结构示意图。由图3所示,训练好的源域流量状态分类器包括相互连接的源域特征提取器、分类网络,其中,分类网络包括相互连接的变分自编码器、全连接层和softmax层。变分自编码器包括2部分:编码器和解码器。编码器负责将源域特征提取器的输出数据映射到潜在空间,解码器则负责从潜在空间重构输入源域特征提取器的输出数据。编码器由输入层、隐藏层、潜在空间均值层和潜在空间方差层组成,其中,输入层用于接收源域特征提取器的输出数据;隐藏层用于特征提取,每个隐藏层使用ReLU激活函数;潜在空间均值层用于输出潜在空间中的均值;潜在空间方差层用于输出潜在空间中的方差。解码器包括输入层、隐藏层和输出层,其中,输出层的激活函数可以使用线性激活函数,隐藏层神经元数量可以为128。在训练源域流量状态分类器时,可以使用如下损失函数:
其中,为样本重构误差,/>为权重参数,用于平衡重构误差和KL散度的贡献,/>为KL散度。实施时,可以设置/>初始值为0.001。
示例性地,待检测特征数据可以先输入至变分自编码器,使得自编码器对特征1进行重构,得到特征1,再利用全连接层、softmax层对特征1进行分类,得到检测结果。
在本实施例中,通过在源域流量状态分类器的分类网络中增加变分自编码器结构,变分自编码器的样本自平衡策略可以充分发挥自身无监督特征学习和变分推理的优势,使得数据的潜在分布接近标准正态分布,即可以调整训练过程中正常样本和异常样本的权重,生成的模拟异常样本来训练分类器,从而避免过拟合,大大提升源域流量状态分类器的分类准确度。
本公开实施例还提供的一种网络流量检测方法,包括以下步骤S1-步骤S10:
步骤S1:获取源域样本集和目标域样本集。其中,源域样本集和目标域样本集中的样本数据包括来自电力信息通信网数据通信网、光传输网、接入网中至少一项的网络流量,源域样本集中样本的产生时间早于目标域样本集中样本的产生时间。
步骤S2:将目标域样本集包括的网络流量数据输入至待训练生成对抗网络中的生成器中,得到目标域特征数据。
步骤S3:将源域样本集包括的网络流量数据输入至源域特征提取器中,得到源域特征数据。这里,训练好的生成器和源域特征提取器包括依次连接的空间特征提取网络和时序特征提取网络。具体的,空间特征提取网络为:卷积神经网络、空间金字塔池化网络、特征金字塔网络、残差神经网络、U-Net网络中的一个。时序特征提取网络为:循环神经网络、长短时记忆网络、门控循环单元、时间卷积网络、Transformer 模型中的一个。
步骤S4:利用预设生成器损失函数和预设判别器损失函数,以待训练生成对抗网络中的判别器不能区分目标域特征数据、源域特征数据为训练目标,对待训练生成对抗网络进行训练,得到训练好的生成对抗网络。
一种可能的实施方式中,预设生成器损失函数为:
预设判别器损失函数为:
其中,Mt为生成器,Xs为源域样本集;Xt为目标域样本集,D为判别器,Ms为训练好的源域特征提取器,xt为从目标域样本集中随机抽取的样本,为xt的期望值,xs为从源域样本集中随机抽取的样本,/>为xs的期望值。
步骤S5:将源域样本集中的各网络流量数据输入至待训练的源域流量状态分类器中,得到对应的流量状态预测值。其中,源域流量状态分类器包括相互连接的源域特征提取器、变分自编码器、全连接层和softmax层。
步骤S6:根据各流量状态预测值、对应的样本标签、预设损失函数,计算各损失值。这里,源域样本集中样本的标签为正常/异常。
步骤S7:利用各损失值,对待训练的源域流量状态分类器中的参数进行更新,得到训练好的源域流量状态分类器。
步骤S8:对从目标网关中实时获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据。
步骤S9:将处理后待检测网络流量数据输入至训练好的目标域特征提取器中,得到待检测特征数据;其中,训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,训练好的生成对抗网络中的判别器,用于区分利用训练好的目标域特征提取器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据。
步骤S10:将待检测特征数据输入至训练好的源域流量状态分类器中,得到检测结果。
本领域技术人员可以理解,在具体实施例方式的上述方法中,各步骤的撰写顺序并不意味着严格的执行顺序,而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
需要说明的是,实际应用中,上述所有可能的实施方式可以采用结合的方式任意组合,形成本公开的可能的实施例,在此不再一一赘述。
基于相同的构思,本公开实施例还提供了一种网络流量检测装置,图4示出了本公开实施例提供的网络流量检测装置的结构示意图,参见图4所示,本公开实施例提供的网络流量检测装置400包括:
预处理模块401,用于对从目标网关中实时获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据;
特征提取模块402,用于将所述处理后待检测网络流量数据输入至训练好的目标域特征提取器中,得到待检测特征数据;其中,所述训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,所述训练好的生成对抗网络是利用源域样本集和目标域样本集训练得到的,所述源域样本集和所述目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,所述源域样本集中样本的产生时间早于所述目标域样本集中样本的产生时间,所述训练好的生成对抗网络中的判别器,用于区分利用所述训练好的目标域特征提取器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据;
检测模块403,用于将所述待检测特征数据输入至训练好的源域流量状态分类器中的分类网络中,得到检测结果,其中,所述源域特征提取器的输出作为所述分类网络的输入,所述训练好的源域流量状态分类器是利用所述源域样本集训练得到的。
一种可能的实施方式中,所述装置还包括第一训练模块,用于:
获取所述源域样本集和所述目标域样本集;
将所述目标域样本集包括的网络流量数据输入至待训练生成对抗网络中的生成器中,得到所述目标域特征数据;
将所述源域样本集包括的网络流量数据输入至所述源域特征提取器中,得到所述源域特征数据;
利用预设生成器损失函数和预设判别器损失函数,以所述待训练生成对抗网络中的判别器不能区分所述目标域特征数据、所述源域特征数据为训练目标,对所述待训练生成对抗网络进行训练,得到所述训练好的生成对抗网络。
一种可能的实施方式中,在上述装置中,所述预设生成器损失函数为:
所述预设判别器损失函数为:
其中,所述Mt为所述生成器,所述Xs为所述源域样本集;所述Xt为所述目标域样本集,所述D为所述判别器,所述Ms为所述训练好的源域特征提取器,所述xt为从所述目标域样本集中随机抽取的样本,所述为所述xt的期望值,所述xs为从所述源域样本集中随机抽取的样本,所述/>为所述xs的期望值。
一种可能的实施方式中,在上述装置中,所述训练好的目标域特征提取器和所述源域特征提取器包括依次连接的空间特征提取网络和时序特征提取网络。
一种可能的实施方式中,在上述装置中,所述空间特征提取网络为:卷积神经网络、空间金字塔池化网络、特征金字塔网络、残差神经网络、U-Net网络中的一个。
一种可能的实施方式中,在上述装置中,所述时序特征提取网络为:循环神经网络、长短时记忆网络、门控循环单元、时间卷积网络、Transformer 模型中的一个。
一种可能的实施方式中,所述装置还包括第二训练模块,用于:
获取所述源域样本集;所述源域样本集中样本的标签为正常/异常;
将所述源域样本集中的各网络流量数据输入至待训练的源域流量状态分类器中,得到对应的流量状态预测值;
根据各所述流量状态预测值、对应的样本标签、预设损失函数,计算各损失值;
利用所述各损失值,对所述待训练的源域流量状态分类器中的参数进行更新,得到所述训练好的源域流量状态分类器。
一种可能的实施方式中,在上述装置中,所述分类网络包括依次相互连接的变分自编码器、全连接层和softmax层。
需要说明的是,上述任一的网络流量检测装置可一一对应实现前述的网络流量检测方法,这里不再赘述。
图5示出了本公开实施例所提供的一种电子设备的结构示意图。如图5所示,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成网络流量检测装置。处理器,执行存储器所存放的程序,并具体用于执行前述方法。
处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备可执行本公开多个实施例提供的网络流量检测方法,并实现成网络流量检测装置在图4所示实施例的功能,本公开实施例在此不再赘述。
本公开实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行本公开多个实施例提供的网络流量检测方法。
本领域内的技术人员应明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM) 和/或非易失性内存等形式,如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的同一要素。
本领域技术人员应明白,本公开的实施例可提供为方法、系统或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本公开的实施例而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。
Claims (11)
1.一种网络流量检测方法,其特征在于,所述方法包括:
对从目标网关中实时获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据;
将所述处理后待检测网络流量数据输入至训练好的目标域特征提取器中,得到待检测特征数据;其中,所述训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,所述训练好的生成对抗网络是利用源域样本集和目标域样本集训练得到的,所述源域样本集和所述目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,所述源域样本集中样本的产生时间早于所述目标域样本集中样本的产生时间,所述训练好的生成对抗网络中的判别器,用于区分利用所述训练好的目标域特征提取器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据;
将所述待检测特征数据输入至所述训练好的源域流量状态分类器中的分类网络中,得到检测结果,其中,所述源域特征提取器的输出作为所述分类网络的输入,所述训练好的源域流量状态分类器是利用所述源域样本集训练得到的。
2.根据权利要求1所述的方法,其特征在于,所述训练好的生成对抗网络是根据下述方法生成的:
获取所述源域样本集和所述目标域样本集;
将所述目标域样本集包括的网络流量数据输入至待训练生成对抗网络中的生成器中,得到所述目标域特征数据;
将所述源域样本集包括的网络流量数据输入至所述源域特征提取器中,得到所述源域特征数据;
利用预设生成器损失函数和预设判别器损失函数,以所述待训练生成对抗网络中的判别器不能区分所述目标域特征数据、所述源域特征数据为训练目标,对所述待训练生成对抗网络进行训练,得到所述训练好的生成对抗网络。
3.根据权利要求2所述的方法,其特征在于,所述预设生成器损失函数为:所述预设判别器损失函数为:
其中,所述Mt为所述生成器,所述Xs为所述源域样本集;所述Xt为所述目标域样本集,所述D为所述判别器,所述Ms为所述训练好的源域特征提取器,所述xt为从所述目标域样本集中随机抽取的样本,所述/>为所述xt的期望值,所述xs为从所述源域样本集中随机抽取的样本,所述为所述xs的期望值。
4.根据权利要求1所述的方法,其特征在于,所述训练好的目标域特征提取器和所述源域特征提取器包括依次连接的空间特征提取网络和时序特征提取网络。
5.根据权利要求4所述的方法,其特征在于,所述空间特征提取网络为:卷积神经网络、空间金字塔池化网络、特征金字塔网络、残差神经网络、U-Net网络中的一个。
6.根据权利要求4所述的方法,其特征在于,所述时序特征提取网络为:循环神经网络、长短时记忆网络、门控循环单元、时间卷积网络、Transformer 模型中的一个。
7.根据权利要求1所述的方法,其特征在于,所述训练好的源域流量状态分类器是根据下述方法生成的:
获取所述源域样本集;所述源域样本集中样本的标签为正常/异常;
将所述源域样本集中的各网络流量数据输入至待训练的源域流量状态分类器中,得到对应的流量状态预测值;
根据各所述流量状态预测值、对应的样本标签、预设损失函数,计算各损失值;
利用所述各损失值,对所述待训练的源域流量状态分类器中的参数进行更新,得到所述训练好的源域流量状态分类器。
8.根据权利要求1-7任一所述的方法,其特征在于,所述分类网络包括依次相互连接的变分自编码器、全连接层和softmax层。
9.一种网络流量检测装置,其特征在于,所述装置包括:
预处理模块,用于对从目标网关中实时获取到的待检测网络流量数据进行预处理,得到处理后待检测网络流量数据;
特征提取模块,用于将所述处理后待检测网络流量数据输入至训练好的目标域特征提取器中,得到待检测特征数据;其中,所述训练好的目标域特征提取器为训练好的生成对抗网络中的生成器,所述训练好的生成对抗网络是利用源域样本集和目标域样本集训练得到的,所述源域样本集和所述目标域样本集中的样本数据包括来自数据通信网、光传输网、接入网中至少一项的网络流量,所述源域样本集中样本的产生时间早于所述目标域样本集中样本的产生时间,所述训练好的生成对抗网络中的判别器,用于区分利用所述训练好的目标域特征提取器提取到的目标域特征数据、利用训练好的源域流量状态分类器中的源域特征提取器提取到的源域特征数据;
检测模块,用于将所述待检测特征数据输入至所述训练好的源域流量状态分类器中的分类网络中,得到检测结果,其中,所述源域特征提取器的输出作为所述分类网络的输入,所述训练好的源域流量状态分类器是利用所述源域样本集训练得到的。
10.一种电子设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,其特征在于,所述可执行指令在被执行时使所述处理器执行如权利要求1-8任一所述方法的步骤。
11.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,其特征在于,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行如权利要求1-8任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410358145.2A CN117955753A (zh) | 2024-03-27 | 2024-03-27 | 网络流量检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410358145.2A CN117955753A (zh) | 2024-03-27 | 2024-03-27 | 网络流量检测方法、装置、电子设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117955753A true CN117955753A (zh) | 2024-04-30 |
Family
ID=90796502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410358145.2A Pending CN117955753A (zh) | 2024-03-27 | 2024-03-27 | 网络流量检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117955753A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109376620A (zh) * | 2018-09-30 | 2019-02-22 | 华北电力大学 | 一种风电机组齿轮箱故障的迁移诊断方法 |
CN110149280A (zh) * | 2019-05-27 | 2019-08-20 | 中国科学技术大学 | 网络流量分类方法和装置 |
CN111683108A (zh) * | 2020-08-17 | 2020-09-18 | 鹏城实验室 | 一种网络流异常检测模型的生成方法和计算机设备 |
CN117173512A (zh) * | 2023-09-08 | 2023-12-05 | 罗雨 | 训练流量检测模型、流量检测的方法、装置及电子设备 |
-
2024
- 2024-03-27 CN CN202410358145.2A patent/CN117955753A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109376620A (zh) * | 2018-09-30 | 2019-02-22 | 华北电力大学 | 一种风电机组齿轮箱故障的迁移诊断方法 |
CN110149280A (zh) * | 2019-05-27 | 2019-08-20 | 中国科学技术大学 | 网络流量分类方法和装置 |
CN111683108A (zh) * | 2020-08-17 | 2020-09-18 | 鹏城实验室 | 一种网络流异常检测模型的生成方法和计算机设备 |
CN117173512A (zh) * | 2023-09-08 | 2023-12-05 | 罗雨 | 训练流量检测模型、流量检测的方法、装置及电子设备 |
Non-Patent Citations (1)
Title |
---|
吕麒: "基于深度迁移学习的网络异常检测技术研究", 中国优秀硕士学位论文全文数据库 (信息科技辑), 15 December 2020 (2020-12-15), pages 3 - 4 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11444876B2 (en) | Method and apparatus for detecting abnormal traffic pattern | |
CN113469366B (zh) | 一种加密流量的识别方法、装置及设备 | |
CN114615093A (zh) | 基于流量重构与继承学习的匿名网络流量识别方法及装置 | |
CN104618132A (zh) | 一种应用程序识别规则生成方法和装置 | |
CN110968689A (zh) | 罪名及法条预测模型的训练方法以及罪名及法条预测方法 | |
Khan et al. | Efficient behaviour specification and bidirectional gated recurrent units‐based intrusion detection method for industrial control systems | |
WO2021169239A1 (zh) | 一种爬虫数据的识别方法、系统及设备 | |
CN114024761B (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
CN113067798A (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
Yuan et al. | A data balancing approach based on generative adversarial network | |
CN110472246A (zh) | 工单分类方法、装置及存储介质 | |
Ribu Hassini et al. | A machine learning and deep neural network approach in industrial control systems | |
CN113449816A (zh) | 网址分类模型训练、网址分类方法、装置、设备及介质 | |
CN112637104B (zh) | 异常流量检测方法和系统 | |
CN117955753A (zh) | 网络流量检测方法、装置、电子设备及可读存储介质 | |
CN117375896A (zh) | 基于多尺度时空特征残差融合的入侵检测方法及系统 | |
CN115865486B (zh) | 基于多层感知卷积神经网络的网络入侵检测方法及系统 | |
CN116488874A (zh) | 基于自监督掩码上下文重构的网络入侵检测方法和系统 | |
Dawoud et al. | Dimensionality reduction for network anomalies detection: A deep learning approach | |
CN115713669A (zh) | 一种基于类间关系的图像分类方法、装置、存储介质及终端 | |
Lin et al. | Behaviorial-based network flow analyses for anomaly detection in sequential data using temporal convolutional networks | |
CN115314239A (zh) | 基于多模型融合的隐匿恶意行为的分析方法和相关设备 | |
Premkumar et al. | Hybrid Deep Learning Model for Cyber-Attack Detection | |
CN114443878A (zh) | 图像分类方法、装置、设备及存储介质 | |
CN114358177A (zh) | 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |