CN118054972A - 基于异常流量样本增强的检测方法、系统、设备及介质 - Google Patents
基于异常流量样本增强的检测方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN118054972A CN118054972A CN202410431040.5A CN202410431040A CN118054972A CN 118054972 A CN118054972 A CN 118054972A CN 202410431040 A CN202410431040 A CN 202410431040A CN 118054972 A CN118054972 A CN 118054972A
- Authority
- CN
- China
- Prior art keywords
- sample
- abnormal
- flow sample
- abnormal flow
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 357
- 238000001514 detection method Methods 0.000 title claims abstract description 128
- 230000007123 defense Effects 0.000 claims abstract description 168
- 238000012549 training Methods 0.000 claims abstract description 49
- 238000000034 method Methods 0.000 claims abstract description 40
- 230000006870 function Effects 0.000 claims description 78
- 238000004590 computer program Methods 0.000 claims description 22
- 239000006185 dispersion Substances 0.000 claims description 14
- 238000011478 gradient descent method Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000003066 decision tree Methods 0.000 description 3
- 238000011176 pooling Methods 0.000 description 3
- 238000007637 random forest analysis Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 208000037170 Delayed Emergence from Anesthesia Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于异常流量样本增强的检测方法、系统、设备及介质,涉及数字信息传输网络安全技术领域。该方法包括:获取第一预设时间段内的正常流量样本和异常流量样本;将正常流量样本、异常流量样本和预设生成参数输入至预设的异常流量生成模型,得到异常流量生成模型输出的第一异常流量样本;根据第一异常流量样本,对第二预设时间段内的业务流量样本进行异常流量样本增强;基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型;其中,训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。本发明能够提高安全防御模型的检测性能。
Description
技术领域
本发明涉及数字信息传输技术领域,尤其涉及一种基于异常流量样本增强的检测方法、系统、设备及介质。
背景技术
随着数字信息传输技术的不断发展,网络安全问题受到人们越来越多的关注。在网络安全演习的攻防阶段,攻击团队发起的网络攻击复杂多样,相关的网络安全防御系统中的安全防御模型大多适用于典型的网络安全场景。但是在网络安全演习的不同阶段,可能会出现不同的网络安全情况,导致安全防御模型的防护水平会存在相应的波动;并且由于正常流量样本和异常流量样本的分布存在偏差,安全防御模型的动态机器学习检测方法只能学习有限的异常流量样本的特征,难以应对钻探过程中复杂的网络环境,阻碍了安全防御模型的有效利用。
因此,亟需一种能够提高安全防御模型的检测性能的方法。
发明内容
本发明实施例提供了一种基于异常流量样本增强的检测方法、系统、设备及介质,能够增加输入安全防御模型中的异常流量样本的数量,提高安全防御模型的检测性能。
第一方面,本发明实施例提供了一种基于异常流量样本增强的检测方法,包括:
获取第一预设时间段内的正常流量样本和异常流量样本;所述样本为数据样本;
将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型,得到所述异常流量生成模型输出的第一异常流量样本;其中,所述预设生成参数用于确定所述异常流量生成模型输出异常流量样本的规模和离散度;
根据所述第一异常流量样本,对第二预设时间段内的业务流量样本进行异常流量样本增强;
基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型;其中,训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。
在一种可能的实现方式中,所述基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型,包括:
将异常流量样本增强后的业务流量样本输入至安全防御模型,得到所述安全防御模型输出的第二异常流量样本;
基于所述第二异常流量样本,以及异常流量样本增强后的业务流量样本对应的异常流量样本,确定所述安全防御模型的检测准确率;
调整生成参数,并将调整后的生成参数作为所述预设生成参数,重新执行所述将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,直至满足预设要求,得到最优生成参数和训练完成的安全防御模型;其中,所述预设要求根据所述检测准确率设置。
在一种可能的实现方式中,在所述基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型之后,还包括:
获取待识别流量样本,并根据所述待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、所述最优生成参数和所述异常流量生成模型,得到第三异常流量样本;
利用第三异常流量样本,对所述待识别流量样本进行异常流量样本增强,并将异常流量样本增强后的待识别流量样本输入至所述训练完成的安全防御模型,得到所述待识别流量样本中的异常流量样本。
在一种可能的实现方式中,所述方法还包括:
获取多个不同的预设生成参数,以及第四预设时间段内的正常流量样本和异常流量样本;
对于每个预设生成参数,执行所述将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,得到在该预设生成参数下所述安全防御模型的检测准确率;
根据每个预设生成参数和对应的检测准确率,建立以预设生成参数为变量的所述安全防御模型的检测准确率的拟合函数;
基于所述拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率之间的差值,设置所述预设要求。
在一种可能的实现方式中,所述调整生成参数,包括:
基于生成参数,判断是否满足所述预设要求;
若不满足所述预设要求,则根据梯度下降法和所述预设要求,调整所述拟合函数中的系数,根据调整后的系数确定拟合函数,并根据该拟合函数调整生成参数。
在一种可能的实现方式中,所述异常流量生成模型为预设的对抗生成网络模型,所述预设的对抗生成网络模型包括生成器和判别器,所述生成器根据一时间段内的正常流量样本和异常流量样本,生成初始的异常流量样本,所述判别器为基于残差网络的判别器,基于残差网络的判别器对初始的异常流量样本进行判别,基于判别结果和生成参数,得到最终的异常流量样本。
在一种可能的实现方式中,在获取待识别流量样本之后,还包括:
确定所述异常流量生成模型的运行状态;其中,所述运行状态包括跳过和工作;
若所述异常流量生成模型的运行状态为跳过,则将所述待识别流量样本输入至所述安全防御模型,得到所述待识别流量样本中的异常流量样本;
若所述异常流量生成模型的运行状态为工作,则执行所述根据所述待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、所述最优生成参数和所述异常流量生成模型,得到第三异常流量样本的步骤。
第二方面,本发明实施例提供了一种基于异常流量样本增强的检测系统,包括:
获取模块,用于获取第一预设时间段内的正常流量样本和异常流量样本;所述样本为数据样本;
生成模块,用于将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型,得到所述异常流量生成模型输出的第一异常流量样本;其中,所述预设生成参数用于确定所述异常流量生成模型输出异常流量样本的规模和离散度;
训练模块,用于根据所述第一异常流量样本,对第二预设时间段内的业务流量样本进行异常流量样本增强;以及基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型;其中,训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上第一方面或第一方面的任一种可能的实现方式所述的方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上第一方面或第一方面的任一种可能的实现方式所述的方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:
本发明实施例通过将预设生成参数输入至预设的异常流量生成模型,可以得到异常流量生成模型输出的预设生成参数对应的第一异常流量样本,再通过第一异常流量样本和业务流量样本进行异常流量样本增强,从而对安全防御模型进行训练,得到训练完成的安全防御模型,可以增加训练安全防御模型的训练集中的异常流量样本,提高安全防御模型的检测能力和检测的准确率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于异常流量样本增强的检测方法的实现流程图;
图2是本发明实施例提供的另一种基于异常流量样本增强的检测方法的实现流程图;
图3是本发明实施例提供的异常流量生成模型的结构示意图;
图4是本发明实施例提供的安全防御模型对应的目标函数值的变化图;
图5是本发明实施例提供的基于异常流量样本增强的检测系统的结构示意图;
图6是本发明实施例提供的电子设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图通过具体实施例来进行说明。
图1为本发明实施例提供的基于异常流量样本增强的检测方法的实现流程图,详述如下:
步骤S101,获取第一预设时间段内的正常流量样本和异常流量样本;样本为数据样本。
在本实施例中,正常流量样本可以是经过检测安全防御模型检测确定出的正常的流量数据,也可以是额外确定的正常的流量数据;在训练过程中,正常流量样本可以根据最新确定的正常的流量数据不断更新,以使后续异常流量生成模型输出异常流量样本能够随正常流量样本的更新而变化。异常流量样本可以是经过安全防御模型检测确定出的异常的流量数据,也可以是额外确定的异常的流量数据。
这里,本发明提供的基于异常流量样本增强的检测方法主要应用于政府或企业内外网连接处,例如连接处的防火墙、入侵检测系统(Intrusion Detection Systems,IDS)和入侵防御系统(Intrusion Prevention Systems,IPS)等。正常流量样本可以是真实的正常业务往来的网络流量数据,例如政府内外网连接处的办公自动化(Office Automation,OA)系统的正常业务往来数据,企业内外网连接处的正常业务往来数据,例如企业OA服务器中的正常的操作数据,游戏公司的游戏服务器防火墙处流经的正常的游戏数据等。异常流量样本可以是分布式拒绝服务(Distributed Denial of Service,DDoS)攻击数据、跨站点脚本攻击(Cross Site Script,XSS)数据、渗透测试数据和蠕虫数据等。
步骤S102,将正常流量样本、异常流量样本和预设生成参数输入至预设的异常流量生成模型,得到异常流量生成模型输出的第一异常流量样本;其中,预设生成参数用于确定异常流量生成模型输出异常流量样本的规模和离散度。
在本实施例中,生成的第一异常流量样本的规模和离散度满足预设生成参数的要求,以便后续进行异常流量样本增强。同时,通过将正常流量样本和异常流量样本输入至异常流量生成模型,可以使生成的第一异常流量样本,能够随正常流量样本的更新而变化,而不是仅在异常流量样本的基础上进行变化和生成。
可选的,生成参数包括数据规模参数和数据离散度参数。其中,数据规模参数可以控制输出的异常流量样本的规模,即可以是输出的异常流量样本的数据量的大小,也可以是最终输出的异常流量样本占所有生成的异常流量样本的百分比,还可以是输出的异常流量样本与后续进行异常流量样本增强的业务流量样本的比例;数据离散度参数可以控制输出的异常流量样本与输入的异常流量样本的相似程度或者偏差程度。这里,数据离散度参数越大,输出的异常流量样本的离散化程度越高,输出的异常流量样本与输入的异常流量样本的差异就越大。
步骤S103,根据第一异常流量样本,对第二预设时间段内的业务流量样本进行异常流量样本增强。
在本实施例中,可以将第一异常流量样本与业务流量样本进行合并或者混合,提高得到的流量样本中异常流量样本的占比,降低得到的流量样本中异常流量样本与正常流量样本之间的偏差,实现异常流量样本的增强,从而有利于后续对安全防御模型进行有效训练,提高安全防御模型检测异常流量样本的准确率。
这里,第二预设时间段可以是第一预设时间段后连续的一段时间,以使生成的第一异常流量样本与业务流量样本的数据相似度高,从而保证训练的安全防御模型的检测水平,减少安全防御模型的检测准确率的波动。
步骤S104,基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型;其中,训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。
在本实施例中,在对业务流量样本进行异常流量样本增强之后,可以提高其中的异常流量样本,降低异常流量样本与正常流量样本的分布之间的偏差,再对安全防御模型进行训练,可以提高安全防御模型对异常流量样本识别的准确率,从而提高安全防御模型对异常流量样本和正常流量样本整体的检测准确率,从而可以提高使用训练完成的安全防御模型对业务流量样本中的异常流量样本进行检测的准确率,增强了使用该安全防御模型的网络安全保护系统抵御异常流量数据的能力。
这里,安全防御模型可以是以下的任一种模型:决策树模型、随机森林模型、朴素贝叶斯模型和自适应增强(Adaptive Boosting,AdaBoost)模型等。
以企业OA服务器为例,流入OA服务器中的正常的操作数据为正常流量样本,攻击服务器的相关攻击数据为异常流量样本,在OA服务器的防火墙中可以设置安全防御模型,在防火墙的安全防御模型之前还设置有异常流量生成模型。在训练过程中,可以将防火墙检测确定的异常流量样本和正常流量样本输入至异常流量生成模型中,得到异常流量生成模型生成的与攻击OA服务器的相关攻击数据相似的第一异常流量样本,采用该第一异常流量样本和OA服务器的业务流量样本,对防火墙中的安全防御模型进行训练。
本发明实施例通过将预设生成参数输入至预设的异常流量生成模型,可以得到异常流量生成模型输出的预设生成参数对应的第一异常流量样本,再通过第一异常流量样本和业务流量样本进行异常流量样本增强,从而对安全防御模型进行训练,得到训练完成的安全防御模型,可以增加训练安全防御模型的训练集中的异常流量样本,提高安全防御模型的检测能力和检测的准确率。
在一个实施例中,基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型,可以包括:先将异常流量样本增强后的业务流量样本输入至安全防御模型,得到安全防御模型输出的第二异常流量样本;再基于第二异常流量样本,以及异常流量样本增强后的业务流量样本对应的异常流量样本,确定安全防御模型的检测准确率;然后调整生成参数,并将调整后的生成参数作为预设生成参数,重新执行将正常流量样本、异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,直至满足预设要求,得到最优生成参数和训练完成的安全防御模型;其中,预设要求根据检测准确率设置。
在本实施例中,参见图2所示的另一种基于异常流量样本增强的检测方法的实现流程图,在训练安全防御模型时,在得到安全防御模型输出的第二异常流量样本之后,通过对安全防御模型输出的第二异常流量样本进行分析,确定安全防御模型的检测准确率,从而确定经过预设生成参数调整得到的异常流量样本增强后的业务流量样本,是否适用于安全防御模型,以及安全防御模型是否训练完成。
这里,生成参数会影响输入至安全防御模型的业务流量样本中正常流量样本和异常流量样本的比例,通过调整生成参数,可以,使异常流量样本增强后的业务流量样本中正常流量样本和异常流量样本分布均衡,从而找到最适用于训练安全防御模型的生成参数,从而提高最终的安全防御模型的检测准确率。
可选的,本实施例提供的基于异常流量样本增强的检测方法还可以包括:首先,获取多个不同的预设生成参数,以及第四预设时间段内的正常流量样本和异常流量样本;其次,对于每个预设生成参数,执行将正常流量样本、异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,得到在该预设生成参数下安全防御模型的检测准确率;然后,根据每个预设生成参数和对应的检测准确率,建立以预设生成参数为变量的安全防御模型的检测准确率的拟合函数;最后,基于拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率之间的差值,设置预设要求。
在本实施例中,在调整和确定生成参数之前,还可以预先确定多个不同的预设生成参数,利用这些预设生成参数分别生成异常流量样本,并对安全防御模型进行训练,得到每个预设生成参数对应的检测准确率,从而可以确定生成参数和检测准确率之间的关系,即选取合适的表达式生成以预设生成参数为变量的安全防御模型的检测准确率的拟合函数,以便后续根据该拟合函数对生成参数进行逐步调整,快速准确地确定出最优生成参数。
其中,通过预设生成参数和对应检测准确率,建立以预设生成参数为变量的安全防御模型的检测准确率的拟合函数,可以是根据表达式:,建立该拟合函数;式中,/>表示安全防御模型的检测准确率,/>表示生成参数中的数据规模参数,/>表示生成参数中的数据离散度参数,/>表示常数,/>和/>表示对应的系数。
这里,由于得到的拟合函数与对应的真实函数之间是存在差异的,拟合函数中的系数不确定,仅通过生成的拟合函数无法确定最优生成参数。因此,可以以拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率之间的差值最小为目标函数,利用梯度下降法求解目标函数的最小值,并根据拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率,设置预设要求,进行后续安全防御模型得训练和优化,以确定最优生成参数和训练完成的安全防御模型。其中,建立目标函数的差值可以采用均方误差,均方误差越小,表明该拟合函数拟合得越好,例如,目标函数可以为,式中,/>表示目标函数,/>表示训练的安全防御模型的检测准确率,/>表示拟合函数确定的检测准确率估计值,/>表示/>和/>的期望值。
另外,利用梯度下降法求解目标函数的最小值时,预设要求可以是,根据检测准确率估计值和对应的安全防御模型的检测准确率确定的目标函数的导数值,位于预设范围。
可选的,本实施例中调整生成参数,可以包括:先基于生成参数,判断是否满足预设要求;若不满足预设要求,则根据梯度下降法和预设要求,调整拟合函数中的系数,根据调整后的系数确定拟合函数,并根据该拟合函数调整生成参数。
在本实施例中,可以确定生成参数对应的检测准确率估计值和生成参数对应的安全防御模型的检测准确率,再计算目标函数的导数值,当该导数值不位于预设范围内时,可以通过梯度下降法和预设要求,调整拟合函数中的系数,将其向梯度下降的方向进行调整,得到调整后的系数,从而可以得到拟合函数的新的表达式;再通过求解检测准确率最大时,该表达式对应的生成参数,得到调整后的生成参数。
这里,可以根据表达式:,调整拟合函数中的系数;式中,表示梯度下降法中第/>次的拟合函数的系数,/>表示梯度下降法中第/>次的拟合函数的系数,/>表示学习率,/>表示以拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率之间的差值最小建立的目标函数,/>表示目标函数对应的偏导数。另外,由于本实施例中设置的拟合函数中有两个系数,即/>和/>,因此,/>可以分别取为/>和/>,以分别确定拟合函数中的两个系数。
其中,采用随机梯度下降法进行求解,目标函数对应的偏导数的值,根据上一次迭代中确定的系数、生成参数和对应的训练的安全防御模型的检测准确率进行确定,即以上一次迭代中确定的生成参数和对应的检测准确率作为求解过程中选取的样本,以使拟合曲线逐步贴近安全防御模型的检测准确率对应的真实的曲线。
另外,预设要求也可以设置为梯度下降法求解目标函数的迭代次数达到最大迭代次数,将最后一次迭代对应的系数作为最终的系数,得到对应的最优生成参数。
示例性的,预先设置拟合函数中的系数预设值和预设生成参数,通过上述实施例中的方法得到训练后的安全防御模型的检测准确率;在第一次迭代中,以预设生成参数和对应的检测准确率作为第一样本,根据系数预设值、学习率和第一样本,调整拟合函数的系数,得到拟合函数的第一系数值;根据第一系数值,确定拟合函数对应的表达式,并调整生成参数,以得到训练后的安全防御模型的检测准确率,并判断是否满足预设要求;若不满足预设要求,则继续进行第二次迭代。
相应的,在第二次迭代中,以调整后的生成参数和对应的检测准确率作为第二样本,根据第一系数值、学习率和第二样本,调整拟合函数的系数,得到拟合函数的第二系数值,并调整生成参数,以得到训练后的安全防御模型的检测准确率,并判断是否满足预设要求;若不满足预设要求,则继续进行下一次迭代,直至满足预设要求,即计算出的目标函数的导数值位于预设范围内,拟合函数的系数收敛时,从而可以得到拟合函数的最优系数,使拟合函数和安全防御模型的检测准确率对应的真实的曲线相接近,进而就可以确定出最优生成参数,得到最终训练完成的安全防御模型。
在一个实施例中,在基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型之后,还可以包括:先获取待识别流量样本,并根据待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、最优生成参数和异常流量生成模型,得到第三异常流量样本;再利用第三异常流量样本,对待识别流量样本进行异常流量样本增强,并将异常流量样本增强后的待识别流量样本输入至训练完成的安全防御模型,得到待识别流量样本中的异常流量样本。
在本实施例中,在使用本发明提供的安全防御模型对待识别流量样本进行检测时,会先通过异常流量生成模型生成满足最优生成参数的第三异常流量样本,利用第三异常流量样本对待识别流量样本进行异常流量样本增强,再对异常流量样本增强后的待识别流量样本进行识别和检测,得到其中的异常流量样本,提高对待识别流量样本的检测准确率。
并且,再对待识别流量样本检测完成之后,还可以通过分析待识别流量样本,确定其中的真实的异常流量样本,以便确定安全防御模型对待识别流量样本的检测准确率,若该检测准确率低于预设准确率,说明该安全防御模型应用的环境中的待识别流量样本发生变化或者波动,此时可以继续对安全防御模型进行训练,以提高安全防御模型的检测准确率。
这里,在继续对安全防御模型进行训练时,可以将确定的真实的异常流量样本,加入到输入异常流量生成模型中的异常流量样本中,以使异常流量生成模型生成的异常流量样本也跟随待识别流量样本的变化而变化,进而提高安全防御模型的检测准确率。
可选的,异常流量生成模型为预设的对抗生成网络模型,预设的对抗生成网络模型包括生成器和判别器,生成器根据一时间段内的正常流量样本和异常流量样本,生成初始的异常流量样本,判别器为基于残差网络的判别器,基于残差网络的判别器对初始的异常流量样本进行判别,基于判别结果和生成参数,得到最终的异常流量样本。
在本实施例中,异常流量生成模型可以为对抗生成网络模型或者深度卷积对抗生成网络(Deep Convolutional Adversarial Generative Nets,DCGAN)模型。
以DCGAN模型为例进行说明,DCGAN模型由生成器G和判别器D构成,其中,生成器G和判别器D中采用全卷积神经网络模型,在全卷积神经网络中使用步长卷积代替确定性的空间池化函数(如最大池化),允许网络学习自己的空间下采样。全卷积神经网络中还包括全局平均池化,以提高模型的稳定性,防止生成器将所有样本压缩到一个点。
这里,由于在神经网络在反向传播过程中向后传播梯度时。随着网络深度的增加,梯度在传播过程中逐渐减小,导致无法有效调整先前网络层的权重。因此,随着网络深度的增加,训练错误也会增加,导致训练和测试阶段的性能恶化。基于此,判别器中利用卷积神经网络模型中的残差网络进行构建。在残差网络的残差块中输入被直接复制到输出,然后与一个卷积操作的结果相加,从而形成残差连接。这种设计使得网络在反向传播时能够更好地传递梯度,从而优化了深层网络的训练效果。
参见图3所示的异常流量生成模型的结构示意图,在DCGAN中,生成器G的输入为正常流量样本y和异常流量样本x,生成器G的输出为生成的初始的异常流量样本G(z),判别器D的作用为对生成的初始的异常流量样本G(z)进行判断,确定其是否为真实的异常流量样本。生成器G的目标是尽量使生成的异常流量样本G(z)被判别器D误认为是真实的异常流量样本,从而欺骗判别器D。生成器G的训练目标是最小化生成的异常流量样本G(z)与真实的异常流量样本x之间的差异。判别器D的目标是尽量将生成器G生成的异常流量样本G(z)和真实的异常流量样本x区分开来。
生成器G和判别器D之间存在一个博弈过程。由于生成器G希望不断更新,生成更加真实的异常流量样本,试图欺骗判别器D,而判别器D也不断更新,提升自己鉴别数据的能力,希望能够将生成器G生成的异常流量样本和真实的异常流量样本区分开来。这个过程可以通过最小二乘法等优化方法进行训练,以实现生成器G和判别器D之间的对抗性学习。
另外,在生成器G和判别器D训练完成后,判别器D还根据生成参数,对待输出的异常流量样本进行调整。其中,根据生成参数中的数据规模参数,调整待输出的异常流量样本的样本量;确定待输出的异常流量样本与输入生成器中的异常流量样本之间的离散化程度,根据生成参数中的数据离散度参数,筛选满足数据离散度参数的异常流量样本,得到最终的异常流量样本。
这里,确定待输出的异常流量样本与输入生成器G中真实的异常流量样本之间的离散化程度,可以是计算待输出的异常流量样本与输入生成器中的异常流量样本中每个样本之间的余弦相似性,若该余弦相似性小于数据离散度参数,则不输出该异常流量样本。
在一个实施例中,在获取待识别流量样本之后,还可以包括:先确定异常流量生成模型的运行状态;其中,运行状态包括跳过和工作;若异常流量生成模型的运行状态为跳过,则将待识别流量样本输入至安全防御模型,得到待识别流量样本中的异常流量样本;若异常流量生成模型的运行状态为工作,则执行根据待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、最优生成参数和异常流量生成模型,得到第三异常流量样本的步骤。
在本实施例中,可以对异常流量生成模型的运行状态进行调节,其中,运行状态为跳过,说明异常流量生成模型为关闭状态或者不运行的状态,待识别流量样本直接通过,并输入至网络安全保护系统的安全防御模型中进行检测识别;运行状态为工作,说明异常流量生成模型为打开状态或者正常使用的状态,异常流量生成模型可以构建生成最优生成参数对应的异常流量样本,并将其与待识别流量样本进行合并,再输入至网络安全保护系统的安全防御模型中进行检测识别。
另外,在运行状态为工作时,也可以先根据运行状态切换前检测得到的正常流量样本和异常流量样本对安全防御模型进行训练,得到最优生成参数和训练完成的安全防御模型,再通过异常流量生成模型生成最优生成参数对应的异常流量样本,将异常流量样本与待识别流量样本合并,并输入至网络安全保护系统的安全防御模型中进行检测识别。
这里,在存在大量业务流量数据的时段时,可以将运行状态设置为跳过,避免对业务流量数据的流通和对应的服务产生影响。在其他的业务流量数据较少的时段时,可以将运行状态切换为工作,对安全防御模型进行不断训练,减少异常流量样本波动的影响,提高安全防御模型的检测准确率。
在一个具体的实施例中,采用本申请提供的基于异常流量样本增强的检测方法进行检测,以及采用原始的业务流量样本对安全防御模型进行训练并检测,以验证本申请提供的方法的有效性,其中,安全防御模型采用决策树模型、随机森林模型、朴素贝叶斯模型和AdaBoost模型分别进行验证,相应的实验结果如下表1和表2所示:
表1 采用基于异常流量样本增强的检测方法的检测结果表
表2 采用原始的业务流量样本训练得到的安全防御模型的检测结果表
从上述表1和表2中可以看到,相比于采用原始的业务流量样本对安全防御模型进行训练的情况,采用本申请中提供的均衡化后的数据集在决策树模型上的部分指标略有下降,在朴素贝叶斯、随机森林和AdaBoost模型上均有提升,这是因为原始数据集中正常流量样本占比巨大,分类器倾向于对正常流量样本的学习,进而使得预测到的90%以上的数据都是正确分类的正常流量样本,数据集均衡化后,正常流量样本和异常流量样本比例相当,分类器学习正常流量样本和异常流量样本的能力大致相同,所以预测出的正确分类的数据中正常流量样本和异常流量样本具有相同的比例。表1和表2中的F1-Score可以看做安全防御模型检测的整体表现,使用本申请提供的方法得到的检测效果在该指标有了一个比较大的提升,验证了我们所提出的基于异常流量样本增强的检测方法的有效性,能够解决正常流量样本和异常流量样本分布不平衡的问题。
在上述表1和表2中,准确率表示正确预测的样本数与样本总数的比例,查准率表示正确预测的样本实例占预测样本实例总数的比例,召回率表示数据集中预测样本与总样本的比率,F1分数(F1-Score)准确率和召回率的加权平均值。准确率、查准率、召回率和F1-Score分别采用如下计算公式进行计算:
准确度=(TP+TN)/(TP+FP+FN+PN);
查准率=TP/(TP+FP);
召回率=TP/(TP+FN);
F1-Score=(2×精度×召回)/(精度+召回);
其中,TP为真阳性样本,表示正确分类的阳性类样本;TN为真阴性样本,表示准确分类的阴性类样本;FP为假阳性样本,表示错误地分类为阳性的阴性类样本;FN为假阴性样本,表示错误分类为阴性的阳性类样本。这里,阳性类样本表示异常流量样本,阴性类样本表示正常流量样本;真阳性样本即安全防御模型检测为异常流量样本的异常流量样本,真阴性样本即安全防御模型检测为正常流量样本的正常流量样本,假阳性样本为安全防御模型检测为异常流量样本的正常流量样本,假阴性样本为安全防御模型检测为正常流量样本的异常流量样本。
在一个具体的实施例中,以最大迭代次数为500次设置预设要求,对预设的安全防御模型进行训练,在训练过程中,目标函数也即损失函数不断减小,在训练的第8次迭代中,对应的目标函数值为2.6033,在训练的第317次迭代中,对应的目标函数值为0.813,目标函数值明显下降。
参见图4所示的安全防御模型对应的目标函数值的变化图,其中示出了本实施例的安全防御模型在训练过程中的近500次迭代中目标函数值的变化情况。目标函数的值在训练开始时迅速下降,在大约400次训练后稳定在0.8-0.9之间,在500次时完成训练,得到最优生成参数和对应的训练完成的安全防御模型。这里,图4中横坐标表示安全防御模型训练过程中的迭代次数,纵坐标表示目标函数值。
本发明实施例通过将预设生成参数输入至预设的异常流量生成模型,可以得到异常流量生成模型输出的预设生成参数对应的第一异常流量样本,再通过第一异常流量样本和业务流量样本进行异常流量样本增强,从而对安全防御模型进行训练,得到训练完成的安全防御模型,可以增加训练安全防御模型的训练集中的异常流量样本,提高安全防御模型的检测能力和检测的准确率;通过调整生成参数,将调整后的生成参数作为预设生成参数,继续对安全防御模型进行训练,可以确定最优生成参数和训练完成的安全防御模型,以便根据最优生成参数生成最适用于安全防御模型的异常流量样本,进一步提高安全防御模型的检测能力和检测的准确率;同时,通过对预设的安全防御模型进行训练,能够快速准确地得到最优生成参数,从而快速准确地完成对安全防御模型的训练,提高模型训练的效率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以下为本发明的系统实施例,对于其中未详尽描述的细节,可以参考上述对应的方法实施例。
图5示出了本发明实施例提供的基于异常流量样本增强的检测系统的结构示意图,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:
如图5所示,基于异常流量样本增强的检测系统50包括:
获取模块51,用于获取第一预设时间段内的正常流量样本和异常流量样本;样本为数据样本;
生成模块52,用于将正常流量样本、异常流量样本和预设生成参数输入至预设的异常流量生成模型,得到异常流量生成模型输出的第一异常流量样本;其中,预设生成参数用于确定异常流量生成模型输出异常流量样本的规模和离散度;
训练模块53,用于根据第一异常流量样本,对第二预设时间段内的业务流量样本进行异常流量样本增强;以及基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型;其中,训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。
在一种可能的实现方式中,训练模块53具体用于:
将异常流量样本增强后的业务流量样本输入至安全防御模型,得到安全防御模型输出的第二异常流量样本;
基于第二异常流量样本,以及异常流量样本增强后的业务流量样本对应的异常流量样本,确定安全防御模型的检测准确率;
调整生成参数,并将调整后的生成参数作为预设生成参数,重新执行将正常流量样本、异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,直至满足预设要求,得到最优生成参数和训练完成的安全防御模型;其中,预设要求根据检测准确率设置。
在一种可能的实现方式中,基于异常流量样本增强的检测系统50还包括检测模块,检测模块用于:
获取待识别流量样本,并根据待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、最优生成参数和异常流量生成模型,得到第三异常流量样本;
利用第三异常流量样本,对待识别流量样本进行异常流量样本增强,并将异常流量样本增强后的待识别流量样本输入至训练完成的安全防御模型,得到待识别流量样本中的异常流量样本。
在一种可能的实现方式中,训练模块53还用于:
获取多个不同的预设生成参数,以及第四预设时间段内的正常流量样本和异常流量样本;
对于每个预设生成参数,执行将正常流量样本、异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,得到在该预设生成参数下安全防御模型的检测准确率;
根据每个预设生成参数和对应的检测准确率,建立以预设生成参数为变量的安全防御模型的检测准确率的拟合函数;
基于拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率之间的差值,设置预设要求。
在一种可能的实现方式中,训练模块53具体用于:
基于生成参数,判断是否满足预设要求;
若不满足预设要求,则根据梯度下降法和预设要求,调整所述拟合函数中的系数,根据调整后的系数确定拟合函数,并根据该拟合函数调整生成参数。
在一种可能的实现方式中,异常流量生成模型为预设的对抗生成网络模型,预设的对抗生成网络模型包括生成器和判别器,生成器根据一时间段内的正常流量样本和异常流量样本,生成初始的异常流量样本,判别器为基于残差网络的判别器,基于残差网络的判别器对初始的异常流量样本进行判别,基于判别结果和生成参数,得到最终的异常流量样本。
在一种可能的实现方式中,基于异常流量样本增强的检测系统50还包括设置模块,设置模块用于:
确定异常流量生成模型的运行状态;其中,运行状态包括跳过和工作;
若异常流量生成模型的运行状态为跳过,则将待识别流量样本输入至安全防御模型,得到待识别流量样本中的异常流量样本;
若异常流量生成模型的运行状态为工作,则执行根据待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、最优生成参数和异常流量生成模型,得到第三异常流量样本的步骤。
图6是本发明实施例提供的电子设备的示意图。如图6所示,该实施例的电子设备60包括:处理器61、存储器62以及存储在存储器62中并可在处理器61上运行的计算机程序63。处理器61执行计算机程序63时实现上述各个基于异常流量样本增强的检测方法实施例中的步骤,例如图1所示的步骤S101至步骤S104。或者,处理器61执行计算机程序63时实现上述各系统实施例中各模块的功能,例如图5所示模块51至53的功能。
示例性的,计算机程序63可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器62中,并由处理器61执行,以完成本发明。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序63在电子设备60中的执行过程。例如,计算机程序63可以被分割成图5所示的模块51至53。
电子设备60可包括,但不仅限于,处理器61、存储器62。本领域技术人员可以理解,图6仅仅是电子设备60的示例,并不构成对电子设备60的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如电子设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器61可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器 (Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器62可以是电子设备60的内部存储单元,例如电子设备60的硬盘或内存。存储器62也可以是电子设备60的外部存储设备,例如电子设备60上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器62还可以既包括电子设备60的内部存储单元也包括外部存储设备。存储器62用于存储计算机程序以及电子设备所需的其他程序和数据。存储器62还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将系统的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的系统/电子设备和方法,可以通过其它的方式实现。例如,以上所描述的系统/电子设备实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,系统或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电载波信号、电信信号以及软件分发介质等。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于异常流量样本增强的检测方法,其特征在于,包括:
获取第一预设时间段内的正常流量样本和异常流量样本;所述样本为数据样本;
将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型,得到所述异常流量生成模型输出的第一异常流量样本;其中,所述预设生成参数用于确定所述异常流量生成模型输出异常流量样本的规模和离散度;
根据所述第一异常流量样本,对第二预设时间段内的业务流量样本进行异常流量样本增强;
基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型;其中,训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。
2.根据权利要求1所述的基于异常流量样本增强的检测方法,其特征在于,所述基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型,包括:
将异常流量样本增强后的业务流量样本输入至安全防御模型,得到所述安全防御模型输出的第二异常流量样本;
基于所述第二异常流量样本,以及异常流量样本增强后的业务流量样本对应的异常流量样本,确定所述安全防御模型的检测准确率;
调整生成参数,并将调整后的生成参数作为所述预设生成参数,重新执行所述将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,直至满足预设要求,得到最优生成参数和训练完成的安全防御模型;其中,所述预设要求根据所述检测准确率设置。
3.根据权利要求2所述的基于异常流量样本增强的检测方法,其特征在于,在所述基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型之后,还包括:
获取待识别流量样本,并根据所述待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、所述最优生成参数和所述异常流量生成模型,得到第三异常流量样本;
利用第三异常流量样本,对所述待识别流量样本进行异常流量样本增强,并将异常流量样本增强后的待识别流量样本输入至所述训练完成的安全防御模型,得到所述待识别流量样本中的异常流量样本。
4.根据权利要求2所述的基于异常流量样本增强的检测方法,其特征在于,所述方法还包括:
获取多个不同的预设生成参数,以及第四预设时间段内的正常流量样本和异常流量样本;
对于每个预设生成参数,执行所述将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤,得到在该预设生成参数下所述安全防御模型的检测准确率;
根据每个预设生成参数和对应的检测准确率,建立以预设生成参数为变量的所述安全防御模型的检测准确率的拟合函数;
基于所述拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率之间的差值,设置所述预设要求。
5.根据权利要求4所述的基于异常流量样本增强的检测方法,其特征在于,所述调整生成参数,包括:
基于生成参数,判断是否满足所述预设要求;
若不满足所述预设要求,则根据梯度下降法和所述预设要求,调整所述拟合函数中的系数,根据调整后的系数确定拟合函数,并根据该拟合函数调整生成参数。
6.根据权利要求1-5中任一项所述的基于异常流量样本增强的检测方法,其特征在于,所述异常流量生成模型为预设的对抗生成网络模型,所述预设的对抗生成网络模型包括生成器和判别器,所述生成器根据一时间段内的正常流量样本和异常流量样本,生成初始的异常流量样本,所述判别器为基于残差网络的判别器,基于残差网络的判别器对初始的异常流量样本进行判别,基于判别结果和生成参数,得到最终的异常流量样本。
7.根据权利要求3所述的基于异常流量样本增强的检测方法,其特征在于,在获取待识别流量样本之后,还包括:
确定所述异常流量生成模型的运行状态;其中,所述运行状态包括跳过和工作;
若所述异常流量生成模型的运行状态为跳过,则将所述待识别流量样本输入至所述安全防御模型,得到所述待识别流量样本中的异常流量样本;
若所述异常流量生成模型的运行状态为工作,则执行所述根据所述待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、所述最优生成参数和所述异常流量生成模型,得到第三异常流量样本的步骤。
8.一种基于异常流量样本增强的检测系统,其特征在于,包括:
获取模块,用于获取第一预设时间段内的正常流量样本和异常流量样本;所述样本为数据样本;
生成模块,用于将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型,得到所述异常流量生成模型输出的第一异常流量样本;其中,所述预设生成参数用于确定所述异常流量生成模型输出异常流量样本的规模和离散度;
训练模块,用于根据所述第一异常流量样本,对第二预设时间段内的业务流量样本进行异常流量样本增强;以及基于异常流量样本增强后的业务流量样本,训练安全防御模型,得到训练完成的安全防御模型;其中,训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。
9.一种电子设备,包括存储器和处理器,所述存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上的权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如上的权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410431040.5A CN118054972A (zh) | 2024-04-11 | 2024-04-11 | 基于异常流量样本增强的检测方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410431040.5A CN118054972A (zh) | 2024-04-11 | 2024-04-11 | 基于异常流量样本增强的检测方法、系统、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118054972A true CN118054972A (zh) | 2024-05-17 |
Family
ID=91052111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410431040.5A Pending CN118054972A (zh) | 2024-04-11 | 2024-04-11 | 基于异常流量样本增强的检测方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118054972A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021114231A1 (zh) * | 2019-12-11 | 2021-06-17 | 中国科学院深圳先进技术研究院 | 网络流量异常检测模型的训练方法及检测方法 |
| CN115935186A (zh) * | 2022-12-07 | 2023-04-07 | 上海工程技术大学 | 一种基于增强生成模型的工序异常检测方法 |
| CN116015932A (zh) * | 2022-12-30 | 2023-04-25 | 湖南大学 | 入侵检测网络模型生成方法以及数据流量入侵检测方法 |
| CN116318928A (zh) * | 2023-02-28 | 2023-06-23 | 山东省计算中心(国家超级计算济南中心) | 一种基于数据增强和特征融合的恶意流量识别方法及系统 |
| WO2023123941A1 (zh) * | 2021-12-31 | 2023-07-06 | 深圳前海微众银行股份有限公司 | 一种数据异常检测方法及装置 |
| CN117118718A (zh) * | 2023-08-31 | 2023-11-24 | 武汉大学 | 一种基于多生成器gan数据增强的入侵检测方法及系统 |
-
2024
- 2024-04-11 CN CN202410431040.5A patent/CN118054972A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021114231A1 (zh) * | 2019-12-11 | 2021-06-17 | 中国科学院深圳先进技术研究院 | 网络流量异常检测模型的训练方法及检测方法 |
| WO2023123941A1 (zh) * | 2021-12-31 | 2023-07-06 | 深圳前海微众银行股份有限公司 | 一种数据异常检测方法及装置 |
| CN115935186A (zh) * | 2022-12-07 | 2023-04-07 | 上海工程技术大学 | 一种基于增强生成模型的工序异常检测方法 |
| CN116015932A (zh) * | 2022-12-30 | 2023-04-25 | 湖南大学 | 入侵检测网络模型生成方法以及数据流量入侵检测方法 |
| CN116318928A (zh) * | 2023-02-28 | 2023-06-23 | 山东省计算中心(国家超级计算济南中心) | 一种基于数据增强和特征融合的恶意流量识别方法及系统 |
| CN117118718A (zh) * | 2023-08-31 | 2023-11-24 | 武汉大学 | 一种基于多生成器gan数据增强的入侵检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112765560B (zh) | 设备健康状态评估方法、装置、终端设备和存储介质 | |
| CN109389181B (zh) | 电网异常事件的关联规则生成方法及装置 | |
| CN112508243B (zh) | 电力信息系统多故障预测网络模型的训练方法及装置 | |
| CN108881283B (zh) | 评估网络攻击的模型训练方法、装置及储存介质 | |
| CN111062036A (zh) | 恶意软件识别模型构建、识别方法及介质和设备 | |
| CN116996272A (zh) | 一种基于改进的麻雀搜索算法的网络安全态势预测方法 | |
| CN111753987A (zh) | 机器学习模型的生成方法和装置 | |
| CN115129607A (zh) | 电网安全分析机器学习模型测试方法、装置、设备及介质 | |
| CN112039864A (zh) | 一种电力cps跨层安全风险分析的方法 | |
| CN110008987B (zh) | 分类器鲁棒性的测试方法、装置、终端及存储介质 | |
| Xu et al. | Removal of salt and pepper noise in corrupted image based on multilevel weighted graphs and IGOWA operator | |
| CN116545764B (zh) | 一种工业互联网的异常数据检测方法、系统和设备 | |
| CN117522586A (zh) | 金融异常行为检测方法及装置 | |
| CN118054972A (zh) | 基于异常流量样本增强的检测方法、系统、设备及介质 | |
| CN116484923A (zh) | 基于区块链和数据增强的联邦学习训练方法及系统 | |
| CN115580426A (zh) | 5g电力业务系统威胁检测方法、系统、存储器及设备 | |
| CN109756494B (zh) | 一种负样本变换方法及装置 | |
| CN114726622A (zh) | 针对电力系统数据驱动算法的后门攻击影响评估方法及其系统 | |
| CN114372495A (zh) | 基于深度空间残差学习的电能质量扰动分类方法及系统 | |
| CN114139601A (zh) | 一种对电力巡检场景人工智能算法模型的评估方法及系统 | |
| CN112529303A (zh) | 基于模糊决策的风险预测方法、装置、设备和存储介质 | |
| CN117234085B (zh) | 一种开放式数控系统安全可信策略融合优化方法 | |
| CN111817908B (zh) | 基于强化学习的节点渗透测试方法、设备和存储介质 | |
| CN112883988B (zh) | 基于多数据集的特征提取网络的训练及特征提取方法 | |
| CN111177713B (zh) | 一种基于XGBoost的硬件木马检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |