WO2021114231A1 - 网络流量异常检测模型的训练方法及检测方法 - Google Patents

Abstract

本发明公开了一种网络流量异常检测模型的训练方法即检测方法，所述网络流量异常检测模型包括特征提取网络和分类网络，所述训练方法包括：根据训练样本确定隐藏层的层数和每层隐藏层中的神经元个数；根据所述隐藏层的层数和每层隐藏层中的神经元个数构建初始的特征提取网络；利用训练样本对所述初始特征提取网络进行训练，得到训练完成的特征提取网络；利用训练完成的特征提取网络提取训练样本的抽象特征数据，并利用所述抽象特征数据训练分类网络，以完成网络流量检测模型的训练。本申请的网络结构可适应网络流量数据，避免检测模型的结构过于复杂和过于简单，从而降低了泛化误差，能明显减少检测时间和提高检测准确率。

Description

网络流量异常检测模型的训练方法及检测方法 技术领域

本发明属于信息技术领域，具体地讲，涉及网络流量异常检测模型的训练方法及检测方法、计算机可读存储介质、计算机设备。

背景技术

随着互联网的快速发展和网络规模的不断扩大，互联网已经成为人类生产生活不可缺少的一部分。但是同时，人们在享受网络便利的过程中不可避免地遭受网络异常的危害。目前普遍存在的多种网络异常可以通过网络流量的异常表现出来，异常网络流量能较全面地反映出现在网络的实时状况，比如网络扫描，DDoS攻击，网络蠕虫病毒等，及时去发现网络中的异常流量变化对于网络数据中心的异常定位，采取后续相应的补救措施有重要的意义。

网络流量异常检测已经作为一种有效的网络防护手段，能检测未知的网络攻击行为，为网络态势感知提供重要支持，近年来受到研究者越来越多的关注。针对网络流量异常检测方法大致有基于表征行为匹配的检测方法，基于统计的异常检测方法，基于机器学习异常检测方法，基于数据挖掘的异常检测方法，基于传统深度学习的异常检测方法。

深度学习技术在网络流量异常检测方面有着突出优势。深度学习模型能够从原始数据作为输入并且能从所学特征更好地刻画出数据的丰富信息，提高分类性能。在不同领域内深度学习都能容易地适应不同的领域和应用，在网络多特征的海量信息面前，深度学习不需要现在数据集上执行探索性的数据分析，特征降维等特征工程。

传统机器学习应用到模型的异常检测上面来的话存在一个经验先验的问题，特别对于数据量大而且实时性比较强的网络流量数据来看，参数选择不恰当或者选择的数据质量差，会对模型的检测效果造成比较大的影响。例如选择的神经网络模型的层数较多，这时在训练过程中可能会出现收敛慢的情况，如果选择的神经网络模型的层数较少，这时在训练过程中可能不能准确地调整网络参数，不容易得到一个准确率较高的检测模型。

发明内容

(一)本发明所要解决的技术问题

本发明解决的技术问题是：如何使得神经网络模型的结构与网络流量数据特征相适应，以提高模型检测的准确率。

(二)本发明所采用的技术方案

一种网络流量异常检测模型的训练方法，所述网络流量异常检测模型包括特征提取网络和分类网络，所述训练方法包括：

根据训练样本确定隐藏层的层数和每层隐藏层中的神经元个数；

根据所述隐藏层的层数和每层隐藏层中的神经元个数构建初始的特征提取网络；

利用训练样本对所述初始特征提取网络进行训练，得到训练完成的特征提取网络；

利用训练完成的特征提取网络提取训练样本的抽象特征数据，并利用所述抽象特征数据训练分类网络，以完成网络流量检测模型的训练。

可选择地，在得到所述训练完成的特征提取网络之后，所述训练方法还包括：

去除所述训练完成的特征提取网络中的分类层，得到优化的特征提取网络；

利用优化的特征提取网络提取训练样本的高级抽象特征数据，并利用高级抽象特征数据训练分类网络。

可选择地，根据训练样本确定隐藏层的层数的方法为：根据如下公式来计算隐藏层的层数，

其中，l表示隐藏层的层数，n表示训练样本的数据特征维度，

表示向上取整。

可选择地，根据训练样本确定每层隐藏层中的神经元个数的方法为：根据如下公式来计算神经元个数，

e _i表示隐藏层的第i层的神经元个数，n表示训练样本的数据特征维度，

表示向上取整，θ为特征影响参数，0＜θ＜1，1＜i＜l。

可选择地，根据训练样本确定每层隐藏层中的神经元个数的方法还包括：确定隐藏层的第一层的神经元个数为e ₁＝n，确定隐藏层的最后一层的神经元个数为

可选择地，所述训练方法包括：

对原始网络流量数据进行规范化处理和清洗处理，以获得训练样本。

本发明还公开了一种网络流量异常检测模型的检测方法，所述检测方法包括：

将原始网络流量数据输入到由上述的训练方法训练得到的网络流量异常检测模型中；

所述网络流量异常检测模型输出原始网络流量数据的类型；

根据原始网络流量数据的类型判断网络流程是否异常。

本发明还公开了一种计算机可读存储介质，所述计算机可读存储介质存储有网络流量异常检测模型的训练程序，所述网络流量异常检测模型的训练程序被处理器执行时实现上述的网络流量异常检测模型的训练方法。

本发明还公开了一种计算机设备，所述计算机设备包括计算机可读存储介质、处理器和存储在所述计算机可读存储介质中的网络流量异常检测模型的训练程序，所述网络流量异常检测模型的训练程序被处理器执行时实现上述的网络流量异常检测模型的训练方法。

(三)有益效果

本发明公开了一种网络流量异常检测模型的训练方法及检测方法，通过在构建模型之前先确定神经网络的隐藏层层数和每一层的神经元个数，使得网络结构可适应网络流量数据，避免检测模型的结构过于复杂和过于简单，从而降低了泛化误差，能明显减少检测时间和提高检测准确率。

附图说明

图1为本发明的实施例的网络流量异常检测模型的训练方法的流程图；

图2为本发明的实施例的训练完成的特征提取网络的结构示意图；

图3为本发明的实施例的网络流量异常检测模型的检测方法的流程图；

图4A为本发明的实施例的不同模型在NSLKDD数据集测试的实验结果图；

图4B为本发明的实施例的在使用优化的特征提取网络前后各个分类器的检测结果；

图4C为本发明的实施例的在使用优化的特征提取网络后各个分类器的时间节省百分比；

图5A为利用现有检测模型进行数据分类的PCA可视化视图；

图5B为利用本发明的检测模型进行数据分类的PCA可视化视图；

图6为本发明的实施例的计算机设备的原理框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

为了及时发现网络中的异常流量变化对于网络数据中心的异常定位，以便后续采取相应的补救。本申请提出一种网络流量异常检测模型的训练方法和检测方法，该检测模型是基于特征适应神经网络而建立的。该方法能够根据多维度特征的网络流量确定神经网络隐藏层的层数以及每层神经元的个数，从而建立相对应的深度学习网络异常检测模型并进行预训练。接着利用迁移学习的思想从训练好的高层网络层中取出包含新的特征数据，结合浅层学习的传统机器学习分类器进行网络异常流量检测，能在一定程度上减少检测时间并且加快分类器的收敛速度，可提高检测的准确率。

具体来说，本申请公开的网络流量异常检测模型的训练方法主要包括特征提取网络的训练和分类网络的训练。如图1所示，网络流量异常检测模型的训练方法包括如下步骤：

步骤S10：根据训练样本确定隐藏层的层数和每层隐藏层中的神经元个数。

在进行步骤S10之前，需要对原始网络流量数据进行规范化处理和清洗处理，以获得训练样本。从原始网络流量数据中分别读取训练数据集和测试数据 集，对网络流量进行规范化的处理，清理丢失或错误的数据或删除掉无关的数据等，保留下来有意义的原始特征，其中训练数据集和测试数据集构成训练样本。

现有技术中一般直接采用训练样本对相应的神经网络进行训练，然而往往会存在神经网络的结构与训练样本的数据特征不相适应的情况，这样会使得训练完成的神经网络不能有效地检测网络异常情况。为此本申请在构建特征提取网络之前先确定好隐藏层的层数和神经元个数。

作为优选实施例，训练样本为T＝{(x ₁，y ₁)，(x ₂，y ₂)，(x ₃，y ₃)，...，(x _n，y _n)}，其中x _n是流量的特征向量且x _n＝[x ¹，x ²，x ³，...，x ⁿ] ^T，x ⁿ表示流量数据特征，y _n表示x ⁿ的类别标签y ⁿ∈{0，1，2，...，n}，即(x _n，y _n)分别表示网络流量的对应的网络事件类别，其中n表示训练样本的数据特征维度，隐藏层层数的计算公式为：

其中，l表示隐藏层的层数，n表示训练样本的数据特征维度，

表示向上取整。这样可根据训练样本的数据特征维度确定隐藏层层数，为后续构建特征提取网络提供依据。

计算出隐藏层层数之后，进一步确定每层隐藏层包含的神经元个数，神经元个数的计算公式为：

e _i表示隐藏层的第i层的神经元个数，n表示训练样本的数据特征维度，

表示向上取整，θ为特征影响参数，0＜θ＜1，1＜i＜l。特征影响参数θ能对模型起到一定的调整作用，该值能由实验中多次选择得到取最优值或者专家经验给出。添加θ的目的是把每一层的神经元个数都叠加

有选择性地让每个隐藏层的传播都保留高维特征n的一部分，从而让网络流量异常检测模型在训练时候能去适应数据的维度，从而对数据的特征有更好的表述能力。

进一步地，当i＝1时，即第一层的神经元个数为e ₁＝n；当i＝l时，即隐藏层的最后一层的神经元个数为

这样可根据训练样本的数据特征维度确定每层隐藏层的神经元个数，为后续构建特征提取网络提供依据。

步骤S20：根据所述隐藏层的层数和每层隐藏层中的神经元个数构建初始的特征提取网络。

根据步骤S10中计算得到的隐藏层的层数l和每层隐藏层的神经元的个数e _i构建初始特征提取网络，即构建的初始特征提取网络的结构特征与训练样本的维度特征相适应。初始特征提取网络可表示为xW+b，其中W和b均表示参数变量。

步骤S30：利用训练样本对所述初始的特征提取网络进行训练，得到训练完成的特征提取网络。

利用训练集T＝{(x ₁，y ₁)，(x ₂，y ₂)，(x ₃，y ₃)，...，(x _n，y _n)}对初始特征提取网络进行训练得到。其中训练过程为现有技术，在此不进行详细描述。作为优选实施例，对训练过程中常用参数进行简单描述，用z ^l表示第l层神经元的输入，a ^l-1是l层上一层的神经元输出，σ是初始化设定的激活函数。模型训练时前向传播计算得到z ^l＝W ^la ^l-1+b ^l。计算输出层产生的误差

σ′是激活函数的求导，⊙是Hadamard乘积，

反向传播错误δ ^l＝((W ^l-1)δ ^l-1)⊙σ′(z ^l)。最后使用梯度下降训练参数：W ^l→W ^l-∑ _xδ ^x(a ^x)，b ^l→b ^l-∑ _xδ ^x得到最优的权值W和阈值b。

步骤S40：利用训练完成的特征提取网络提取训练样本的抽象特征数据，并利用所述抽象特征数据训练分类网络，以完成网络流量检测模型的训练。

如图2所示，训练完成的特征提取网络包括依序连接的输入层21、若干隐藏层22和分类层23。作为其中一个实施例，训练完成的特征提取网络通过其若干隐藏层22的特征提取传递操作后会生成一些新的抽象特征后，可利用自身的分类层23进行分类，从而进行网络异常类型的预分类，接着再利用分类网络进一步分类，但是这种方法不能较好地拟合该特征空间下的非线性特征，即会损失部分特征，造成后续检测结果不准确。作为优选实施例，本申请中将训练完成的特征提取网络中的分类层23去掉得到优化的特征提取网络，利用优化的特征提取网络提取训练样本的高级抽象特征数据，并利用高级抽象特征数据训练分类网络，即利用若干隐藏层22提取的抽象数据特征直接训练分类网络。其中分类网络为机器学习领域中常见的分类器，利用分类器去处理这些高级抽象特征能较好地进行分类。

如图3所示，本发明还公开了一种网络流量异常检测模型的检测方法，检测方法包括：步骤S100：将原始的网络流量数据输入到上述训练方法得到的网 络流量异常检测模型中；步骤S200：所述网络流量异常检测模型输出原始网络流量数据的类型；步骤S300：根据原始网络流量数据的类型判断网络流程是否异常。

为了证明本申请的网络流量异常检测模型的检测准确率相对于现有的检测模型具有较好的结果，在常见的数据集上进行了对比实验。如图4A、图4B和图4C所示，检测的数据集采用NSLKDD数据集，作为其中第一个对比例，选用常见的支持向量机模型SVM，本申请的网络流量异常检测模型为DAFL SVM，其中本申请的分类网络采用SVM，DAFL表示本申请的特征提取网络，其中特征影响参数θ＝0.8。具体的评价指标包括Accuracy、Precision、Recall、F ₁-score和Times，根据实验结果可知，采用本申请的网络流量异常检测模型相对于传统的支持向量机模型SVM的各个指标均有提升，且检测时间大幅度缩短，即检测速度大幅度提升。

类似地，第二个对比例采用K近邻分类网络(K-Nearest Neighbors，简称KNN)，本申请的网络流量异常检测模型为DAFL KNN，其中本申请的分类网络采用KNN，DAFL表示本申请的特征提取网络，其中特征影响参数θ＝0.8。具体的评价指标包括Accuracy、Precision、Recall、F ₁-score和Times，根据实验结果可知，采用本申请的网络流量异常检测模型相对于传统的K近邻分类网络，各个指标均有提升，且检测时间大幅度缩短，即检测速度大幅度提升。

类似地，第三个对比例采用传统的逻辑回归分类器(Logistic Regression，简称LR)，本申请的网络流量异常检测模型为DAFL LR，其中本申请的分类网络采用KNN，DAFL表示本申请的特征提取网络，其中特征影响参数θ＝0.8，根据实验结果可知，采用本申请的网络流量异常检测模型相对于传统的LR分类器，各个指标均有提升，且检测时间大幅度缩短，即检测速度大幅度提升。

类似地，第四个对比例采用决策树分类模型(Decision Tree，简称DT)，本申请的网络流量异常检测模型为DAFL DT，其中本申请的分类网络采用DT，DAFL表示本申请的特征提取网络，其中特征影响参数θ＝0.8，根据实验结果可知，采用本申请的网络流量异常检测模型相对于传统的DT分类模型，各个指标均有提升，且检测时间大幅度缩短，即检测速度大幅度提升。

进一步地，第五个对比例采用朴素贝叶斯分类网络(Naive Bayes，简称NB)，本申请的网络流量异常检测模型为DAFL NB，其中本申请的分类网络 采用NB，DAFL表示本申请的特征提取网络，其中特征影响参数θ＝0.8，根据实验结果可知，采用本申请的网络流量异常检测模型相对于传统的DT分类模型，各个指标均有提升，且检测时间大幅度缩短，即检测速度大幅度提升。

在进行正常数据和异常数据分类情形下，根据图5A和图5B所示的PCA可视化分析可知，其中，深色区域表示异常数据，浅色区域表示正常数据，根据图5A可知，采用传统的机器学习分类器并不能有效地进行正常和异常数据的分类，得到的数据集是混乱无序的，然而采用本申请的检测模型去分类，根据图5B所示，能有效地将数据集中正常和异常的数据点进行分类。

综上各个对比实验结果可知，本申请的网络流量异常检测模型相对比于常见的分类模型具有更高的准确率和更低的误报率，同时根据各个对比例可知，本申请的特征提取网络与不同类型的分类网络均能进行有效地适配，也体现了检测模型的鲁棒性和可扩展性。本申请的在构建模型之前先确定神经网络的隐藏层层数和每一层的神经元个数，使得网络结构可适应网络流量数据，避免检测模型的结构过于复杂和过于简单，从而降低了泛化误差，能明显减少检测时间和提高检测准确率。同时本申请基于迁移学习的思想，首先训练一个完整的特征提取网络，接着讲该特征提取网络的分类层除掉，让原始数据通过剩余的特征提取网络产生新的抽象特征，并让最后的分类网络进行学习。这样的目的能让新产生的数据趋于有序，能让传统机器学习分类器快速收敛达到最好的分类效果，并且能提高准确率和减少检测时间。

本申请还公开了一种计算机可读存储介质，所述计算机可读存储介质存储有网络流量异常检测模型的训练程序，所述网络流量异常检测模型的训练程序被处理器执行时实现上述的网络流量异常检测模型的训练方法。

本申请还公开了一种计算机设备，在硬件层面，如图6所示，该终端包括处理器12、内部总线13、网络接口14、计算机可读存储介质11。处理器12从计算机可读存储介质中读取对应的计算机程序然后运行，在逻辑层面上形成请求处理装置。当然，除了软件实现方式之外，本说明书一个或多个实施例并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。所述计算机可读存储介质11上存储有网络流量异常检测模型的训练程序，所述网络流量异常检测模型的训练程序被处理器执行时实现上述的网络流量异 常检测模型的训练方法。

计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机可读存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

上面对本发明的具体实施方式进行了详细描述，虽然已表示和描述了一些实施例，但本领域技术人员应该理解，在不脱离由权利要求及其等同物限定其范围的本发明的原理和精神的情况下，可以对这些实施例进行修改和完善，这些修改和完善也应在本发明的保护范围内。

Claims (18)

1. 一种网络流量异常检测模型的训练方法，其中，所述网络流量异常检测模型包括特征提取网络和分类网络，所述训练方法包括：

   根据训练样本确定隐藏层的层数和每层隐藏层中的神经元个数；

   根据所述隐藏层的层数和每层隐藏层中的神经元个数构建初始的特征提取网络；

   利用训练样本对所述初始特征提取网络进行训练，得到训练完成的特征提取网络；

   利用训练完成的特征提取网络提取训练样本的抽象特征数据，并利用所述抽象特征数据训练分类网络，以完成网络流量检测模型的训练。
2. 根据权利要求1所述的网络流量异常检测模型的训练方法，其中，在得到所述训练完成的特征提取网络之后，所述训练方法还包括：

   去除所述训练完成的特征提取网络中的分类层，得到优化的特征提取网络；

   利用优化的特征提取网络提取训练样本的高级抽象特征数据，并利用高级抽象特征数据训练分类网络。
3. 根据权利要求1所述的网络流量异常检测模型的训练方法，其中，根据训练样本确定隐藏层的层数的方法为：根据如下公式来计算隐藏层的层数，

   

   其中，l表示隐藏层的层数，n表示训练样本的数据特征维度，

   

   表示向上取整。
4. 根据权利要求1所述的网络流量异常检测模型的训练方法，其中，根据训练样本确定每层隐藏层中的神经元个数的方法为：根据如下公式来计算神经元个数，

   

   e _i表示隐藏层的第i层的神经元个数，n表示训练样本的数据特征维度，

   

   表示向上取整，θ为特征影响参数，0＜θ＜1，1＜i＜l。
5. 根据权利要求4所述的网络流量异常检测模型的训练方法，其中，根据训练样本确定每层隐藏层中的神经元个数的方法还包括：确定隐藏层的第一 层的神经元个数为e ₁＝n，确定隐藏层的最后一层的神经元个数为

   
6. 根据权利要求4所述的网络流量异常检测模型的训练方法，其中，所述训练方法包括：

   对原始网络流量数据进行规范化处理和清洗处理，以获得训练样本。
7. 一种网络流量异常检测模型的检测方法，其中，所述检测方法包括：

   将原始网络流量数据输入到由权利要求1所述的训练方法训练得到的网络流量异常检测模型中；

   所述网络流量异常检测模型输出原始网络流量数据的类型；

   根据原始网络流量数据的类型判断网络流程是否异常。
8. 根据权利要求7所述的网络流量异常检测模型的检测方法，其中，在得到所述训练完成的特征提取网络之后，所述网络流量异常检测模型的训练方法还包括：

   去除所述训练完成的特征提取网络中的分类层，得到优化的特征提取网络；

   利用优化的特征提取网络提取训练样本的高级抽象特征数据，并利用高级抽象特征数据训练分类网络。
9. 根据权利要求7所述的网络流量异常检测模型的检测方法，其中，根据训练样本确定隐藏层的层数的方法为：根据如下公式来计算隐藏层的层数，

   

   其中，l表示隐藏层的层数，n表示训练样本的数据特征维度，

   

   表示向上取整。
10. 根据权利要求7所述的网络流量异常检测模型的检测方法，其中，根据训练样本确定每层隐藏层中的神经元个数的方法为：根据如下公式来计算神经元个数，

    

    e _i表示隐藏层的第i层的神经元个数，n表示训练样本的数据特征维度，

    

    表示向上取整，θ为特征影响参数，0＜θ＜1，1＜i＜l。
11. 根据权利要求10所述的网络流量异常检测模型的检测方法，其中， 根据训练样本确定每层隐藏层中的神经元个数的方法还包括：确定隐藏层的第一层的神经元个数为e ₁＝n，确定隐藏层的最后一层的神经元个数为

    
12. 根据权利要求10所述的网络流量异常检测模型的检测方法，其中，所述网络流量异常检测模型的训练方法包括：

    对原始网络流量数据进行规范化处理和清洗处理，以获得训练样本。
13. 一种计算机设备，其中，所述计算机设备包括计算机可读存储介质、处理器和存储在所述计算机可读存储介质中的网络流量异常检测模型的训练程序，所述网络流量异常检测模型的训练程序被处理器执行时实现如权利要求1所述的网络流量异常检测模型的训练方法。
14. 根据权利要求13所述的计算机设备，其中，在得到所述训练完成的特征提取网络之后，所述网络流量异常检测模型的训练方法还包括：

    去除所述训练完成的特征提取网络中的分类层，得到优化的特征提取网络；

    利用优化的特征提取网络提取训练样本的高级抽象特征数据，并利用高级抽象特征数据训练分类网络。
15. 根据权利要求13所述的计算机设备，其中，根据训练样本确定隐藏层的层数的方法为：根据如下公式来计算隐藏层的层数，

    

    其中，l表示隐藏层的层数，n表示训练样本的数据特征维度，

    

    表示向上取整。
16. 根据权利要求13所述的计算机设备，其中，根据训练样本确定每层隐藏层中的神经元个数的方法为：根据如下公式来计算神经元个数，

    

    e _i表示隐藏层的第i层的神经元个数，n表示训练样本的数据特征维度，

    

    表示向上取整，θ为特征影响参数，0＜θ＜1，1＜i＜l。
17. 根据权利要求16所述的计算机设备，其中，根据训练样本确定每层隐藏层中的神经元个数的方法还包括：确定隐藏层的第一层的神经元个数为e ₁＝n，确定隐藏层的最后一层的神经元个数为

    
18. 根据权利要求16所述的计算机设备，其中，所述网络流量异常检测模型的训练方法包括：

    对原始网络流量数据进行规范化处理和清洗处理，以获得训练样本。

Images