本发明专利技术公开了一种基于神经网络的网络异常检测方法及装置,涉及网络检测技术领域。所述网络异常检测方法及装置,先将网络流量数据样本经投影矩阵降维处理,再将降维后的数据输入神经网络模型得到输出结果,通过输出结果与实际值之间的误差进行权重矩阵、偏置项以及投影矩阵的更新,使神经网络模型不断的自学习,并且在面对缺失数据时具有良好的自学习和自适应能力,使训练过程不易陷入局部最优,保证了训练过程和模型的稳定性,数据降维后再输入至神经网络,大大降低了训练数据量、时间复杂度和空间复杂度;最后用训练好的神经网络模型进行网络异常流量检测,提高了缺失数据的检测精度。
A network anomaly detection method and device based on Neural Network
【技术实现步骤摘要】
一种基于神经网络的网络异常检测方法及装置
本专利技术属于网络检测
,尤其涉及一种基于神经网络的网络异常检测方法及装置。
技术介绍
随着科学技术的发展,计算机网络和应用程序规模的不断增长,互联网融入到人类社会活动的各个角落。显然,网络安全对于个人信息、企业信息、甚至国家机密信息有着重要的意义,然而计算机网络的攻击越来越多,由于网络攻击的目标对象不断扩展,网络攻击的意图不断变换,网络攻击造成的损失不断增加,网络攻击技术手段不断的更新,使得网络安全形势严峻。网络中的用户存在着异常和正常的行为,异常是指在数据集中存在与众不同的数据,使人怀疑这些数据并非随机偏差,而是产生于完全不同的机制。异常的识别与检测,对于网络入侵检测具有十分重要的意义。异常检测的方法有很多,如基于距离的方法、基于统计的方法、基于信息论的方法等,然而传统异常流量检测方法已经不能满足当今互联网安全的需要。人工神经网络又称感知机模型,是在现代神经学、生物学、心理学等学科研究的基础上产生的,是在模拟人脑神经组织的基础上发展起来的计算系统,是由大量处理单元通过广泛互联而构成的网络体系,它具有生物神经系统的基本特征,是对生物系统的某种模拟,具有大规模并行、分布式处理、自组织、自学习等优点,被广泛应用于语音分析、图像识别、数字水印、计算机视觉等很多领域,取得了许多突出的成果。最近由于人工神经网络的快速发展,它已经成为模式识别的强有力的工具。神经网络的运用展开了新的领域,解决其它模式识别不能解决的问题,其分类功能特别适合于模式识别与分类的应用。神经网络具有以下优点:1)非线性映射能力:神经网络实质上实现了一个从输入到输出的映射功能,数学理论证明三层的神经网络就能够以任意精度逼近任何非线性连续函数,这使得其特别适合于求解内部机制复杂的问题,即神经网络具有较强的非线性映射能力。2)自学习和自适应能力:神经网络在训练时,能够通过学习自动提取输入、输出数据间的“合理规则”,并自适应的将学习内容记忆于网络的权值中,即神经网络具有高度自学习和自适应的能力。3)泛化能力:所谓泛化能力是指在设计模式分类器时,即要考虑网络在保证对所需分类对象进行正确分类,还要关心网络在经过训练后,能否对未见过的模式或有噪声污染的模式,进行正确的分类,也即神经网络具有将学习成果应用于新知识的能力。4)容错能力:神经网络在其局部的或者部分的神经元受到破坏后对全局的训练结果不会造成很大的影响,也就是说即使系统在受到局部损伤时还是可以正常工作的,即神经网络具有一定的容错能力。然而传统的神经网络模型,训练数据必须是完备的,但是在各种实用的数据库中,属性值缺失的情况经常发全甚至是不可避免的。因此,在大多数情况下,数据信息系统是不完备的,或者说存在某种程度的不完备。缺失值产生的原因多种多样,主要分为机械原因和人为原因。机械原因是由于机械原因导致数据收集或保存失败而造成数据缺失,比如数据存储失败,存储器损坏,机械故障导致某段时间数据未能收集。人为原因是由于人的主观失误、历史局限或有意隐瞒造成数据缺失,比如,在市场调查中被访人拒绝透露相关问题的答案,或者回答的问题是无效的,数据录入人员失误漏录了数据。面临不完备数据集的处理方法主要有:a)删除数据将存在遗漏信息属性值的对象删除(整组数据删除),从而得到一个完备的数据集。这种方法简单易行,在对象有多个属性缺失值、被删除的含缺失值的对象与信息表中数据量相比非常小的情况下是非常有效的。然而,这种方法却有很大的局限性,它是以减少历史数据来换取信息的完备,会造成资源的大量浪费,丢弃了大量隐藏在这些对象中的信息。对于信息表中本来包含的对象很少的情况,删除少量对象就足以严重影响到信息表中信息的客观性和结果的正确性;当每个属性空值的百分比变化很大时,它的性能非常差。因此,当遗漏数据所占比例较大,特别当遗漏数据非随机分布时,这种方法可能导致数据发生偏离,从而引出错误的结论。b)数据补齐该方法是用一定的值去填充缺失值,从而使信息表完备化。通常基于统计学原理,根据决策表中其余对象取值的分布情况来对一个缺失值进行填充,譬如用其余属性的平均值来进行补充等。如图1所示,目前基于神经网络的异常检测使用传统的全连接神经网络,训练参数量大,时间复杂度和空间复杂度较高,需要更多的计算时间和存储空间。例如传统全连接神经网络层数为D,第d层有Ud个神经元,第d层的输入为rd,第d+1层(0≤d<D)输入通过前向传播公式rd+1=Wdad+bd,Wd表示大小为Ud+1×Ud的权重矩阵,bd表示偏置。那么总共的参数量有:训练神经网络的时间复杂度为:其中,N为样本数量。数据降维是为了解决在高维情形下出现数据样本稀疏、距离计算困难等维数灾难问题,去除不相关的特征,可以降低学习任务的难度、加快运算速度,增强对特征和特征值之间的理解。但是传统的降维方法需要使用待投影数据的所有项,对于有缺失的数据无法进行直接操作,而且传统的数据降维方法为无监督降维方式,即将降维后数据的使用与降维过程是割裂开的,这可能会导致后续数据使用工作陷入局部最优化和不稳定现象。
技术实现思路
针对现有技术的不足,本专利技术提供一种基于神经网络的网络异常检测方法及装置,先对网络异常数据进行降维处理,再输入到神经网络中进行训练和测试,并且神经网络输出的结果又反向调整投影矩阵,以解决神经网络进行网络异常检测时存在的训练参数量大,时间复杂度和空间复杂度高,以及不能处理含有缺失值的样本等问题。本专利技术是通过如下的技术方案来解决上述技术问题的:一种基于神经网络的网络异常检测方法,包括以下步骤:步骤1:将N个网络流量数据向量化,并对向量化后的数据进行标准化处理,得到N个标准化向量;步骤2:构建投影矩阵,并对投影矩阵进行初始化;步骤3:构建神经网络模型,并对神经网络模型进行初始化;步骤4:根据标准化向量中的完备项和缺失项,提取投影矩阵中对应行或列生成投影中间矩阵,将标准化向量的缺失项删除,再与投影中间矩阵相乘得到降维后的数据样本;步骤5:将降维后的数据样本输入至神经网络模型,得到模型的输出向量,计算输出向量与实际值向量之间的误差函数,采用误差函数对神经网络模型的权重矩阵、偏置项、以及投影中间矩阵进行更新,完成神经网络模型的训练;步骤6:将网络异常测试数据经过投影矩阵降维后,输入至训练好的神经网络模型中,模型输出的结果即为网络异常检测结果。本专利技术所述的网络异常检测方法,先将网络流量数据样本经投影矩阵降维处理,在降维处理过程中,针对样本非缺失的部分学习,而不是删除单个数据样本,避免了数据样本的大量丢弃,保留了数据样本中的关键信息,减少了对检测结果的影响,提高了检测精度;再将降维后的数据输入神经网络模型得到输出结果,在训练过程中,通过输出结果与实际值之间的误差进行权重矩阵、偏置项以及投影矩阵的更新,使神经网络模型不断的自学习,提高了神经网络模型的自学习和自适应能力,使训练过程不陷入局部本文档来自技高网...
【技术保护点】
1.一种基于神经网络的网络异常检测方法,其特征在于,包括以下步骤:/n步骤1:将N个网络流量数据向量化,并对向量化后的数据进行标准化处理,得到N个标准化向量;/n步骤2:构建投影矩阵,并对投影矩阵进行初始化;/n步骤3:构建神经网络模型,并对神经网络模型进行初始化;/n步骤4:根据标准化向量中的完备项和缺失项,提取投影矩阵中对应行或列生成投影中间矩阵,将标准化向量的缺失项删除,再与投影中间矩阵相乘得到降维后的数据样本;/n步骤5:将降维后的数据样本输入至神经网络模型,得到模型的输出向量,计算输出向量与实际值向量之间的误差函数,采用误差函数对神经网络模型的权重矩阵、偏置项、以及投影中间矩阵进行更新,完成神经网络模型的训练;/n步骤6:将网络异常测试数据经过投影矩阵降维后,输入至训练好的神经网络模型中,模型输出的结果即为网络异常检测结果。/n
【技术特征摘要】
1.一种基于神经网络的网络异常检测方法,其特征在于,包括以下步骤:
步骤1:将N个网络流量数据向量化,并对向量化后的数据进行标准化处理,得到N个标准化向量;
步骤2:构建投影矩阵,并对投影矩阵进行初始化;
步骤3:构建神经网络模型,并对神经网络模型进行初始化;
步骤4:根据标准化向量中的完备项和缺失项,提取投影矩阵中对应行或列生成投影中间矩阵,将标准化向量的缺失项删除,再与投影中间矩阵相乘得到降维后的数据样本;
步骤5:将降维后的数据样本输入至神经网络模型,得到模型的输出向量,计算输出向量与实际值向量之间的误差函数,采用误差函数对神经网络模型的权重矩阵、偏置项、以及投影中间矩阵进行更新,完成神经网络模型的训练;
步骤6:将网络异常测试数据经过投影矩阵降维后,输入至训练好的神经网络模型中,模型输出的结果即为网络异常检测结果。
2.如权利要求1所述的网络异常检测方法,其特征在于,所述步骤2中,投影矩阵的构建包括以下子步骤:
步骤2.1:由N个所述标准化向量x(n)构成样本数据矩阵X,求取样本数据矩阵X的去中心化矩阵XC,其中,X∈RN×M,N为样本的数量,M为样本的维数;
步骤2.2:求取协方差矩阵C,
步骤2.3:将所述协方差矩阵C进行特征值分解得到特征矩阵E,ΛE=CE,其中,Λ为对角矩阵,对角矩阵的角元素为各特征向量对应的特征值;
步骤2.4:取特征矩阵E前K个最大特征值对应的特征向量形成投影矩阵U,U∈RM×K,K为投影空间的大小。
3.如权利要求1所述的网络异常检测方法,其特征在于,所述步骤2中,采用主成分分析法对投影矩阵初始化,使投影矩阵成为各行两两正交或各列两两正交的矩阵。
4.如权利要求1所述的网络异常检测方法,其特征在于,所述步骤3中,神经网络模型每一层神经元的数量为上一层神经元数量的2/3。
5.如权利要求1所述的网络异常检测方法,其特征在于,所述步骤3中,采用Xavier初始化方法对神经网络模型进行初始化,使神经网络模型的权重矩阵W服从的均匀分布,偏置项的初始值为0;
其中,Nx为神经网络模型输入数据样本的维数,Ny为神经网络模型输出向量的维数。
6.如权利要求1所述的网络异常检测方法,其特征在于,所述步骤4包括以下子步骤:
步骤4.1:记录标准化向量中样本数据为完备项和缺失项的下标,n=1,2,…,N,m=1,2,…,M,N为样本的数量,M为样本的维数,为第n个标准化向量中的第m个样本数据;
步骤4.2:对比投影矩阵U=(u1,u2,…,um,…,uM)T的行下标与标准化向量x(n)的下标,删除...
【专利技术属性】
技术研发人员:胡康靖,谢鲲,文吉刚,
申请(专利权)人:湖南大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。