本发明专利技术公开了一种基于超图结构质量优化的异常检测方法,具体包括以下步骤:步骤1、利用无标签数据之间的关联构建超图模型,针对每一个参数构建多个超图模型,基于构建的超图模型利用标签传递来检测未知流量数据的标签,并且形成一组代价敏感的超图结构;步骤2、针对构建的一组代价敏感的超图异常流量检测器,对每一个检测流量得到检测数据的一组标签信息,将每个待检测数据的标签信息作为新的特征赋予待检测数据;步骤3、针对新生成流量数据的特征信息,对每个代价敏感超图的检测结果进行分析,得到针对流量数据的最优检测结果。本发明专利技术在超图结构中融入代价敏感信息,从而提高对异常数据的检测能力。
【技术实现步骤摘要】
一种基于超图结构质量优化的网络异常检测方法
本专利技术属于网络异常检测领域,具体而言,本专利技术构建了一种的利用超图结构构建数据之间复杂关联,并且对超图质量进行优化的网络异常检测方法。
技术介绍
随着万物互联的脚步加快及网络技术的快速发展,网络攻击事件也频频发生,网络威胁对网络安全乃至国家安全都形成了严重的威胁。随着网络流量数据的爆炸性增长,如何高效的检测出其中隐藏的异常流量也越发重要。目前网络中的协议众多,结构化数据以及非结构化数据混杂等为题。如何有针对性的挖掘数据之间的关联关系,提高检测效率以及检测准确性,高效可靠的识别异常数据变得非常重要。目前针对异常检测的方法主要致力于解决以下问题:此外,随着网络技术的快速发展,网络攻击事件也频频发生,面对日益增加的数据流量,如何高效准确的检测出其中包含的异常流量变得越发重要,由于网络中的流量遵循的协议类型众多,并且其中包含大量的不同类型的数据并且数据之间存在着验证不平衡的问题,如何平衡检测率以及针对不平衡数据的准确率,提高系统对于不同网络异常数据的检测率,高效、准确的检测异常数据信息显得十分重要。目前,网络流量异常检测面临的主要挑战为:(1)难以构建正常数据以及异常数据之间的高阶复杂关联。(2)利用无标签数据构建的数据描述模型质量难以确定是否达到最优。(3)流量数据之间存在着严重的不平衡问题,正常数据流量远远大于异常数据,难以识别异常数据。
技术实现思路
本专利技术目的在于提供一种基于超图结构质量优化的网络异常检测方法,其目的在于利用超图描述网络流量的复杂高阶关联,并且在构建过程中融入代价敏感信息,增加检测模型对异常流量的检测敏感性,考虑到利用无标签数据构建的检测模型不一定能达到最优的检测效果,在检测过程中对超图模型结构进行优化,进一步提高异常流量的检测准确率。本专利技术的技术方案是提供了一种基于超图结构质量优化的异常检测方法,具体包括以下步骤:步骤1、构建参数库,利用无标签数据之间的关联构建超图模型,针对每一个参数构建多个超图模型,基于构建的超图模型利用标签传递来检测未知流量数据的标签,并且形成一组代价敏感的超图结构;针对构建的一组代价敏感的超图异常流量检测器,对每一个检测流量得到检测数据的一组标签信息,将每个待检测数据的标签信息作为新的特征赋予待检测数据;步骤3、针对新生成流量数据的特征信息,对每个代价敏感超图的检测结果进行分析,增加检测结果间隔大的超图的权重,减小间隔小的超图的权重,从而得到针对流量数据的最优检测结果。进一步地,步骤1通过以下方式实现:步骤1.1、构建超图,每个超图结构利用G=(V;E;w)来描述,V中的每个顶点代表一个训练和测试数据,E代表连接定点的超边,利用星型拓展方法来构建超图,w为每个超边的权重;步骤1.2、利用矩阵H描述超图;在构建超图的过程中,利用H矩阵来描述超图的连接关系,其中Vcentral是超图的中心点,是数据集中每两个点之间距离的平均值,d(vi,vcentral)是指在超边ep上与Vcentral相连的vi点;;步骤1.3、利用超图结构构建异常检测目标公式;步骤1.4、针对异常检测目标公式进行优化求解;步骤1.5、构建超图集群。进一步地,步骤2通过以下方式实现:步骤2.1、构建参数列表;步骤2.2、根据参数列表构建超图集群。本专利技术的有益效果在于:(1)本专利技术利用超图结构描述流量数据之间的高阶复杂关联,并且针对网络流量存在的异常数据及正常数据严重不平衡问题,在超图结构中融入代价敏感信息。针对利用无标签数据构建的超图结构可能存在无法高准确率判断异常数据的问题,在检测过程中对检测模型进行优化,从而提高检测准确度。(2)本专利技术中利用超图描述流量数据之间的复杂关联,在超图结构中融入代价敏感信息,从而提高对异常数据的检测能力。为了进一步检测利用无标签数据构建的超图模型是否能够准确描述正常数据以及异常数据之间的高阶关联,在检测过程中对检测模型进行优化,利用构建的最优检测模型检测网络流量中存在的异常流量。附图说明图1为基于超图结构质量优化的异常检测方法流程。图2为超图结构示意图具体实施方式以下结合附图及其实施例对本专利技术进行详细说明,但并不因此将本专利技术的保护范围限制在实施例描述的范围之中。如图1所示,该实施例提供了一种基于超图结构质量优化的异常检测方法,具体包括以下步骤:步骤1、构建参数库,针对每一组参数,利用无标签数据之间的关联构建超图模型,针对每一个参数构建多个超图模型,基于构建的超图模型利用标签传递来检测未知流量数据的标签,并且形成一组代价敏感的超图结构。利用构建的一组代价敏感的超图异常流量检测器,将每个待检测数据的标签信息作为新的特征赋予待检测数据。步骤1.1构建参数库,主要的构建超图的参数如下::1)正常流量的错分代价值为Cneg,异常流量的错分代价值为Cpos。固定正常流量的错分代价值Cneg为1,调节异常流量的错分代价值为共q个参数。2)调节参数λ为{λ1,...,λm},共m个参数。3)调节参数μ为{μ1,...,μm},共m个参数。步骤1.2、构建超图结构。利用参数库构建超图集群。每个超图结构利用G=(V;E;w)来描述,V中的每个顶点代表一个训练和测试数据,E代表连接定点的超边,利用常用的星型拓展方法来构建超图,w为每个超边的权重。在超图的构建过程中,每次取V中的一个定点作为中心定点,在新的特征空间里选取最近的几个样本并且用超边连接起来。如图2所示在构建超图的过程中,利用H矩阵来描述超图的连接关系,其中Vcentral是超图的中心点,是数据集中每两个点之间距离的平均值,d(vi,vcentral)是指在超边ep上与Vcentral相连的vi点,在本实施例中α的值被设置为0.05,α是调节参数。关于超图结构相关的定义:超图定点的度:d(v)=∑e∈εω(e)h(v,e)超边的度:δ(e)=∑v∈υh(v,e)公式中,w为每个超边的权重,h(v,e)为H矩阵中对应的项。步骤1.3、利用超图结构构建异常检测目标公式。在检测分类问题中,要考虑三个部分:包括超图拉普拉子正则化Ω(ω),代价敏感的经验损失以及最优超图结构的正则化,Ξ(W)其中超图拉普拉斯正则化可以表示为:其中,ω表示转换向量,X为测试样本,Dv表示超图中超点的度的对角矩阵,De表示超图中超边的度的对角矩阵。代价敏感的经验损失可以表示为:其中γ为错分不同样例的权重,正常流量的错分代价值为Cneg,异常流量的错分代价值为Cpos。固定正常流量的错分代价值Cneg为1,调节异常流量的错分代价值为,共q个参数。优化超图结构的正则化Ξ(W)可以表示为:对代价敏感的超图学习结构的目本文档来自技高网...
【技术保护点】
1.一种基于超图结构质量优化的异常检测方法,其特征在于其特征在于:具体包括以下步骤:/n步骤1、利用无标签数据之间的关联构建超图模型,针对每一个参数构建多个超图模型,基于构建的超图模型利用标签传递来检测未知流量数据的标签,并且形成一组代价敏感的超图结构;/n步骤2、针对构建的一组代价敏感的超图异常流量检测器,对每一个检测流量得到检测数据的一组标签信息,将每个待检测数据的标签信息作为新的特征赋予待检测数据;/n步骤3、针对新生成流量数据的特征信息,对每个代价敏感超图的检测结果进行分析,增加检测结果间隔大的超图的权重,减小间隔小的超图的权重,从而得到针对流量数据的最优检测结果。/n
【技术特征摘要】
1.一种基于超图结构质量优化的异常检测方法,其特征在于其特征在于:具体包括以下步骤:
步骤1、利用无标签数据之间的关联构建超图模型,针对每一个参数构建多个超图模型,基于构建的超图模型利用标签传递来检测未知流量数据的标签,并且形成一组代价敏感的超图结构;
步骤2、针对构建的一组代价敏感的超图异常流量检测器,对每一个检测流量得到检测数据的一组标签信息,将每个待检测数据的标签信息作为新的特征赋予待检测数据;
步骤3、针对新生成流量数据的特征信息,对每个代价敏感超图的检测结果进行分析,增加检测结果间隔大的超图的权重,减小间隔小的超图的权重,从而得到针对流量数据的最优检测结果。
2.根据权利要求1基于超图结构质量优化的异常检测方法,其特征在于:步骤1通过以下方式实现:
步骤1.1、构建超图,每个超图结构...
【专利技术属性】
技术研发人员:赵曦滨,王楠,高跃,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。