本公开公开了基于时空卷积网络和拓扑感知的网络异常检测方法及系统,属于网络异常检测技术领域。包括:获取待检测网络的设备拓扑连接关系,构建待检测网络设备邻接矩阵;获取待检测网络性能矩阵的时间序列;利用滑动窗口,在待检测网络性能矩阵的时间序列上滑动;通过滑动窗口的滑动,提取滑动窗口内的时间序列片段;将待检测网络设备邻接矩阵和提取的每个时间序列片段作为输入序列,输入到预先训练好的基于图的门控卷积异常检测网络中;输出待检测网络是否出现异常。
【技术实现步骤摘要】
基于时空卷积网络和拓扑感知的网络异常检测方法及系统
本专利技术涉及网络异常检测
,特别是涉及基于时空卷积网络和拓扑感知的网络异常检测方法及系统。
技术介绍
本部分的陈述仅仅是提到了与专利技术相关的
技术介绍
,并不必然构成现有技术。随着网络规模的增大,流量的激增会增加网络设备的负载,造成网络拥塞。因此,设备和链路的状态对网络中的服务质量(QoS)至关重要。各种KPI(关键性能指标,如包流量、队列延迟、内存使用、链路延迟等)被监控,以检测异常并及时排除故障。然而,最先进的算法在检测异常时只考虑单独的KPI,而忽略了网络中设备的空间连接。由于网络设备的局限性,网络流量的激增和恶意用户的攻击会导致网络设备瘫痪,阻碍信息的传输。通过精确的全局视图,软件定义网络(SDN)具有检测异常和维护网络QoS的能力。如图1所示,通过定期收集KPI数据并执行异常检测算法,控制器可以获得每个设备和链路的详细状态。当检测到异常时,控制器通过发送流表和故障排除来调度数据包,以维持网络传输的正常运行。因此,异常检测算法的实时性和准确性对维持网络的QoS起着至关重要的作用。基于时间序列的异常检测是对序列中的异常波动进行检测,在以往的网络运行维护中起着重要的作用。监督方法将异常检测问题作为分类任务,依赖于特征工程。在无监督方法中,基于预测的方法以下一次的预测值作为异常检测的基础。然而,对于这些监督算法,不同类型的KPI需要大量的人力资源,这是耗时的。而大多数非监督异常检测算法对单个KPI的建模耗时较长,难以满足网络拓扑中大量KPI需要并行处理的情况。此外,这些异常检测算法也忽略了网络拓扑中设备间连接所引起的空间依赖性。例如,当数据包在链路上传输时,一个设备的吞吐量变化会影响它的邻域,这会对基于图的数据的检测结果产生很大的影响。
技术实现思路
为了解决现有技术的不足,本专利技术提供了基于时空卷积网络和拓扑感知的网络异常检测方法及系统;第一方面,本专利技术提供了基于时空卷积网络和拓扑感知的网络异常检测方法;基于时空卷积网络和拓扑感知的网络异常检测方法,包括:获取待检测网络的设备拓扑连接关系,构建待检测网络设备邻接矩阵;获取待检测网络性能矩阵的时间序列;利用滑动窗口,在待检测网络性能矩阵的时间序列上滑动;通过滑动窗口的滑动,提取滑动窗口内的时间序列片段;将待检测网络设备邻接矩阵和提取的每个时间序列片段作为输入序列,输入到预先训练好的基于图的门控卷积异常检测网络中;输出待检测网络是否出现异常。第二方面,本专利技术提供了基于时空卷积网络和拓扑感知的网络异常检测系统;基于时空卷积网络和拓扑感知的网络异常检测系统,包括:获取模块,其被配置为:获取待检测网络的设备拓扑连接关系,构建待检测网络设备邻接矩阵;获取待检测网络性能矩阵的时间序列;片段提取模块,其被配置为:利用滑动窗口,在待检测网络性能矩阵的时间序列上滑动;通过滑动窗口的滑动,提取滑动窗口内的时间序列片段;输出模块,其被配置为:将待检测网络设备邻接矩阵和提取的每个时间序列片段作为输入序列,输入到预先训练好的基于图的门控卷积异常检测网络中;输出待检测网络是否出现异常。第三方面,本专利技术还提供了一种电子设备,包括:一个或多个处理器、一个或多个存储器、以及一个或多个计算机程序;其中,处理器与存储器连接,上述一个或多个计算机程序被存储在存储器中,当电子设备运行时,该处理器执行该存储器存储的一个或多个计算机程序,以使电子设备执行上述第一方面所述的方法。第四方面,本专利技术还提供了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成第一方面所述的方法。第五方面,本专利技术还提供了一种计算机程序(产品),包括计算机程序,所述计算机程序当在一个或多个处理器上运行的时候用于实现前述第一方面任意一项的方法。与现有技术相比,本专利技术的有益效果是:本专利技术提出了基于图的门控卷积异常检测网络(GAD),以满足大规模KPI并行检测的要求,并首次考虑了拓扑场景中的设备连接关系。具体来说,基于图的门控卷积异常检测网络GAD使用一个门控卷积层来对时序进行并行编码。考虑到网络的链路连接信息,利用GCN获取KPI之间的空间相关性。随后,一个卷积层和一个线性层组成解码器来重构输入KPI。最后,利用输入KPI与重构KPI之间的残差来计算异常分数并检测异常。在SDN模拟平台采集的数据集上,GAD的最佳f-值为0.983,说明GAD优于现有的异常检测基线。本专利技术提出了基于图的门控卷积异常检测网络(GAD),首次解决了具有拓扑信息的时间序列数据异常检测问题。具体来说,采用门控式卷积编码器进行时间编码,并开发了图形卷积网络(GCN)来捕获空间依赖关系。然后,根据对时间信息和空间信息进行编码的特征,利用卷积层对特征进行解码,重构输入序列。利用输入序列与重建序列之间的残差进一步检测异常。本专利技术将待检测网络中的所有KPI序列组合成一个多维矩阵。与以往的基于单个KPI的特征提取方法不同,本专利技术通过门控卷积网络实现了时间维特征的并行提取。本专利技术首先提出了一种基于GCN的时间序列异常检测方法,考虑到网络拓扑结构中节点间的相互作用,通过提取节点之间的空间特征,可以挖掘出详细的节点状态信息。本专利技术利用SDN仿真平台对数据集进行了实证研究。本专利技术的结果表明GAD优于现有的异常检测基线。基于重构的方法计算重构数据与原始数据的差异作为异常评分,并选择最佳阈值检测异常评分。卷积运算可以提取多维数据的特征,因此本专利技术采用门控对流网络并行捕获时间维度上的长期记忆。本专利技术使用图卷积神经网络(GCN)来提取网络拓扑中KPI的空间相关性。附图说明构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。图1为基于SDN的异常检测框架;图2为第一个实施例的GAD模型示意图;图3为第一个实施例的基于网络拓扑的时间序列异常检测示意图图4为第一个实施例的门控卷积层的结构示意图;图5为第一个实施例的时空特征提取过程示意图;图6(a)-图6(f)为第一个实施例的异常检测的案例研究示意图;图7(a)和图7(b)为第一个实施例的模型变体的性能示意图;图8为第一个实施例的使用不同滑动窗口长度的GAD的度量示意图。具体实施方式应该指出,以下详细说明都是示例性的,旨在对本专利技术提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义。需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本专利技术的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一本文档来自技高网...
【技术保护点】
1.基于时空卷积网络和拓扑感知的网络异常检测方法,包括:/n获取待检测网络的设备拓扑连接关系,构建待检测网络设备邻接矩阵;获取待检测网络性能矩阵的时间序列;/n利用滑动窗口,在待检测网络性能矩阵的时间序列上滑动;通过滑动窗口的滑动,提取滑动窗口内的时间序列片段;/n将待检测网络设备邻接矩阵和提取的每个时间序列片段作为输入序列,输入到预先训练好的基于图的门控卷积异常检测网络中;输出待检测网络是否出现异常。/n
【技术特征摘要】
1.基于时空卷积网络和拓扑感知的网络异常检测方法,包括:
获取待检测网络的设备拓扑连接关系,构建待检测网络设备邻接矩阵;获取待检测网络性能矩阵的时间序列;
利用滑动窗口,在待检测网络性能矩阵的时间序列上滑动;通过滑动窗口的滑动,提取滑动窗口内的时间序列片段;
将待检测网络设备邻接矩阵和提取的每个时间序列片段作为输入序列,输入到预先训练好的基于图的门控卷积异常检测网络中;输出待检测网络是否出现异常。
2.如权利要求1所述的方法,其特征是,获取待检测网络的设备拓扑连接关系,构建待检测网络设备邻接矩阵;具体步骤包括:
获取待检测网络的设备拓扑连接关系,根据设备拓扑连接关系构建图结构,根据图结构获取待检测网络设备邻接矩阵。
3.如权利要求2所述的方法,其特征是,根据设备拓扑连接关系构建图结构,根据图结构获取待检测网络设备邻接矩阵;具体步骤包括:
将待检测网络构建成一个图结构,待检测网络中的设备视为图结构中的节点,待检测网络中的设备之间的连接关系视为图结构中节点之间的连线;根据图结构中节点与节点之间的连接关系构建待检测网络设备邻接矩阵。
4.如权利要求1所述的方法,其特征是,所述获取待检测网络性能矩阵的时间序列,具体步骤包括:
获取待检测网络中每个时刻下每个设备的若干种性能参数,将同一时刻下所有设备的所有性能参数,构建对应的待检测网络性能矩阵;进而得到待检测网络性能矩阵的时间序列;
或者,
所述获取待检测网络性能矩阵的时间序列,具体步骤包括:
获取待检测网络中每个时刻下每个设备的若干种性能参数,对所有的性能参数进行正则化处理,将正则化处理后的同一时刻下所有设备的所有性能参数,构建对应的待检测网络性能矩阵;进而得到待检测网络性能矩阵的时间序列。
5.如权利要求1所述的方法,其特征是,将待检测网络设备邻接矩阵和提取的每个时间序列片段作为输入序列,输入到预先训练好的基于图的门控卷积异常检测网络中;输出待检测网络是否出现异常;具体步骤包括:
将待检测网络设备邻接矩阵和提取的每个时间序列片段作为输入序列,输入到编码器中,提取出时空特征;将时空特征输入到解码器中进行重构,重构出新的输入序列;所述时空特征是指时间特征和空间特征;
将重构...
【专利技术属性】
技术研发人员:郑凯,孙福振,任崇广,王振,
申请(专利权)人:山东理工大学,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。