融合深度神经网络和层级注意力机制的恶意流量监测系统技术方案

本发明专利技术提出了一种融合深度神经网络和层级注意力机制的恶意流量监测系统，包括：流量获取模块的数据输出端与流量特征转换模块的数据输入端，流量特征转换模块的数据输出端与数据特征划分模块的数据输入端相连，数据特征划分模块的数据输出端与数据特征捕获模块的数据输入端相连，数据特征捕获模块的数据输出端与数据特征融合模块的数据输入端相连，数据特征融合模块的数据输出端与线性变换模块的数据输入端相连，线性变换模块的数据输出端与流量分类模块的数据输入端相连，流量分类模块的数据输出端与恶意流量展示模块的数据输入端相连。本发明专利技术能够对恶意流量进行检测，增强性能。

【技术实现步骤摘要】
融合深度神经网络和层级注意力机制的恶意流量监测系统
本专利技术涉及一种恶意流量监测
，特别是涉及一种融合深度神经网络和层级注意力机制的恶意流量监测系统。
技术介绍
随着计算机网络的不断发展，它正在不断改变人们的生活、学习和工作方式，但是目前面临着各种安全威胁，并且这种威胁变得越来越严重。于是人们提出了网络安全，其包括为防止和监视计算机网络和可以通过网络访问资源而进行的未经授权访问、滥用、修改或拒绝的策略和实践。网络安全主要包括其承载者信息的保密性，完整性和可用性(ConfidentialityIntegrityAvailability,CIA)。任何一种试图破坏CIA或绕过设定网络安全机制的活动都可以视为网络入侵。目前安全领域针对安全攻击检测办法一般采用入侵检测系统(IntrusionDetectionSystem,IDS)，它是监视网络或系统是否存在恶意活动或违反策略的设备或软件应用程序。通常将任何入侵活动或违规行为报告给管理员，或使用安全信息和事件管理系统集中收集。IDS通常会检查特定网络的所有传入和传出数据包，以确定每个数据包是否具有入侵迹象。精心设计的IDS以及其中相关的功能部件，可以识别大多数入侵活动的特征，并通过写入安全日志或发出警告来自动响应它们。根据入侵检测系统的技术分类可以分为两类：滥用检测和异常检测。滥用检测又称为基于规则的入侵检测。在滥用检测中，入侵过程模型在被观察系统中保留下的踪迹是决策的基础，因此实现根据经验规则或者专家知识定义某些非法的特征行为，然后将观察对象与之进行比较做出是否具有此种非法行为系统的判别。滥用检测基于已知的系统缺陷和入侵模式，它能够准确地检测到某些特定的攻击，但却过度依赖事先定义好的安全策略。异常检测又称为基于行为的入侵检测。与滥用检测不同的是，在异常检测中，观察到的不是已知入侵行为，而是研究的正常通信过程中异常现象。异常检测通过检测系统的行为或使用情况的变化来完成。在建立异常检测的模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并给出相应的具体措施。异常检测只能识别出，那些与正常过程有较大偏差的行为，而无法知道具体入侵情况。由于各种网络环境的适应性不强，很难获得精确的判定准则，异常检测经常会出现虚警情况。但尽管误报率可能很高，但它可以检测未知攻击。当前，网络结构越来越复杂，入侵方法也随着多样化和复杂化的趋势而发展，给入侵检测系统带来了更多的挑战。从机器学习的兴起，关于机器学习学习的许多研究开发了具有机器智能的入侵检测技术。比如支持向量机(SupportVectorMachine,SVM)，人工神经网络(ArtificialNeuralNetwork,ANN)，XGBoost，遗传学算法(GeneticAlgorithm,GA)和集成学习在入侵检测领域都取得了不错的成绩。但是因为机器学习算法只能作为一个分类器使用，具有许多的局限性，而当入侵变得越来越复杂和多样化。于是需要更好学习方法，尤其在自动提取入侵特征和分析。因深度学习的广泛研究研究与应用，尤其在自然语言处理、图像处理和语音处理，以及天气预报方面取得了巨大的成功。使用深度学习建立的模型具有高度非线性的结构，能够出色处理复杂数据集的能力。并且近年来并行计算以及其硬件的发展，为深度学习算法推广和应用带来了新契机。由于在训练难易程度和计算复杂性的问题，递归神经网络(RecurrentNeuralNetwork，RNN)在过去几年中未能成为主流网络模型。近年来，随着深度学习理论的发展，RNN开始进入快速发展时期。目前，RNN已成功应用于手写识别体，语音识别和机器翻译。RNN的主要特性是它在隐藏的层中循环信息，该层可以记住以前处理过的信息，从而为处理时间序列信息带来了结构上的优势。相似地，许多网络入侵行为可以抽象为来自底层网络层次模型的特定时间序列的事件。因此，RNN被认为适合构建IDS中恶意流量检测模型。
技术实现思路
本专利技术旨在至少解决现有技术中存在的技术问题，特别创新地提出了一种融合深度神经网络和层级注意力机制的恶意流量监测系统。为了实现本专利技术的上述目的，本专利技术提供了一种融合深度神经网络和层级注意力机制的恶意流量监测系统，包括流量获取模块、流量特征转换模块、数据特征划分模块、数据特征捕获模块、数据特征融合模块、线性变换模块、流量分类模块和恶意流量展示模块；所述流量获取模块的数据输出端与流量特征转换模块的数据输入端，流量特征转换模块的数据输出端与数据特征划分模块的数据输入端相连，数据特征划分模块的数据输出端与数据特征捕获模块的数据输入端相连，数据特征捕获模块的数据输出端与数据特征融合模块的数据输入端相连，数据特征融合模块的数据输出端与线性变换模块的数据输入端相连，线性变换模块的数据输出端与流量分类模块的数据输入端相连，流量分类模块的数据输出端与恶意流量展示模块的数据输入端相连；所述流量获取模块用于获取原始流量数据，并对获取的所述原始流量数据保存为能识别的文件格式的流量数据；所述流量特征转换模块用于对流量获取模块中保存的流量数据进行特征转换；所述数据特征划分模块用于对流量特征转换模块中转换后的流量数据进行数据包分段，得到数据包段；所述数据特征捕获模块用于通过时序处理特征向量捕获每个数据包段之间的特征信息；所述数据特征融合模块用于对其流量数据进行特征融合；所述线性变换模块用于对其数据特征融合模块中融合的特征进行线性变换；所述流量分类模块用于将流量数据进行分类；所述恶意流量展示模块用于对恶意流量的展示。在本专利技术的一种优选实施方式中，在流量获取模块中，原始流量数据的获取方法为采用抓包工具，并把抓好的数据包保存为pcap文件格式的流量数据；在流量特征转换模块中，对保存的流量数据进行特征转换的方法为利用CICFlowmeter-V4.0特征转换工具，将pcap数据解析成79个数字特征，即每一个数据包由一个79维度向量构成；在数据特征划分模块中，对流量数据进行数据包分段的方法为根据时间的先后顺序把流量数据按长度l进行分段，每个数据包段中有l个数据分段，记作[l,f]，f表示每个数据分段中的特征数量。在本专利技术的一种优选实施方式中，在流量特征转换模块中，利用CICFlowMeter-V4.0工具提取到的特征，若样本存在缺失值，则对缺失值的特征采用平均值法进行处理，即是利用其他样本未在该特征上未缺失进行加权平均，然后将其补上。在本专利技术的一种优选实施方式中，在数据特征捕获模块中以下步骤：S41，根据输入的流量数据计算获得更新门数据；S42，根据输入的流量数据计算得到重置门数据；S43，根据步骤S41计算得到当前内存内容；S44，根据步骤S42和步骤S43获取在当前时间步长的最后内存内容。在本专利技术的一种优选实施方式中，在步骤S41中，更新门数据的计算方法为：zt＝σ(Wzxt+Uzht-1)，σ()表示激活函数sigmoid；Wz表示本文档来自技高网...

【技术保护点】
1.一种融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，包括流量获取模块、流量特征转换模块、数据特征划分模块、数据特征捕获模块、数据特征融合模块、线性变换模块、流量分类模块和恶意流量展示模块；/n所述流量获取模块的数据输出端与流量特征转换模块的数据输入端，流量特征转换模块的数据输出端与数据特征划分模块的数据输入端相连，数据特征划分模块的数据输出端与数据特征捕获模块的数据输入端相连，数据特征捕获模块的数据输出端与数据特征融合模块的数据输入端相连，数据特征融合模块的数据输出端与线性变换模块的数据输入端相连，线性变换模块的数据输出端与流量分类模块的数据输入端相连，流量分类模块的数据输出端与恶意流量展示模块的数据输入端相连；/n所述流量获取模块用于获取原始流量数据，并对获取的所述原始流量数据保存为能识别的文件格式的流量数据；所述流量特征转换模块用于对流量获取模块中保存的流量数据进行特征转换；所述数据特征划分模块用于对流量特征转换模块中转换后的流量数据进行数据包分段，得到数据包段；所述数据特征捕获模块用于通过时序处理特征向量捕获每个数据包段之间的特征信息；所述数据特征融合模块用于对其流量数据进行特征融合；所述线性变换模块用于对其数据特征融合模块中融合的特征进行线性变换；所述流量分类模块用于将流量数据进行分类；所述恶意流量展示模块用于对恶意流量的展示。/n...

【技术特征摘要】
1.一种融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，包括流量获取模块、流量特征转换模块、数据特征划分模块、数据特征捕获模块、数据特征融合模块、线性变换模块、流量分类模块和恶意流量展示模块；
所述流量获取模块的数据输出端与流量特征转换模块的数据输入端，流量特征转换模块的数据输出端与数据特征划分模块的数据输入端相连，数据特征划分模块的数据输出端与数据特征捕获模块的数据输入端相连，数据特征捕获模块的数据输出端与数据特征融合模块的数据输入端相连，数据特征融合模块的数据输出端与线性变换模块的数据输入端相连，线性变换模块的数据输出端与流量分类模块的数据输入端相连，流量分类模块的数据输出端与恶意流量展示模块的数据输入端相连；
所述流量获取模块用于获取原始流量数据，并对获取的所述原始流量数据保存为能识别的文件格式的流量数据；所述流量特征转换模块用于对流量获取模块中保存的流量数据进行特征转换；所述数据特征划分模块用于对流量特征转换模块中转换后的流量数据进行数据包分段，得到数据包段；所述数据特征捕获模块用于通过时序处理特征向量捕获每个数据包段之间的特征信息；所述数据特征融合模块用于对其流量数据进行特征融合；所述线性变换模块用于对其数据特征融合模块中融合的特征进行线性变换；所述流量分类模块用于将流量数据进行分类；所述恶意流量展示模块用于对恶意流量的展示。


2.根据权利要求1所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在流量获取模块中，原始流量数据的获取方法为采用抓包工具，并把抓好的数据包保存为pcap文件格式的流量数据；
在流量特征转换模块中，对保存的流量数据进行特征转换的方法为利用CICFlowmeter-V4.0特征转换工具，将pcap数据解析成79个数字特征，即每一个数据包由一个79维度向量构成；
在数据特征划分模块中，对流量数据进行数据包分段的方法为根据时间的先后顺序把流量数据按长度l进行分段，每个数据包段中有l个数据分段，记作[l,f]，f表示每个数据分段中的特征数量。


3.根据权利要求2所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在流量特征转换模块中，利用CICFlowMeter-V4.0工具提取到的特征，若样本存在缺失值，则对缺失值的特征采用平均值法进行处理，即是利用其他样本未在该特征上未缺失进行加权平均，然后将其补上。


4.根据权利要求1所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在数据特征捕获模块中以下步骤：
S41，根据输入的流量数据计算获得更新门数据；
S42，根据输入的流量数据计算得到重置门数据；
S43，根据步骤S41计算得到当前内存内容；
S44，根据步骤S42和步骤S43获取在当前时间步长的最后内存内容。


5.根据权利要求1所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在步骤S41中，更新门数据的计算方法为：
zt＝σ(Wzxt+Uzht-1)，
σ()表示激活函数sigmoid；
Wz表示更新门的权重；<...

【专利技术属性】
技术研发人员：刘小洋，刘加苗，丁楠，吴松阳，
申请(专利权)人：重庆理工大学，
类型：发明
国别省市：重庆;50