【技术实现步骤摘要】
一种异常流量检测方法
本专利技术涉及一种异常流量检测方法,属于信息安全
技术介绍
随着互联网基础设施的飞速发展和新应用的不断涌现,网络在规模和拓扑上都日趋扩大化、复杂化,各种层出不穷、更新换代的网络攻击给安全管理者带来了巨大的挑战。现阶段面对传统安全防御体系失效的风险,态势感知开始逐渐应用于网络安全领域,它能够全面感知网络安全威胁态势,洞悉网络及应用运行健康状态,通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性的响应处置措施。网络安全态势感知的基本处理流程如下:首先进行数据采集,包括终端数据、流量采集、中间件数据、第三方设备日志、威胁情报对接。然后进行数据预处理,对采集的数据进行预处理,包括数据清洗、数据归并、数据富化,最终数据转换为平台可理解的格式化数据,以文件的形式存储,等待分析。最后进行大数据分析,进行全网安全数据的检测、分析和统计,并结合威胁情报、行为分析、智能分析等技术,发现安全威胁现状,同时内置的多条安全关联规则可将数据进行归并告警。同时,内置异常行为检测引擎,实时匹配流量,...
【技术保护点】
1.一种异常流量检测方法,其特征在于:包括以下步骤:/n步骤1:从抓包软件中获取网络原始流量文件,对原始流量文件进行预处理,并将预处理后的数据作为数据样本;/n步骤2:利用卷积神经网络对流量数据进行空间域的表征特征提取;/n步骤3:利用LSTM对经过空间域特征提取后的数据进行时序特征提取;/n步骤4:使用softmax回归对提取后的特征进行分类,判定网络流量异常与否。/n
【技术特征摘要】
1.一种异常流量检测方法,其特征在于:包括以下步骤:
步骤1:从抓包软件中获取网络原始流量文件,对原始流量文件进行预处理,并将预处理后的数据作为数据样本;
步骤2:利用卷积神经网络对流量数据进行空间域的表征特征提取;
步骤3:利用LSTM对经过空间域特征提取后的数据进行时序特征提取;
步骤4:使用softmax回归对提取后的特征进行分类,判定网络流量异常与否。
2.根据权利要求1所述的异常流量检测方法,其特征在于:步骤1中,对原始流量文件进行预处理包括如下步骤:
步骤1.1:流量切分:将原始流量数据集按照五元组信息是否相同划分为多条数据流;
步骤1.2流量清理:去除或匿名化数据分组中的IP地址和MAC地址,以及舍弃没有实际内容的空数据分组;
步骤1.3长度截断:数据流长度为l,当l>1500B对数据l进行裁剪至l=1500B,当l<1500B,填充0x00至1500B大小;
步骤1.4归一化:对数据流分组中每个字节转换为十进制数值后除以255。
3.根据权利要求2所述的异常流量检测方法,其特征在于:步骤2中,使用混合深度学习模型对数据进行特征提取。
4.根据权利要求3所述的异常流量检测方法,其特征在于:步骤2中,使用混合深度学习模型对数据进行特征提取包括如下步骤:
步骤2.1卷积:将归一化后的网络流量特征序列X=[X1,X2,…,Xn]输入到卷积神经网络中,其中,n为从预处理中得到的每一组数据长度,并对其进行卷积与池化操作;
步骤2.2池化:池化层对卷积后生成的序列Vs进行池化操作,首先特征图Vl经过池化分成N块,并将每块中的最大值顺序拼接起来,得到长度为N的向量其中,单个卷积核与原始数据向量生成的特征图向量Vl被划分为N块,maxpool最大池化作用于每块,取最大数值从而完成特征采样,将L个特征图经过池化后得到的pl堆叠在一起,可得P=[p1,p2,…,pL]。
5.根据权利要求4所述的异常流量检测方法,其特征在于:步骤2.1中,卷积层设置多个卷积核W,卷积核大小d,步长为1,每个卷积核对卷积窗口D中的特征进行计算并生成一个新的特征,卷积窗口D对应大小为d的卷积核处理的数据的大小,对于卷积窗口D中的一个网络流量特征子序列表示Xi:i+d-1,其中i表示一组长度为n的数据的第i个元素,卷积核Wl(1≤l≤L,L代表卷积核的个数)按式生成新的特征vl,其中,f为ReLU,Wl为该卷积层第l个卷积核,b代表该卷积核的偏置,Xi:i+d...
【专利技术属性】
技术研发人员:程相鑫,吴克河,高雪,姜媛,赵彤,肖卓,李为,樊祺,王皓民,韩嘉佳,孙歆,李沁园,邵志鹏,李尼格,
申请(专利权)人:华北电力大学,国网浙江省电力有限公司电力科学研究院,国家电网有限公司,全球能源互联网研究院有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。