【技术实现步骤摘要】
一种时空感知的网络流量异常行为检测方法及电子装置
[0001]本专利技术属于机器学习与信息安全结合的交叉
,尤其涉及一种时空感知的网络流量异常行为检测方法及电子装置。
技术介绍
[0002]网络技术的不断发展在给人类生活带来巨大变革的同时也存在相当大的隐患。网络空间中存在大量攻击行为,威胁人们信息和财产安全以及国家安全。入侵检测是维护网络空间安全的一种重要方法,能够监测系统或网络从而发现恶意或违反政策的行为,有效检测并抵御网络攻击。
[0003]入侵检测系统(IDS)距今已有40年的历史,基于检测方法分类可以分为基于签名的IDS和基于异常的IDS。基于签名的IDS通过已知攻击定义恶意网络活动的模式,再将传入的流量与定义好的模式进行匹配从而发现攻击,这种方法的误报率较低,但是仅能检测已知网络攻击。基于异常的IDS建立正常流量行为的模式,与正常行为的偏差超过阈值的行为被视作异常。它可以检测出未知的攻击,但误报率较高。研究者们提出了多种不同的方法以适应不同的应用场景,降低误报率。基于异常的入侵检测等同于网络流量异常检...
【技术保护点】
【技术特征摘要】
1.一种时空感知的网络流量异常行为检测方法,其步骤包括:1)提取网络流量的流特征、长度特征与时间特征,并依据所述流特征,得到空间特征;2)根据空间特征、长度特征与时间特征,获取分类特征;3)依据分类特征对网络流量进行分类,得到所述网络流量的异常行为检测结果。2.如权利要求1所述的方法,其特征在于,提取网络流量的流特征、长度特征与时间特征之前,对网络流量进行预处理;所述预处理包括:将原始文件分割为<源IP地址,源端口号,目的IP地址,目的端口号,协议>的五元组和去除无效数据,其中原始文件是由所述网络流量的数据包组成;分割原始文件的方法包括:使用SplitCap;无效数据包括:以太网头部的MAC地址、类型和IP头部的版本和区分服务字段。3.如权利要求1所述的方法,其特征在于,得到空间特征的方法包括:将所述流特征输入一个由两个卷积层、两个池化层与一个全连接层组成的一维卷积神经网络。4.如权利要求3所述的方法,其特征在于,所述一维卷积神经网络的激活函数包括:ReLU;防止所述一维卷积神经网络过拟合的方法包括:使用dropout操作;所述池化层包括:最大池化层。5.如权利要求1所述的方法,其特征在于,所述长度特征的每一维度包括:当前数据包的长度。6.如权利要求1所述的方法,其特征在于,所述时间特征的每一维度包括:当前数据包与前一个数据包之间的时间间隔,其中第一个数据包与前一个数据包之间的间隔为0。7.如权利要求1所述的方法,其特征在于,获取分类特征的方法包括:将空间特征、长度特征与时间特征输入一个改进的LSTM网络,其中通过使用门控结构控制细胞状态和细胞隐藏状态对LSTM网络进行改进,其步骤包括:1)根据t
‑
1时刻的细胞状态C
t
‑1与时间间隔Δ
t...
【专利技术属性】
技术研发人员:姜波,韩雪莹,张辰,杜丹,韩东旭,卢志刚,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。