本发明专利技术公开一种基于多路特征感知长短期记忆的异常流量检测方法,应用于网络安全领域,针对现有的异常流量检测准确率低的问题,本发明专利技术对传统的长短期记忆网络模型进行改进,根据输入的流量数据特征维度n,在多路特征感知长短期网络内部构造n个LSTM单元,作为特征单元,各个特征单元接受一类特征的输入,对该类特征的数据进行学习训练;本发明专利技术的方法有效利用网络流量特征信息及流量数据的序列化特点,引导模型学习输入的各特征对输出结果的影响程度以及各路特征自身的前后时间关联性,从而提高异常流量检测的准确率。而提高异常流量检测的准确率。而提高异常流量检测的准确率。
【技术实现步骤摘要】
一种基于多路特征感知长短期记忆的异常流量检测方法
[0001]本专利技术属于网络安全领域,特别涉及一种异常流量检测技术。
技术介绍
[0002]随着网络技术的迅速发展和网络应用的日益广泛,网络安全问题也日益突出,网络异常流量检测作为保护网络安全的重要手段,其检测方法也逐渐受到人们的重视。传统的网络流量检测方法主要分为四类:基于端口的方法、基于DPI(深度报文检测)的方法、基于统计的方法和基于行为的方法。其中基于端口的方法识别准确率很低;基于DPI的方法则计算复杂度高,需要消耗大量计算机资源;基于统计的方法和基于行为的方法均属于传统机器学习领域,诸如朴素贝叶斯算法、SVM、随机森林算法等,其检测效果相较于前者更好,但是传统的机器学习无法很好地对输入的流量数据特性进行学习,需要人工设计反映流量特性的特征集,随着网络流量趋于多元化,其检测效果也并不理想。
[0003]深度学习解决了传统机器学习依赖特征设计的问题,是一种基于特征学习思想的机器学习技术。深度学习的深层神经网络结构使得其可以从杂乱的数据中自动学习流量数据的内在特征,从而有着更好的检测效果。在深度学习技术中,循环神经网络(Recurrent Neural Network,RNN)是一种用于处理序列数据的神经网络。相比一般的神经网络来说,RNN能够处理序列变化的数据,但其存在着长序列训练过程中的梯度消失和梯度爆炸问题。长短期记忆(Long short
‑
term memory,LSTM)是一种特殊的RNN,解决了RNN存在的问题,相比于RNN,LSTM在长序列中有着更好的表现,在异常流量检测中具有很好的应用前景。
[0004]但是,在当前基于LSTM的异常流量检测方法中,网络流量中不同的特征(如源/目的地址、协议类型、端口号、报文长度等)被统一输入LSTM模型进行训练,这种方式所训练出的模型,在一定程度上失去了对各个特征自身在前后时间关联上的敏锐性。针对网络流量及其特征的独有特点,以LSTM为基础,设计更精准的异常流量检测方法,对于提高异常流量检测的效率,具有重要的意义。
技术实现思路
[0005]为解决上述技术问题,本专利技术提出一种基于多路特征感知长短期记忆的异常流量检测方法,在传统的长短期记忆网络模型的基础上对其进行了改良,以多路形式将流量数据输入模型;有效利用网络流量特征信息及流量数据的序列化特点,引导模型学习输入的各特征对输出结果的影响程度以及各路特征自身的前后时间关联性,从而提高异常流量检测的准确率。
[0006]本专利技术采用的技术方案为:一种基于多路特征感知长短期记忆的异常流量检测方法,包括:
[0007]S1、分别从正常网络环境和异常网络环境中获取一串时间序列的流量数据,整理为时间序列的流量数据集,提取所获取时间序列的流量数据的特征,并对时间序列的流量数据进行是否异常的标记;
[0008]S2、根据步骤S1提取的时间序列的流量数据的特征维度数量将时间序列的流量数据集均分成多维数据;
[0009]S3、构造多路特征感知长短期记忆模型,具体的:所述多路特征感知长短期记忆模型包括N个时间步长下的多路特征感知长短期记忆单元模型,单个多路特征感知长短期记忆单元模型中的LSTM单元的个数根据步骤S1提取的时间序列的流量数据的特征维度数量确定;
[0010]S4、将步骤S2的多维数据分别作为单个多路特征感知长短期记忆单元模型中的多个LSTM单元的输入,进行多路特征感知长短期记忆模型训练;具体的第一个多路特征感知长短期记忆单元模型的输入为初始时刻的流量数据,后续的多路特征感知长短期记忆单元模型的输入对应时刻的流量数据与前一个多路特征感知长短期记忆单元模型的输出;
[0011]S5、将训练得到的多路特征感知长短期记忆模型最后一个多路特征感知长短期记忆单元模型的输出作为多路特征感知长短期记忆模型的最终输出。
[0012]步骤S3所述LSTM单元的结构包括:遗忘门、输入门、输出门、候选细胞信息、第一与门、第二与门、第三与门以及或门;
[0013]第一与门的输入为:该LSTM单元上一时刻的输出与当前时刻的输入经遗忘门后的输出、上一时刻的细胞状态;
[0014]第二与门的输入为:该LSTM单元上一时刻的输出与当前时刻的输入经输入门后的输出、该LSTM单元上一时刻的输出与当前时刻的输入经候选细胞信息后的输出;
[0015]第三与门的输入为:该LSTM单元上一时刻的输出与当前时刻的输入经输出门后的输出、或门输出的tanh函数值;
[0016]或门的输入为:第一与门的输出、第二与门的输出;
[0017]或门的输出为当前时刻的细胞状态;第三与门的输出为该LSTM单元的当前时刻的输出。
[0018]步骤S4所述多路特征感知长短期记忆单元模型的输出结果为加权融合的结果,具体为:该多路特征感知长短期记忆单元模型中各LSTM单元对应一个影响因子系数,通过将各LSTM单元的输出与各自对应影响因子的乘积结果相加,得到多路特征感知长短期记忆单元模型的输出。
[0019]所述模型参数包括:LSTM单元中遗忘门、输入门、输出门、候选细胞信息各自的权重与对应的偏置,以及各LSTM单元对应的影响因子系数。
[0020]所述模型参数基于多路特征感知长短期记忆模型的最终输出进行反向传播更新。
[0021]本专利技术的有益效果:本专利技术通过构造多路特征感知长短期记忆,所述多路特征感知长短期记忆路数对应所提取流量数据的特征维度数;本专利技术以多路形式将流量数据输入所构建的网络模型,有效利用网络流量特征信息及流量数据的序列化特点,引导模型学习输入的各路特征对输出结果的影响程度以及各路特征自身的前后时间关联性,从而提高异常流量检测的准确率;本专利技术的方法具备以下优点:
[0022]1、本专利技术通过改良LSTM模型,将输入的流量数据按其特征转化为多路学习训练,能引导模型在训练过程中更多地学习各种输入特征对检测结果的影响程度以及各路特征自身的前后时间关联性,使模型可以从时间和特征空间两个维度提取网络流量数据,从而提高了模型的准确率及泛化能力;
[0023]2、本专利技术涉及的领域属于网络安全异常流量检测,网络流量以数据包的形式存在,具有序列化的特点,长短期记忆网络模型可以很好地处理序列化问题,模型通过信息循环操作,能够保证流量信息的持续存在,能够结合之前的流量数据对当前网络流量进行检测,并且不存在长期依赖问题。
附图说明
[0024]图1为本专利技术的方案流程图;
[0025]图2为本专利技术采用的LSTM特征单元内部结构图;
[0026]图3为本专利技术的多路特征感知长短期记忆单元模型图;
[0027]图4为本专利技术的多路特征感知长短期记忆模型图。
具体实施方式
[0028]为便于本领域技术人员理解本专利技术的
技术实现思路
,下面结合附图对本
技术实现思路
进一步阐释。
[0029]如图1所示,本专利技术的一种基于多路特征感知长短期记忆的异常流量检测方法,包括本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于多路特征感知长短期记忆的异常流量检测方法,其特征在于,包括:S1、分别从正常网络环境和异常网络环境中获取一串时间序列的流量数据,整理为时间序列的流量数据集,提取所获取时间序列的流量数据的特征,并对时间序列的流量数据进行是否异常的标记;S2、根据步骤S1提取的时间序列的流量数据的特征维度数量将时间序列的流量数据集均分成多维数据;S3、构造多路特征感知长短期记忆模型,具体的:所述多路特征感知长短期记忆模型包括N个时间步长下的多路特征感知长短期记忆单元模型,单个多路特征感知长短期记忆单元模型中的LSTM单元的个数根据步骤S1提取的时间序列的流量数据的特征维度数量确定;S4、将步骤S2的多维数据分别作为单个多路特征感知长短期记忆单元模型中的多个LSTM单元的输入,进行多路特征感知长短期记忆模型训练;具体的第一个多路特征感知长短期记忆单元模型的输入为初始时刻的流量数据,后续的多路特征感知长短期记忆单元模型的输入对应时刻的流量数据与前一个多路特征感知长短期记忆单元模型的输出;S5、将训练得到的多路特征感知长短期记忆模型最后一个多路特征感知长短期记忆单元模型的输出作为多路特征感知长短期记忆模型的最终输出。2.根据权利要求1所述的一种基于多路特征感知长短期记忆的异常流量检测方法,其特征在于,步骤S3所述LSTM单元的结构包括:遗忘门、输入门、输出门、候选细胞信息、第一与门、第二与门、第三与门以及或门;第一与门的输入为:该LSTM单元上一时刻的输出与当前时刻的输入经遗忘门后的输出、上一时刻的细胞状态;第二与门的输入为:该LSTM单元上一时刻的输出与当前时刻的输入经输入门后的输出、该LSTM单元上一时刻的输出与当前时刻的输入经候选细胞信息后的输出;第三与门的输入为:该LSTM单元上一时刻的输出与当前时刻的输入经输出门后的输出、或门输出的tanh函数值;或门的输入为:第一与门的输出、第二与门的输出;或门的输出为当前时刻的细胞状态;第三与门的输出为该LSTM单元的当前时刻的输出。3.根据权利要求2所述的一种基于多路特征感知长短期记忆的异常流量检测方法,其特征在于,步骤S4所述多路特征感知长短期记忆单元模型的输出结果为加权融合的结果,具体为:该多路特征感知长短期记忆单元模型中各LSTM单元对应一个影响因子系数,通过将各LSTM单元的输出各自对应的影响因子的乘积结果相加,得到多路特征感知长短期记忆单元模型的输出。4.根据权利要求3所述的一种基于多路特征感知长短期记忆的异常流量检测方法,其特征在...
【专利技术属性】
技术研发人员:韦云凯,邹璐韩,马立香,冷甦鹏,杨鲲,刘强,沈军,
申请(专利权)人:电子科技大学长三角研究院衢州,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。