一种基于多路特征感知长短期记忆的异常流量检测方法技术

本发明专利技术公开一种基于多路特征感知长短期记忆的异常流量检测方法，应用于网络安全领域，针对现有的异常流量检测准确率低的问题，本发明专利技术对传统的长短期记忆网络模型进行改进，根据输入的流量数据特征维度n，在多路特征感知长短期网络内部构造n个LSTM单元，作为特征单元，各个特征单元接受一类特征的输入，对该类特征的数据进行学习训练；本发明专利技术的方法有效利用网络流量特征信息及流量数据的序列化特点，引导模型学习输入的各特征对输出结果的影响程度以及各路特征自身的前后时间关联性，从而提高异常流量检测的准确率。而提高异常流量检测的准确率。而提高异常流量检测的准确率。

【技术实现步骤摘要】
一种基于多路特征感知长短期记忆的异常流量检测方法


[0001]本专利技术属于网络安全领域，特别涉及一种异常流量检测技术。

技术介绍

[0002]随着网络技术的迅速发展和网络应用的日益广泛，网络安全问题也日益突出，网络异常流量检测作为保护网络安全的重要手段，其检测方法也逐渐受到人们的重视。传统的网络流量检测方法主要分为四类：基于端口的方法、基于DPI(深度报文检测)的方法、基于统计的方法和基于行为的方法。其中基于端口的方法识别准确率很低；基于DPI的方法则计算复杂度高，需要消耗大量计算机资源；基于统计的方法和基于行为的方法均属于传统机器学习领域，诸如朴素贝叶斯算法、SVM、随机森林算法等，其检测效果相较于前者更好，但是传统的机器学习无法很好地对输入的流量数据特性进行学习，需要人工设计反映流量特性的特征集，随着网络流量趋于多元化，其检测效果也并不理想。
[0003]深度学习解决了传统机器学习依赖特征设计的问题，是一种基于特征学习思想的机器学习技术。深度学习的深层神经网络结构使得其可以从杂乱的数据中自动学习流量数据的内在特征，从而有着更好的检本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多路特征感知长短期记忆的异常流量检测方法，其特征在于，包括：S1、分别从正常网络环境和异常网络环境中获取一串时间序列的流量数据，整理为时间序列的流量数据集，提取所获取时间序列的流量数据的特征，并对时间序列的流量数据进行是否异常的标记；S2、根据步骤S1提取的时间序列的流量数据的特征维度数量将时间序列的流量数据集均分成多维数据；S3、构造多路特征感知长短期记忆模型，具体的：所述多路特征感知长短期记忆模型包括N个时间步长下的多路特征感知长短期记忆单元模型，单个多路特征感知长短期记忆单元模型中的LSTM单元的个数根据步骤S1提取的时间序列的流量数据的特征维度数量确定；S4、将步骤S2的多维数据分别作为单个多路特征感知长短期记忆单元模型中的多个LSTM单元的输入，进行多路特征感知长短期记忆模型训练；具体的第一个多路特征感知长短期记忆单元模型的输入为初始时刻的流量数据，后续的多路特征感知长短期记忆单元模型的输入对应时刻的流量数据与前一个多路特征感知长短期记忆单元模型的输出；S5、将训练得到的多路特征感知长短期记忆模型最后一个多路特征感知长短期记忆单元模型的输出作为多路特征感知长短期记忆模型的最终输出。2.根据权利要求1所述的一种基于多路特征感知长短期记忆的异常流量检测方法，其特征在于，步骤S3所述LSTM单元的结构包括：遗忘门、输入门、输出门、候选细胞信息、第一与门、第二与门、第三与门以及或门；第一与门的输入为：该LSTM单元上一时刻的输出与当前时刻的输入经遗忘门后的输出、上一时刻的细胞状态；第二与门的输入为：该LSTM单元上一时刻的输出与当前时刻的输入经输入门后的输出、该LSTM单元上一时刻的输出与当前时刻的输入经候选细胞信息后的输出；第三与门的输入为：该LSTM单元上一时刻的输出与当前时刻的输入经输出门后的输出、或门输出的tanh函数值；或门的输入为：第一与门的输出、第二与门的输出；或门的输出为当前时刻的细胞状态；第三与门的输出为该LSTM单元的当前时刻的输出。3.根据权利要求2所述的一种基于多路特征感知长短期记忆的异常流量检测方法，其特征在于，步骤S4所述多路特征感知长短期记忆单元模型的输出结果为加权融合的结果，具体为：该多路特征感知长短期记忆单元模型中各LSTM单元对应一个影响因子系数，通过将各LSTM单元的输出各自对应的影响因子的乘积结果相加，得到多路特征感知长短期记忆单元模型的输出。4.根据权利要求3所述的一种基于多路特征感知长短期记忆的异常流量检测方法，其特征在...

【专利技术属性】
技术研发人员：韦云凯，邹璐韩，马立香，冷甦鹏，杨鲲，刘强，沈军，
申请(专利权)人：电子科技大学长三角研究院衢州，
类型：发明
国别省市：