【技术实现步骤摘要】
一种异常流量检测方法和装置
[0001]本专利技术涉及计算机
,尤其涉及一种异常流量检测方法和装置。
技术介绍
[0002]SDN(Software Defined Network,软件定义网络)实现从网络部署到对网络进行编程式部署的蜕变,只有对网络流量的实时监控,才能对网络流量进行及时把控和有效管理,而大流就是异常流量中的一种。大流的定义为在单位时间内占用八成带宽(或八成以上带宽)的小部分数据流,而其余二成带宽却是由大量的小流(单位时间内占用二成或二成以下带宽)占用,由于大流数据传输量过大的特点,导致网络交通问题、网络工具问题以及信息安全问题等,严重地影响了网络功能。因而大流检测是对网络流量有效控制的有力手段。现有技术中,对大流进行检测的方法有迭代检测法,采样检测法,决策树检测法等。
[0003]迭代检测法的原型是一个分布式流量检测系统,其系统自身存在瓶颈区,导致检测精度存在一定阈值(约80%),如在此基础上想再提升精度将耗费前期的倍数成本;其次,该方法涉及专业硬件设备(交换机)进行网络流量的计算以及任务的分...
【技术保护点】
【技术特征摘要】
1.一种异常流量检测方法,其特征在于,包括:将第一数据包拆解为预设格式的数据流,并按照特征构造规则构造所述数据流的特征;将所述数据流的特征输入选定的卷积神经网络,在所述选定的卷积神经网络中,通过卷积层捕获所述数据流的特征,并通过选定激活函数对所述卷积层的输出结果进行非线性映射,通过池化层对所述非线性映射后的特征降维之后,通过全连接层确定所述数据流是否为异常流量。2.根据权利要求1所述的方法,其特征在于,所述将第一数据包拆解为预设格式的数据流,包括:将所述第一数据包拆分为至少一个第二数据包,所述第二数据包具有五元组参数,所述五元组参数包括源IP地址、源端口、目的IP地址、目的端口和传输协议;将所述五元组参数相同的所述第二数据包组建为所述预设格式的数据流。3.根据权利要求1所述的方法,其特征在于,所述按照特征构造规则构造所述数据流的特征,包括:对所述数据流按照量级选取规则选取特征,所述量级选取规则与特征数量相关,并对选取的特征按照效级选取规则进行特征组合,得到所述数据流的特征,所述效级选取规则为优先组合代表异常流量的特征。4.根据权利要求1或3所述的方法,其特征在于,还包括:选取一个特征周期内的数据流样本集,按照所述特征构造规则,对所述数据流样本集中的上行、下行两个方向的数据流样本构造数据流样本特征,所述数据流样本对应有真实值,所述真实值指示所述数据流样本是否为异常流量;基于所述数据流样本特征训练所述卷积神经网络,并进行过拟合处理,然后利用选定的损失函数计算本轮训练中所述卷积神经网络输出的预测值与对应的所述真实值的误差,如果所述误差不满足预设要求,则更新所述卷积神经网络的参数,并继续进行下一轮训练,直到所述误差满足所述预设要求时训练结束。5.根据权利要求4所述的方法,其特征在于,通过变换所述卷积神经网络的激活函...
【专利技术属性】
技术研发人员:张力也,
申请(专利权)人:北京京东世纪贸易有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。