一种网络异常流量检测方法、装置及存储介质制造方法及图纸

本发明专利技术公开了一种网络异常流量检测方法、装置及存储介质，方法包括：通过Smote过采样方法对样本中少量的攻击样本进行扩充，再与tomek Link算法相结合缓解Smote算法扩充样本数据形成的噪音。对预处理以及扩充后的样本进行标准化处理，使得样本的各个特征数值的均值和方差相同。将标准化处理后的特征向量先输入到改进的CNN模型中提取特征向量之间的空间局部信息，再投入多头自注意力模型中提取特征向量间的全局关联信息最终输出检测结果。针对攻击样本占比少将过采样与欠采样相结合的方式扩充样本数据提高与攻击流量预测的准确率，进一步将CNN提取局部特征关联的优点与自注意力机制能提取特征间的全局关联优点相结合可，提高网络异常流量的自动分类的准确性。高网络异常流量的自动分类的准确性。高网络异常流量的自动分类的准确性。

【技术实现步骤摘要】
一种网络异常流量检测方法、装置及存储介质


[0001]本专利技术属于网络安全
，涉及一种网络异常流量检测方法、装置及存储介质，具体涉及一种基于卷积神经网络CNN和多头自注意力机制 (Muti
‑
self
‑
attention)的网络异常流量检测方法、装置及存储介质。

技术介绍

[0002]目前，已有许多机器学习算法应用于异常流量检测，利用不同的机器学习算法降低误报率，检测异常的网络行为。
[0003]传统的机器学习方法在网络流量异常检测中十分有效，并且有一定的准确率，但存在以下不足：实验过程中的调优较为困难，而且需要人为选择特征，并且对提取特征的相关领域拥有很深入的研究了解，构造样本特征效率低，检测性能取决于参数调优和选择特征的质量。但如今网络流量数据量规模越来越大，数据维度越来越高，对异常检测的要求更高，传统的机器学习算法存在着训练效率低、特征提取繁琐、相关参数过多、检测准确度较低等问题。
[0004]现有技术仍然存在以下不足：使用深度学习的模型对网络异常流量数据进行分类检测，这样降低本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络异常流量检测方法，其特征在于，包括：获取网络流量数据；对网络流量数据进行特征提取得到流量特征数据；对流量特征数据进行预处理，得到预处理后的流量特征数据；采用Smote算法与Tomek Link算法相结合对预处理后的流量特征数据中负样本数据进行数据增强，得到扩充后的样本；对扩充后的样本进行归一化和标准化处理，得到标准化之后的样本特征；将标准化之后的样本特征输入CNN和多头自注意力模型，得到输出的网络异常流量检测结果。2.根据权利要求1所述的网络异常流量检测方法，其特征在于，采用Smote算法与Tomek Link算法相结合对预处理后的流量特征数据中负样本数据进行数据增强，得到扩充后的样本，包括：使用Smote算法对流量中少量的攻击样本进行上采样扩充，然后使用Tomek Link算法对扩充的样本进行下采样。3.根据权利要求1所述的网络异常流量检测方法，其特征在于，所述smote算法，包括；其中：X
new
表示新生成的样本，X
i
为少数类样本；的选取方法为：对一个少数类样本X
i
使用K近邻法，求出离距离X
i
最近的k个少数类样本，其中距离定义为样本之间n维特征空间的欧氏距离；然后从k个少数类样本中随机选取一个；为选出的k进邻的点，是一个随机数。4.根据权利要求1所述的网络异常流量检测方法，其特征在于，对流量特征数据进行预处理，包括：将一些异常值样本从流量特征数据中去除，得到预处理后的流量特征数据。5.根据权利要求1所述的网络异常流量检测方法，其特征...

【专利技术属性】
技术研发人员：梁正和，张金伦，
申请(专利权)人：河海大学，
类型：发明
国别省市：