一种基于多尺度特征融合的多源网络流量分类方法及装置制造方法及图纸

本发明专利技术属于网络安全领域，具体涉及一种基于多尺度特征融合的多源网络流量分类方法及装置；解决了传统的基于网络行为规则的恶意流量监测和网络入侵检测已难以适应目前网络变种持续迭代的问题。所述方法包括：数据采集、特征构建和数据标准化、特征重要度评估与特征选择、数据分组、模型训练和模型测试；所述装置包括，数据采集模块、特征构建模块、数据标准化模块、特征重要度评估与特征选择模块和模型训练模块。本发明专利技术通过模型优化，提高了网络流量数据可用性，实现了模型持续迭代和不断演进，进而提高模型分类的精度和准确率。而提高模型分类的精度和准确率。而提高模型分类的精度和准确率。

【技术实现步骤摘要】
一种基于多尺度特征融合的多源网络流量分类方法及装置


[0001]本专利技术属于网络的技术安全领域，具体涉及一种基于多尺度特征融合的多源网络恶意流量分类方法及装置。

技术介绍

[0002]网络攻击形式和攻击手段的不断变化对网络依赖不断加深的社会网络基础设施、国家安全和民众生活带来日益严峻的挑战。构建一个有效的针对恶意网络行为的检测装置，防范网络攻击，成为当前网络安全领域亟需解决的问题。
[0003]恶意网络流量是一个动态持续演变的过程，传统的基于网络行为规则的恶意流量监测和网络入侵检测已难以适应目前网络变种持续迭代，攻击目的明确和定制化攻击的新型网络恶意流量，如何利用网络流量的多层次属性挖掘网络流量的多尺度特征实现对网络恶意与正常流量的可靠分类，同时实现检测模型的快速迭代更新使监测模型能够快速响应网络特征变化成为一项亟待解决的问题。

技术实现思路

[0004]本专利技术是为了解决上述
技术介绍
中存在的不足之处，提出一种基于多尺度特征融合的多源网络流量分类方法及装置。
[0005]本专利技术解决其技术问题所采用的技术方案是：
[0006]一种基于多尺度特征融合的多源网络流量分类方法，包括以下步骤：
[0007]步骤1、数据采集，采集多路网络流量数据构成本地网络流数据样本D
ls
；
[0008]步骤2、特征构建及数据标准化，统计本地网络流数据样本D
ls
的统计特征，构成样本特征数据集D
fs
；
[0009]为D
fs
打标签；为D
fs
打标签，在数据集D
fs
创建一列新的标签列，在标签列中将正常数据行标签标注为“0”，将带有网络攻击/入侵特征得的数据行标签标注为“1”；
[0010]步骤3、特征重要度评估与特征选择，利用互信息理论样本特征数据集D
fs
中各特征与标签列的互信息值，互信息值大小标识各特征与网络行为攻击强度的相关性，将样本特征数据集D
fs
按照特征互信息值大小进行降序排列，取前若干列予以保留，构造为样本特征数据集 D
ss
；
[0011]步骤4、数据分组，将样本特征数据集D
ss
的数据进行随机分组，抽取部分为训练数据集D
ss_tr
，剩余部分作为测试数据集D
ss_t
；
[0012]步骤5、模型训练，构建融合局部和全局特征的网络行为分类模型，首先进行局部特征增强，抽取训练数据集D
ss_tr
中的不规则特征区域并循环重复得到局部特征集；将局部全局特征融合，对训练数据集D
ss_tr
中的局部和全局特征进行建模，将局部和全局特征进行多尺度融合得到局部
‑
全局特征F
cou
，局部
‑
全局特征F
cou
通过特征降维迭代得到行为表示矩阵D，为多源网络流量分类结果。
[0013]进一步的，所述的步骤5中局部特征增强包括：
[0014]步骤5.1、对所述的训练数据集D
ss_tr
根据式(1)进行卷积操作得到网络行为的初始特征集n
′
表示卷积操作中网络层数，其取值范围为1≤n
′
≤N
′
，
[0015][0016]其中conv
a
和conv
b
分别表示两层不同的神经网络卷积层参数，为卷积操作符；
[0017]步骤5.2、对初始特征集根据式(2)对D
n
′
位置P处的特征进行可变形卷积操作得到网络行为的局部特征I
loc
，
[0018][0019]其中W
k
和P
k
表示第k个位置预先指定的卷积权重和卷积偏移量，K表示可变形卷积层的频道数；
[0020]步骤5.3、对所述的网络行为的局部特征I
loc
根据式(3)进行平均池化操作得到网络行为的局部特征集其取值范围为1≤k≤K
[0021][0022]其中式(3)为计算平均池化的公式，F
k
表示第k个特征图在局部特征I
loc
的平均池化输出值，x
kpq
表示局部特征I
loc
中位于(p,q)处的第k个特征值。
[0023]进一步的，所述的步骤5中局部全局特征融合包括：
[0024]步骤5.4、对所述网络行为的局部特征集通过特征分离得到新的特征集{F
l
,F
g
}，其中F
l
表示局部特征建模分支的输入特征，F
g
表示全局特征建模分支的输入特征；
[0025]步骤5.5、对所述的局部特征建模分支的输入特征F
l
根据式(4) 进行深度卷积抽取网络行为的局部特征l(F
l
)，
[0026][0027]其中conv
c
表示局部特征建模分支中神经网络层参数；
[0028]步骤5.6、对所述的全局特征建模分支的输入特征F
g
根据式(5) 进自注意力划分权重并提取全局特征得到网络行为的全局特征g(F
g
)，
[0029][0030]其中g
i
(F
g
)表示i位置的特征与j位置的特征构建的关联关系，θ(
·
)、φ(
·
) 和分别表示在θ，φ和空间的特征耦合过程，N表示特征点矩阵的大小；F
g
表示全局特征建模分支的输入特征,T表示特征矩阵的转置；
[0031]步骤5.7、对所述的网络行为的局部特征l(F
l
)和步骤5.6得到的网络行为全局特征g(F
g
)根据式(6)进行多尺度特征融合操作得到局部
‑ꢀ
全局特征集F
cou
，
[0032]F
cou
＝f(l(F
l
),g(F
g
))
ꢀꢀꢀ
(6)
[0033]其中f(
·
,
·
)表示局部
‑
全局特征多尺度融合过程。
[0034]进一步的，所述的步骤5中特征降维包括
[0035]步骤5.8、对步骤5.7中得到的局部
‑
全局特征F
cou
通过特征降维模块迭代得到行为
表示矩阵D，
[0036][0037]其中conv
d
、conv
e
和conv
f
分别表示特征降维模块中三个不同卷积层的参数，为反卷积操作符。
[0038]进一步的，所述的分本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多尺度特征融合的多源网络流量分类方法，其特征在于包括以下步骤：步骤1、数据采集，采集多路网络流量数据构成本地网络流数据样本D
ls
；步骤2、特征构建及数据标准化，统计本地网络流数据样本D
ls
的统计特征，构成样本特征数据集D
fs
；为D
fs
打标签；为D
fs
打标签，在数据集D
fs
创建一列新的标签列，在标签列中将正常数据行标签标注为“0”，将带有网络攻击/入侵特征得的数据行标签标注为“1”；步骤3、特征重要度评估与特征选择，利用互信息理论样本特征数据集D
fs
中各特征与标签列的互信息值，互信息值大小标识各特征与网络行为攻击强度的相关性，将样本特征数据集D
fs
按照特征互信息值大小进行降序排列，取前若干列予以保留，构造为样本特征数据集D
ss
；步骤4、数据分组，将样本特征数据集D
ss
的数据进行随机分组，抽取部分为训练数据集D
ss_tr
，剩余部分作为测试数据集D
ss_t
；步骤5、模型训练，构建融合局部和全局特征的网络行为分类模型，首先进行局部特征增强，抽取训练数据集D
ss_tr
中的不规则特征区域并循环重复得到局部特征集；将局部全局特征融合，对训练数据集D
ss_tr
中的局部和全局特征进行建模，将局部和全局特征进行多尺度融合得到局部
‑
全局特征F
cou
，局部
‑
全局特征F
cou
通过特征降维迭代得到行为表示矩阵D，为多源网络流量分类结果。2.根据权利要求1所述的基于多尺度特征融合的多源网络流量分类方法，其特征在于所述的步骤5中局部特征增强包括：步骤5.1、对所述的训练数据集D
ss_tr
根据式(1)进行卷积操作得到网络行为的初始特征集n
′
表示卷积操作中网络层数，其取值范围为1≤n
′
≤N
′
，其中conv
a
和conv
b
分别表示两层不同的神经网络卷积层参数，为卷积操作符；步骤5.2、对初始特征集根据式(2)对D
′
n
位置P处的特征进行可变形卷积操作得到网络行为的局部特征I
loc
，其中W
k
和P
k
表示第k个位置预先指定的卷积权重和卷积偏移量，K表示可变形卷积层的频道数；步骤5.3、对所述的网络行为的局部特征I
loc
根据式(3)进行平均池化操作得到网络行为的局部特征集其取值范围为1≤k≤K其中式(3)为计算平均池化的公式，F
k
表示第k个特征图在局部特征I
loc
的平均池化输出值，x
kpq
表示局部特征I
loc
中位于(p,q)处的第k个特征值。3.根据权利要求2所述的基于多尺度特征融合的多源网络流量分类方法，其特征在于所述的步骤5中局部全局特征融合包括：
步骤5.4、对所述网络行为的局部特征集通过特征分离得到新的特征集{F
l
,F
g
}，其中F
l
表示局部特征建模分支的输入特征，F
g
表示全局特征建模分支的输入特征；步骤5.5、对所述的局部特征建模分支的输入特征F
l
根据式(4)进行深度卷积抽取网络行为的局部特征l(F
l
)，其中conv
c
表示局部特征建模分支中神经网络层参数；步骤5.6、对所述的全局特征建模分支的输入特征F
g
根据式(5)进自注意力划分权重并提取全局特征得到网络行为的全局特征g(F
g
)，其中g
...

【专利技术属性】
技术研发人员：谷良，吴瑶，李伟博，安毅，禹宁，周鑫，赵嘉，
申请(专利权)人：国网山西省电力公司信息通信分公司，
类型：发明
国别省市：