【技术实现步骤摘要】
一种基于双向时间卷积神经网络与多头自注意力机制的异常网络流量检测方法
[0001]本专利技术属于异常网络流量检测领域,涉及一种基于双向时间卷积神经网络与多头自注意力机制的异常网络流量检测方法。
技术介绍
[0002]随着当前互联网技术的不断发展,在网络缩短了人们之间的距离提供便利的同时,网络的普遍性和复杂性也导致了网络攻击方式和类别多样化。在网络领域成为与领土,领空,领海等并列的重要领域之后,网络黑客数量急剧骤增,层出不穷的网络病毒与异常流量肆虐整个互联网,特别是近几年来随着比特币价格不断增长,银行木马(Dridex) 等开始在世界范围内泛滥起来,这些病毒共同特点是隐蔽性极高,造成经济损失严重,经常被用来攻击一些银行或者新的投资创业,被攻击者往往在不知不觉中就损失了大量经济资源或算力资源。类似的网络安全问题近几年在世界范围上也越来越突出,网络安全领域作为起步较晚的领域,急需一些能够稳定解决上述网络安全问题的方法理论,而能准确地检测到这些恶意的网络攻击行为正是解决好网络安全问题的关键之一。
[0003]异常网络流量检测...
【技术保护点】
【技术特征摘要】
1.一种基于双向时间卷积神经网络与多头自注意力机制的异常网络流量检测方法,其特征在于,包括如下步骤:步骤1,捕获公开的原始网络流量文件,根据不同的流量数据特征对流量进行分割,找出重复及空白流量并删除;制定相应规则对分割后流量数据进行截取或补全,生成流量的字节序列,并标记流量的类型;步骤2,构建基于双向时间卷积网络与多头自注意力机制的异常流量检测模型,将步骤1所得流量序列放入模型中,得到异常流量分类结果。2.如权利要求1所述方法,其特征在于,所述步骤1的具体实现包括如下步骤:步骤1.1,捕获公开的网络流量并保存为pacp二进制格式流量文件;步骤1.2,根据保存的流量文件大小适当选择以流和会话不同粒度的流量数据特征进行分割,得到多个流量数据;步骤1.3,删除分割后流量中与其内容无关的特征信息,并以随机生成的方式对删除内容进行补全以保证训练顺利进行;根据流量相关特征对流量数据进行遍历查找,找到重复和空白的无关流量并进行删除;步骤1.4,遍历流量数据,截取出每条流量的前784字节,若流量长度不足则用
‘0’
将不足部分补全,最终将得到的流量字节序列表示为A=(a0,a1,...a
K
);步骤1.5,根据流量字节序列对其进行标记,并对不同的标记设置相应的种类标签。3.如权利要求1所述方法,其特征在于,所述步骤2的具体实现包括如下步骤:步骤2.1,将预处理过的数据集随机地分为20份,将其中的10份用来数据训练,余下的10份作为测试集使用;步骤2.2,建立由因果卷积,膨胀卷积,残差连接等部分所组成的时序卷积神经网络,其中将神经网络最后的全连接层替换为卷积层,使得后续层与前层长度统一,确保网络输入输出长度相同,因果卷积网络保障了在layer深度不变的情况之下,仅通过改变卷积核大小就可以扩大网络的感受野;膨胀卷积允许输入存在间隔采样,增加一个空洞参数d;其中d=2
n
(n表示网络的第n层),加入了空洞参数之后,由于d呈指数型增长,使得之前建立的因果网络感受野进一步扩大,确保可以处理更多的信息,对于卷积核大小为k,滤波器F=(f(1),f(2),......,f(k)),序列X=(x1,x2,......,x)在x处的空洞卷积表达式为:其中c为网络流量特征,“*”表示卷积运算,d表示空洞参数,也称扩张系数,s
‑
di表示历史某一流量的方向信息;为了解决正区间梯度消失问题,减少特征损失,采用ELU引入非线性因素,其具体公式如下:...
【专利技术属性】
技术研发人员:蔡赛华,刘明杰,徐涵,陈智霖,陈锦富,
申请(专利权)人:江苏大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。