【技术实现步骤摘要】
一种针对恶意流量检测的开集识别装置及方法
[0001]本专利技术涉及恶意流量检测
,提供了一种针对恶意流量检测的开集识别检测装置及方法。
技术介绍
[0002]随着物联网技术的兴起与发展,越来越多的设备实现了网络接入,然而大多数物联网设备都采取弱安全防护措施,存在较大的安全隐患。网络流量是网络空间中信息交互和传递的主要载体,相关研究指出,网络设备数量将在2025年达到754.8亿,2022年以后,巨量的网络设备每年将产生4.8ZB的流量。因此,基于网络流量的异常检测技术在恶意流量检测领域作为一项有效的主动防御技术,它通过对网络流量模式进行识别,及时发现网络流量中异常的流量模式和攻击行为,对于维护网络空间的安全具有重要意义。
[0003]然而,目前恶意流量检测系统的研究中,模型往往是在闭集的假设条件下进行的,很难适应现实的情况。在训练模型的过程中,没有为未知类别预留空间,模型会把出现的未知类错误地分为已知类的一种,从而导致已知类的分类准确性下降,同时模型也缺乏应对新类的能力,对出现的新型攻击类别造成遗漏。
[0004]如何在开集环境下仍具有较高的识别性能,研究人员提出了一些方法。
[0005]在文献《Towards open set deep networks》中提出了OpenMax模型,用Softmax层通过最小化交叉熵损失来训练网络,然后计算训练样本的特征到其对应类的平均特征向量的距离,并用于拟合每个已知类单独的威布尔分布,根据韦布尔分布拟合分数对特征向量进行重新分布,最后再利用Sof...
【技术保护点】
【技术特征摘要】
1.一种针对恶意流量的开集识别检测装置,其特征在于,包括以下模块:带标签的生成器模块:包括生成器与判别器,将随机生成的噪声和随机生成的类别标签拼接起来作为生成器的输入,从而使生成器能够生成指定类别的生成数据,将生成数据输入判别器,得到判别分数,判别分数表示判别器对真实数据和生成数据的评价,使生成数据的判别分数和真实数据的判别分数接近,从而优化生成器生成的生成数据,使得生成数据接近真实数据样本的分布;具有辅助分类器的判别器模块:在判别器的最后一层添加一个k+1维度的分类分支,使判别器具有两个输出层:判别分数层和分类层,判别分数层对输入的数据产生真伪判别分数,分类层对多类别数据进行分类,输出未知类判别与已知类分类结果,其中k表示训练集中的攻击类别个数;生成对抗和开集识别模块:根据判别器模块的判别分数层输出的判别分数,对生成器生成的生成数据和真实数据进行判别,使生成器和判别器模块相互对抗,共同训练,将生成器生成的伪数据,即生成数据作为开集数据的扩充,使分类层能够对未知数据进行识别分类,也能够对已知攻击进行分类,得到开集识别监测模型。2.根据权利要求1所述的一种针对恶意流量的开集识别检测装置,其特征在于,其中带标签的生成器模块具体实现步骤如下:S1:初始化生成器的模型结构,生成器具备两个输入:随机噪声和随机标签,使其可以生成各种类别的生成数据,在训练开始前,通过高斯分布初始化生成器的模型参数;S2:将随机生成的噪声和类别标签拼接起来,共同输入生成器中,使生成器生成指定类别的生成数据,依据判别器的判别分数,优化生成器生成的生成数据,使生成数据判别分数接近1,即接近真实数据样本的分布,最后将生成的数据与真实的样本数据一起输入判别器模块中。3.根据权利要求1所述的一种针对恶意流量的开集识别检测装置,其特征在于,其中具有辅助分类器的判别器模块具体实现步骤如下:S1:定义判别器的模型结构,判别器具有一个输入,两个输出,生成数据和真实数据输入判别器中,判别器的最后一层增加一个k+1维度的分类分支,其中k表示训练集中的攻击类别个数,使其具有两个输出层:判别分数层和分类层;S2:初始化判别器的判别分数层,使其对生成器生成的生成数据判别分数接近0,对真实数据样本的判别分数接近1;S3:初始化判别器的分类层,使其将生成器生成的生成数据分类为第k+1类,实现对未知类的判别和已知类的分类。4.根据权利要求1所述的一种针对恶意流量的开集识别检测装置,其特征在于,其中生成对抗和开集识别模块具体实现步骤如下:S1:基于判别器模块的判别器分数,使生成器和判别器模块相互对抗,共同训练,具体的为:对判别器进行训练,使其对生成数据的判别分数接近于0,使真实数据的判别分数尽可能接近1,对生成器进行训练,使生成器生成的生成数据判别分数接近1,即接近于真实数据分布,从而使生成器学习到真实数据的分布且判别器模块具备判断真伪样本的能力;
S2:生成器生成的生成数据接近于真实样本的数据分布,其特征空间接近于真实样本...
【专利技术属性】
技术研发人员:牛伟纳,姚领风,张小松,胡佳,何朝旭,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。