【技术实现步骤摘要】
一种针对少样本恶意流量的检测系统及方法
[0001]本专利技术涉及恶意流量检测
,提供了一种针对少样本恶意流量的检测系统及方法。
技术介绍
[0002]网络流量是在网络空间中进行信息交互和传递的主要载体,基于网络流量的异常检测技术在恶意流量检测领域作为一项有效的主动防御技术,它通过对网络流量模式进行识别,及时发现网络流量中异常的流量模式和攻击行为,对于维护网络空间的安全具有重要意义。
[0003]然而,传统基于规则的网络流量异常检测技术极其依赖于已有规则库,难以适应当今日新月异的网络流量环境,也无法有效对一些不常见的网络流量攻击进行检测。随着大数据时代的到来,基于人工智能与神经网络的智能系统能够基于海量网络流量数据来实现流量异常检测,也被越来越多的机构与企业应用,基于传统迁移学习也能够一定程度上实现对少样本的检测。然而,这些智能系统往往由于网络数据包表征体系建立不完善、粒度过粗等原因,导致在实际网络流量的检测中表现较差。同时,传统迁移学习依旧依赖于少样本的训练数据来为智能系统提供先验知识,然而这些先验知识往往难以有效地构建针对该种少样本攻击标签合适的特征空间范围及决策超平面,导致系统最终检测与泛化能力不佳。
[0004]为了减小少样本对模型训练的影响,研究人员提出了一些方法。
[0005]在文献《GAN
‑
based imbalanced data intrusion detection system》、《PWG
‑
IDS:An Intrusion D ...
【技术保护点】
【技术特征摘要】
1.一种针对少样本恶意流量的检测系统,其特征在于,包括以下模块:流量数据处理模块:先通过CICflowmeter工具对流量数据的Pcap包进行特征提取,得到流量数据的初步特征向量A;接着对特征向量A的特征进行筛选、独热编码和归一化,得到特征向量B;数据增强模块:通过梯度提升决策树来计算特征向量B的特征重要性,并根据特征重要性进行功能性和非功能性特征的划分,然后通过生成对抗网络对少样本的特征向量B的非功能性部分进行生成,实现对少样本流量数据的增强,得到扩充的特征向量C;任务集构造模块:将扩充的特征向量C中每类恶意攻击和良性数据组成一个任务,每一个任务包含两个子集,且每个子集都包含恶意攻击和良性数据的特征向量,这样得到多个任务,再将这些任务分为元训练集和元测试集,并且使元训练集包含多样本的攻击类型,而元测试集包含所有类型的攻击。分类器模块:采用元学习的思想,先让多样本的元训练集对分类器进行训练,从元训练集中获取到分类器模型参数后,将其迁移到元测试集上,对于元测试集训练的分类器模型直接采用迁移过来的参数作为模型初始参数进行训练,得到最后检测的分类器。2.根据权利要求1所述的一种针对少样本恶意流量的检测系统,其特征在于,其中流量数据处理模块具体实现步骤如下:通过CICflowmeter工具对流量数据的Pcap包进行特征提取,得到流量数据的初步特征向量A,并统计出特征向量A常用的端口号和协议号,为了进一步方便模型的训练,在读取特征向量A后,对其进一步处理。先通过特征筛选除去特征向量中无用的Flow ID和分类时没用到特征,以减小维度,再通过独热编码将离散的特征值转换成连续的0,1独热向量,利用得到常用的端口号和协议号,将它们作为特征向量的新特征,并且将那些不常用的端口归为一类特征,而不常用的协议号归为另一类特征,这些新加入的特征的值都是0或1,1表示样本包含该特征,而0表示不包含该特征,之后,通过归一化来处理连续型的特征值,将其都映射0到1范围,特征向量A通过上述特征筛选,独热编码和归一化处理后,得到特征向量B。3.根据权利要求1所述的一种针对少样本恶意流量的检测系统,其特征在于,其中数据增强模块具体实现步骤如下:通过梯度提升决策树计算出特征向量B中恶意攻击特征向量部分的每类恶意攻击特征重要性,然后选取特征重要性排名前五的每类恶意攻击特征的交集作为功能性特征,剩下的特征作为非功能性特征,将少样本的恶意攻击特征向量经过上述划分后,通过生成对抗网络对非功能性特征部分进行生成,再将生成的非功能性特征与交集得到的功能性特征进行结合得到生成的少样本恶意攻击特征向量,并加入特征向量B中,得到特征向量C。4.根据权利要求1所述的一种针对少样本恶意流量的检测系统,其特征在于,其中任务集构造模块具体实现步骤如下:将特征向量C构造成多任务的形式,其中每个任务包含一类攻击的特征向量和良性特征向量,每一个任务包含两个子集,且每个子集都包含恶意攻击和良性数据的特征向量,这样得到多个任务,再将这些任务分为元训练集和元测试集,使元训练集包含多样本攻击类型,而元测试集包含所有类型的攻击,在元训练集中,每一个任务的两子集为样本集和查询集,而在元测试集中,每一个任务的两子集为支持集和测试集。5.根据权利要求1所述的一种针对少样本恶意流量的检测系统,其特征在于,其中分类
器模块具体实现步骤如下:进行模型训练时,先用元训练集的样本集搜索最佳的分类器模型参数,再用元训练集的查询集验证所选分类器模型参数的合理性,通过多样本的元训练集得到模型参数后,将其作为元测试...
【专利技术属性】
技术研发人员:牛伟纳,胡佳,张小松,姚领风,何朝旭,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。