【技术实现步骤摘要】
一种网络异常流量检测方法及装置
[0001]本申请涉及网络安全和人工智能
,具体而言,涉及一种网络异常流量检测方法及装置。
技术介绍
[0002]随着互联网技术的不断发展和网络基础设施的不断完善,网络攻击手段也在持续进化,网络安全和信息安全持续受到威胁。
[0003]网络异常流量检测是保障网络安全和信息安全的重要手段,目前主要的检测方法有基于端口的、基于深度数据包检查(DPI)的方法和基于统计的、基于行为的方法,其中基于端口和基于深度包检测的方法均为依赖制定规则的分类方法,针对流量所具有的不变特征,事先定义好相应的匹配规则对流量进行分类。这种方法对常见的静态的异常具有较好的检测效果,但由于基于既定的规则,这种方法难以检测罕见的异常流量,并且规则容易被颠覆,需要频繁更新。而基于统计和基于行为的分类方法主要基于传统的机器学习方法,其数据特征依赖专家经验,经过人工设计和筛选,利用传统机器学习算法实现异常流量的检测。这种方法能够更准确地检测到异常流量,但需要精心设计特征工程,高度依赖专家经验,容易遗漏数据中的重要信息。...
【技术保护点】
【技术特征摘要】
1.一种网络异常流量检测方法,其特征在于,包括:选定初始样本截取长度,对已标注的pcap流量数据样本集转换为灰度图像集,并将所述灰度图像集转换为idx格式的文件,以便图像数据集的存储和读取;根据设定的切分比例将所述idx格式的文件划分为训练集和测试集;对所述训练集进行样本均衡处理、预处理操作得到预处理的训练集;将所述预处理的训练集输入至已定义结构的卷积神经网络进行训练,得到网络异常流量检测模型;将所述测试集输入至所述网络异常流量检测模型进行模型评估,得到分类结果和模型准确率;将样本截取长度调优机制结合所述模型准确率调整样本截取长度,以便得到高准确率的网络异常流量检测模型。2.如权利要求1所述的网络异常流量检测方法,其特征在于,选定初始样本截取长度,对已标注的pcap流量数据样本集转换为灰度图像集的步骤,包括:选定一个初始样本截取长度,将已标注的pcap流量数据样本集按照五元组切分为流,并将所述流作为样本;利用所述初始样本截取长度对所述样本进行截取,并将截取后的样本转换为灰度图像集。3.如权利要求1所述的网络异常流量检测方法,其特征在于,对所述训练集进行样本均衡处理、预处理操作得到预处理的训练集的步骤,包括:对所述训练集中的黑样本进行图像扩增和对所述训练集中的白样本进行随机下采样,得到均衡样本集;对所述均衡样本集进行预处理操作得到预处理的训练集。4.如权利要求3所述的网络异常流量检测方法,其特征在于,对所述训练集中的黑样本进行图像扩增和对所述训练集中的白样本进行随机下采样,得到均衡样本集的步骤,包括:将所述训练集转换为一维数组样本,所述一维数组样本包括M个黑样本;计算单个黑样本至除单个黑样本之外的黑样本之间的距离,得到k近邻;按照k近邻选取N(N<M)个黑样本构建新的一维数组样本;将所述新的一维数组样本转换为第一样本集;对所述训练集中的白样本进行随机下采样得到第二样本集;结合所述第一样本集和所述第二样本集得到所述均衡样本集。5.如权利要求3所述的网络异常流量检测方法,其特征在于,所述预处理操作包括reshape、归一化、类别向量转换。6.如权利要求1所述的网络异常流量检测方法,其特征在于,所述样本截取长度调优机制为:设置初始样本截取长度为N,设置截取长度调整步长为step,设置准确率调整阈值;将所述初始样本截取长度按照向上调整...
【专利技术属性】
技术研发人员:邓莎,胥小波,范晓波,陈天莹,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。