本发明专利技术公开一种多路径QUIC异常流量检测方法、系统及设备,属于网络流量异常检测领域,方法包括:获取多路径QUIC的待测网络流量数据;对所述待测网络流量数据应用EMD方法分解出多个IMF分量;将每一IMF分量输入至训练好的LSTM模型中,得到每一IMF分量的预测特征;将所有IMF分量的预测特征进行重构,得到待测网络流量重构数据;基于待测网络流量重构数据进行异常流量检测。利用经验模态分解对数据分解去噪,利用长短时记忆网络和学习数据的长时依赖性,从而通过基于EMD和LSTM的结合实现更加准确的MPQUIC异常流量检测。确的MPQUIC异常流量检测。确的MPQUIC异常流量检测。
【技术实现步骤摘要】
一种多路径QUIC异常流量检测方法、系统及设备
本专利技术涉及网络流量异常检测领域,特别是涉及一种基于EMD
‑
LSTM的MPQUIC流量异常检测方法、系统及设备。
技术介绍
随着互联网时代的高速发展,许多新兴的网络传输技术被提出。基于网络用户的需求日益增加,网页加载时间作为衡量互联网性能的重要指标,也得到了重点关注。为了对网页性能做出提升,超文本传输协议版本2(HTTP/2)得以提出,HTTP/2通过压缩报文头部以及多路复用,有效提升了网页性能
[0001]。紧接着,在HTTP/2表现积极影响的同时,一种快速UDP传输协议(QUIC)也在其基础上被提出,以便进一步提升通信的传输性能。QUIC协议在结合类TCP的连接和HTTP/2的多路复用功能的同时,还打破传统TCP+TLS版本的一些限制,优化了三次握手过程,以及在请求数据中附带TLS的参数,以实现0
‑
RTT的数据传输。与TCP协议相比,QUIC协议具有更通用的整体设计。特别地,由于TCP协议基于内核态,导致TCP协议本身的演进周期长。然而QUIC协议基于用户态,使其实现了可插拔的拥塞控制(在应用程序层面实现不同的拥塞控制算法),以及易于兼容其他传输协议(例HTTP),迭代更新速度快,具备较高的传输速度等诸多优势。这些优势让QUIC协议在不同的传输场景中都具备更高的适应性。目前,如Google等众多浏览器中都已经部署了QUIC协议。虽然HTTP/2基础上实现的QUIC协议有效提高了网络的传输速度,但是在网络接口方面的限制仍然影响着网络带宽。因此,如Wi
‑
Fi和LTE等单设备多接口的技术就极其适用于解除这一限制的影响,这也是能让QUIC协议进行多路径技术结合的可行性技术。伴随着HTTP/3的提出,QUIC协议也进行了多路径的标准化扩展,即扩展协议多路径QUIC(MPQUIC)。类似MPTCP在工业互联网中的部署,体现了多路径传输技术的优势。MPQUIC在多种业务场景中同样都具备一定的优势。如图1所示,与单路经QUIC协议相比,MPQUIC可以通过Wi
‑
FI、5G等多条不同路径进行传输,结合多种传输场景,实现了更高带宽的并行传输。此外,MPQUIC还可以有效减少端到端的延迟,有效针对应用层需求实现合适的调度算法。如图2所示,MPQUIC沿用了QUIC的连接ID特性,从而具备连接迁移能力。当路径切换导致的IP地址发生变更(如从Wi
‑
Fi环境切换到5G环境),或者端口号发生变更时,一般会导致连接不可用,但连接ID使只需要64bit的标识就可以标识一个连接,以实现快速的重新连接[11]。同时,图中的MPQUIC包中信息还包含路径ID,这一特点也使协议在远端IP地址改变时可以进行多流控制,以保证路径上的信息不发生改变。QUIC是新一代基于HTTP/3协议的标准传输协议,而MPQUIC作为QUIC和多路径技术的结合,具有众多优势。但尽管如此,MPQUIC在协议安全性方面仍存在部分缺陷,容易受到网络异常流量的攻击。
技术实现思路
本专利技术的目的是提供一种多路径QUIC异常流量检测方法、系统及设备,利用经验模态分解(EMD)对数据分解去噪,利用长短时记忆网络(LSTM)和学习数据的长时依赖性,从而通过基于EMD和LSTM的MPQUIC实现更加准确的MPQUIC异常流量检测。为实现上述目的,本专利技术提供了如下方案:一种多路径QUIC异常流量检测方法,所述方法包括:获取多路径QUIC的待测网络流量数据;对所述待测网络流量数据应用EMD方法分解出多个IMF分量;将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征;将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据;基于所述待测网络流量重构数据进行异常流量检测。可选的,对所述待测网络流量数据应用EMD方法分解出多个IMF分量,具体包括:确定当前待分解的数据的数据上限和数据下限;第一次筛选时,当前所述待分解的数据为所述待测网络流量数据;基于所述数据上限和所述数据下限确实数据平均值;基于当前所述待分解的数据和所述数据平均值确定第k个所述IMF分量;判断当前所述待分解的数据的局部极值点个数和零点个数的绝对差值是否大于第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和是否等于第二预设值;当前所述待分解的数据的局部极值点个数和零点个数的绝对差值大于所述第一预设值且当前所述待分解的数据的所述数据上限和所述数据下限之和不等于所述第二预设值时,令第k个所述IMF分量为当前所述待分解的数据,返回步骤“确定当前待分解的数据的数据上限和数据下限”;当前所述待分解的数据的局部极值点个数和零点个数的绝对差值小于等于所述第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和等于所述第二预设值时,确定第k个所述IMF分量的残差,令第k个所述IMF分量为当前所述待分解的数据;判断第k个所述IMF分量的残差是否单调,若单调,则输出k个所述IMF分量;若不单调,则令k=k+1并返回步骤“确定当前待分解的数据的数据上限和数据下限”。可选的,将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据,具体包括:对所有所述IMF分量的预测特征进行快速傅里叶变换;基于傅里叶变换后的特征确定高频的IMF分量预测特征和低频的IMF分量预测特征;选取所有所述低频的IMF分量预测特征进行重构,得到所述待测网络流量重构数据。可选的,将每一所述IMF分量输入至训练好的LSTM模型中之前包括:对所有所述所述IMF分量进行数据清洗和归一化处理。可选的,将每一所述IMF分量输入至训练好的LSTM模型中之前还包括:
获取多路径QUIC的历史网络流量异常数据集;对所述历史网络流量异常数据集应用EMD方法分解出多个IMF分量集;将每一所述IMF分量集分为训练集和测试集;利用所述训练集和所述测试集对训练前的LSTM模型进行训练和测试,得到所述训练后的LSTM模型。可选的,利用所述训练集和所述测试集对训练前的LSTM模型进行训练和测试,得到所述训练后的LSTM模型之后还包括:将所述测试集对应的模型输出的预测数据进行重构,得到历史网络流量重构数据;基于所述历史网络流量重构数据和所述历史网络流量异常数据集计算所述训练后的LSTM模型的平均绝对百分比误差和均方根误差参数值;根据所述平均绝对百分比误差和所述均方根误差参数值对所述训练后的LSTM模型进行评估。本专利技术还提供一种多路径QUIC异常流量检测系统,所述系统包括:数据采集模块,用于获取多路径QUIC的待测网络流量数据;流量数据处理模块,用于对所述待测网络流量数据应用EMD方法分解出多个IMF分量;数据预测模块,用于将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征;数据重构模块,用于将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据;异常检测模块,用于基于所述待测网络流量重构数据进行异常流量检测。本专利技术还提供一种电子设备,包括存储器及处理器,存储器用于存储计本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多路径QUIC异常流量检测方法,其特征在于,所述方法包括:获取多路径QUIC的待测网络流量数据;对所述待测网络流量数据应用EMD方法分解出多个IMF分量;将每一所述IMF分量输入至训练好的LSTM模型中,得到每一所述IMF分量的预测特征;将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据;基于所述待测网络流量重构数据进行异常流量检测。2.根据权利要求1所述的方法,其特征在于,对所述待测网络流量数据应用EMD方法分解出多个IMF分量,具体包括:确定当前待分解的数据的数据上限和数据下限;第一次筛选时,当前所述待分解的数据为所述待测网络流量数据;基于所述数据上限和所述数据下限确实数据平均值;基于当前所述待分解的数据和所述数据平均值确定第k个所述IMF分量;判断当前所述待分解的数据的局部极值点个数和零点个数的绝对差值是否大于第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和是否等于第二预设值;当前所述待分解的数据的局部极值点个数和零点个数的绝对差值大于所述第一预设值且当前所述待分解的数据的所述数据上限和所述数据下限之和不等于所述第二预设值时,令第k个所述IMF分量为当前所述待分解的数据,返回步骤“确定当前待分解的数据的数据上限和数据下限”;当前所述待分解的数据的局部极值点个数和零点个数的绝对差值小于等于所述第一预设值或当前所述待分解的数据的所述数据上限和所述数据下限之和等于所述第二预设值时,确定第k个所述IMF分量的残差,令第k个所述IMF分量为当前所述待分解的数据;判断第k个所述IMF分量的残差是否单调,若单调,则输出k个所述IMF分量;若不单调,则令k=k+1并返回步骤“确定当前待分解的数据的数据上限和数据下限”。3.根据权利要求1所述的方法,其特征在于,将所有所述IMF分量的预测特征进行重构,得到待测网络流量重构数据,具体包括:对所有所述IMF分量的预测特征进行快速傅里叶变换;基于傅里叶变换后的特征确定高频的IMF分量预测特征和低频的...
【专利技术属性】
技术研发人员:曹远龙,吴骏逸,顾克阳,黄欣,雷刚,邓水光,
申请(专利权)人:江西师范大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。