基于深度合成数据的异常检测方法和系统技术方案

本发明专利技术提供一种基于深度合成数据的异常检测方法和系统，通过检测点采样和构建网络拓扑建模预测流量途径的重要节点采样两种采样方式，得到两个不同的样本集，将两个样本集输入对抗性网络，计算两者之间的差异度，根据差异度调整流量途径的节点的预测，当该差异度小于等于阈值时表示捕获成功，融合得到深度合成样本集，最后通过识别模型分类。最后通过识别模型分类。最后通过识别模型分类。

【技术实现步骤摘要】
基于深度合成数据的异常检测方法和系统


[0001]本申请涉及网络安全
，尤其涉及一种基于深度合成数据的异常检测方法和系统。

技术介绍

[0002]现有的网络检测方法经常由于样本不均导致漏检或错检，需要考虑网络拓扑结构进行正向建模，根据流量的动态分布合理采集样本，从而更好地提取特征。
[0003]因此，急需一种针对性的基于深度合成数据的异常检测方法和系统。

技术实现思路

[0004]本专利技术的目的在于提供一种基于深度合成数据的异常检测方法和系统，解决现有样本不均导致漏检或错检的问题。
[0005]第一方面，本申请提供一种基于深度合成数据的异常检测方法，所述方法包括：
[0006]在检测点采集数据包，提取其中携带的第一数据特征；
[0007]根据网络中网元之间的交互和流量的路径，构建网络拓扑关系表；
[0008]获知发送流量的网元标识和数量，根据该发送流量的网元在所述网络拓扑关系表中的位置，预测流量途径的重要节点，采集该重要节点的数据包，提取其中携带的第二数据特征；
[0009]分别对第一数据特征和第二数据特征进行离散化处理，得到降维后的第一样本集和第二样本集；
[0010]将所述第一样本集和第二样本集分别送入对抗性网络的两个输入端，由该对抗性网络计算两者之间的差异度，若该差异度大于阈值，则将差异度反馈给网络拓扑关系表，用于调整预测流量途径的节点的重要程度；若该差异度小于等于阈值，则表示捕获成功，将所述第一样本集和第二样本集融合为深度合成样本集；
[0011]将所述深度合成样本集送入识别模型，进行分类操作，得出分类结果；
[0012]根据所述分类结果进行管控。
[0013]第二方面，本申请提供一种基于深度合成数据的异常检测系统，所述系统包括：
[0014]第一采集单元，用于在检测点采集数据包，提取其中携带的第一数据特征；
[0015]构建单元，用于根据网络中网元之间的交互和流量的路径，构建网络拓扑关系表；
[0016]第二采集单元，用于获知发送流量的网元标识和数量，根据该发送流量的网元在所述网络拓扑关系表中的位置，预测流量途径的重要节点，采集该重要节点的数据包，提取其中携带的第二数据特征；
[0017]融合单元，用于分别对第一数据特征和第二数据特征进行离散化处理，得到降维后的第一样本集和第二样本集；
[0018]将所述第一样本集和第二样本集分别送入对抗性网络的两个输入端，由该对抗性网络计算两者之间的差异度，若该差异度大于阈值，则将差异度反馈给网络拓扑关系表，用
于调整预测流量途径的节点的重要程度；若该差异度小于等于阈值，则表示捕获成功，将所述第一样本集和第二样本集融合为深度合成样本集；
[0019]分类单元，用于将所述深度合成样本集送入识别模型，进行分类操作，得出分类结果；
[0020]执行单元，用于根据所述分类结果进行管控。
[0021]第三方面，本申请提供一种基于深度合成数据的异常检测系统，所述系统包括处理器以及存储器：
[0022]所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
[0023]所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
[0024]第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面四种可能中任一项所述的方法。
[0025]有益效果
[0026]本专利技术提供一种基于深度合成数据的异常检测方法和系统，通过检测点采样和构建网络拓扑建模预测流量途径的重要节点采样两种采样方式，得到两个不同的样本集，将两个样本集输入对抗性网络，计算两者之间的差异度，根据差异度调整流量途径的节点的预测，当该差异度小于等于阈值时表示捕获成功，融合得到深度合成样本集，最后通过识别模型分类，克服了现有技术由于样本不均导致漏检或错检的不足，实现检测的高效性和自动性。
附图说明
[0027]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0028]图1为本专利技术基于深度合成数据的异常检测方法的大致流程图；
[0029]图2为本专利技术基于深度合成数据的异常检测系统的架构图。
具体实施方式
[0030]下面结合附图对本专利技术的优选实施例进行详细阐述，以使本专利技术的优点和特征能更易于被本领域技术人员理解，从而对本专利技术的保护范围做出更为清楚明确的界定。
[0031]图1为本申请提供的基于深度合成数据的异常检测方法的大致流程图，所述方法包括：
[0032]在检测点采集数据包，提取其中携带的第一数据特征；
[0033]根据网络中网元之间的交互和流量的路径，构建网络拓扑关系表；
[0034]获知发送流量的网元标识和数量，根据该发送流量的网元在所述网络拓扑关系表中的位置，预测流量途径的重要节点，采集该重要节点的数据包，提取其中携带的第二数据特征；
[0035]分别对第一数据特征和第二数据特征进行离散化处理，得到降维后的第一样本集和第二样本集；
[0036]将所述第一样本集和第二样本集分别送入对抗性网络的两个输入端，由该对抗性网络计算两者之间的差异度，若该差异度大于阈值，则将差异度反馈给网络拓扑关系表，用于调整预测流量途径的节点的重要程度；若该差异度小于等于阈值，则表示捕获成功，将所述第一样本集和第二样本集融合为深度合成样本集；
[0037]将所述深度合成样本集送入识别模型，进行分类操作，得出分类结果；
[0038]根据所述分类结果进行管控。
[0039]在一些优选实施例中，所述将第一样本集和第二样本集融合包括以下任一种：将两个样本集按照对应项目重组，第二样本集按照项目将数据特征插入补齐到第一样本集中，得到所述深度合成样本集；
[0040]或，将两个样本集按前后顺序拼接，得到所述深度合成样本集。
[0041]在一些优选实施例中，所述预测流量途径的重要节点包括：根据发送流量的网元在所述网络拓扑关系表中位置，确定流量可能流动的若干方向，再根据发送流量的网元的数量，确定若干流量可能交汇的交叉节点，最后根据发送流量的网元类型，确定流量的权重，最终预测出流量途径的重要节点。
[0042]从流量可能交汇的交叉节点中，根据流量的权重大小选出流量途径的重要节点，所述重要节点可以是多个流量都要交汇的节点，也可以是权重值排序前列的流量途径的节点。
[0043]在流量途径的重要节点处采集数据包，可以弥补现有技术样本不均的问题。
[0044]在一些优选实施例中，所述调整预测流量途径的节点的重要程度包括：接收对抗性网络反馈的所述差异度，利用该差异度修正网元类型与流量权重的对应关系，包括增加或降低权重数值。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于深度合成数据的异常检测方法，其特征在于，所述方法包括：在检测点采集数据包，提取其中携带的第一数据特征；根据网络中网元之间的交互和流量的路径，构建网络拓扑关系表；获知发送流量的网元标识和数量，根据该发送流量的网元在所述网络拓扑关系表中的位置，预测流量途径的重要节点，采集该重要节点的数据包，提取其中携带的第二数据特征；分别对第一数据特征和第二数据特征进行离散化处理，得到降维后的第一样本集和第二样本集；将所述第一样本集和第二样本集分别送入对抗性网络的两个输入端，由该对抗性网络计算两者之间的差异度，若该差异度大于阈值，则将差异度反馈给网络拓扑关系表，用于调整预测流量途径的节点的重要程度；若该差异度小于等于阈值，则表示捕获成功，将所述第一样本集和第二样本集融合为深度合成样本集；将所述深度合成样本集送入识别模型，进行分类操作，得出分类结果；根据所述分类结果进行管控。2.根据权利要求1所述的方法，其特征在于：所述将第一样本集和第二样本集融合包括以下任一种：将两个样本集按照对应项目重组，第二样本集按照项目将数据特征插入补齐到第一样本集中，得到所述深度合成样本集；或，将两个样本集按前后顺序拼接，得到所述深度合成样本集。3.根据权利要求1所述的方法，其特征在于：所述预测流量途径的重要节点包括：根据发送流量的网元在所述网络拓扑关系表中位置，确定流量可能流动的若干方向，再根据发送流量的网元的数量，确定若干流量可能交汇的交叉节点，最后根据发送流量的网元类型，确定流量的权重，最终预测出流量途径的重要节点。4.根据权利要求2或3任一项所述的方法，其特征在于：所述调整预测流量途径的节点的重要程度包括：接收...

【专利技术属性】
技术研发人员：魏亮，谢玮，魏薇，彭志艺，海涵，凌霞，郑晓玲，
申请(专利权)人：中国信息通信研究院，
类型：发明
国别省市：