一种空间信息网络流量的异常检测方法及装置制造方法及图纸

本发明专利技术涉及网络安全技术领域，特别是指一种空间信息网络流量的异常检测方法及装置。所述方法包括：获取空间信息网络无异常时的网络流量数据；对无异常时的网络流量数据进行预处理；利用卷积神经网络对数据包进行学习，得到空间特征；利用循环神经网络对无异常时的网络流量数据的空间特征进行学习，得到时序特征；根据空间特征和时序特征，得到无异常时的网络流量数据的时空特征；根据该时空特征对实时采集的网络流量数据进行异常检测，得到并输出异常检测结果。本发明专利技术利用深度学习算法对无异常时的网络流量数据进行学习，根据得到的时空特征对实时采集的网络流量数据进行异常检测，能解决手工设计特征带来的特征不准确等问题。解决手工设计特征带来的特征不准确等问题。解决手工设计特征带来的特征不准确等问题。

【技术实现步骤摘要】
一种空间信息网络流量的异常检测方法及装置


[0001]本专利技术涉及网络安全
，特别是指一种空间信息网络流量的异常检测方法及装置。

技术介绍

[0002]空间信息网络是以空间平台(如同步卫星，中低轨道卫星、平流层气球、有人或无人驾驶飞机等)为载体，实时获取、传输和处理空间信息的网络系统。空间信息网络通过组网互联，实时采集、传输和处理海量数据，实现卫星遥感、卫星导航和卫星通信的一体化集成应用与协同服务。
[0003]空间信息网络是一个综合性的网络系统，其面向多层次、多种用户提供多种类型的业务。随着空间信息网络的快速发展，其业务更加多样，状态也将更为复杂。网络流量异常对其网络性能的影响越来越大。准确、快速地检测出网络流量异常,并做出合理的响应,是保证空间信息网络正常运行的前提条件之一。目前，空间信息网络流量的异常检测需要手工设计特征，这导致网络流量的异常检测普遍存在特征依赖和高误警率等问题。

技术实现思路

[0004]本专利技术要解决的技术问题是提供一种空间信息网络流量的异常检测方法及装置，以解决现有网络流量的异常检测中存在的特征依赖和高误警率等问题。
[0005]为解决上述技术问题，本专利技术的技术方案如下：
[0006]一种空间信息网络流量的异常检测方法，包括：
[0007]步骤S1、获取一预设时间内空间信息网络的无异常时的网络流量数据；
[0008]步骤S2、对所述无异常时的网络流量数据进行预处理，得到多个数据包；
[0009]步骤S3、利用卷积神经网络对所述数据包进行学习，得到所述无异常时的网络流量数据的空间特征；
[0010]步骤S4、利用循环神经网络对所述无异常时的网络流量数据的空间特征进行学习，得到所述无异常时的网络流量数据的时序特征；
[0011]步骤S5、根据所述无异常时的网络流量数据的空间特征和时序特征，得到所述无异常时网络流量数据的时空特征；
[0012]步骤S6、根据所述无异常时的网络流量数据的时空特征对采集的空间信息网络的实时网络流量数据进行异常检测，得到并输出异常检测结果；所述异常检测结果可以包括：异常流量的时空特征与所述无异常时的网络流量数据的时空特征的对比结果。
[0013]进一步地，所述步骤S2包括：
[0014]步骤S21、将所述无异常时的网络流量数据分割为多个网络流，各所述网络流均包含数据包；
[0015]步骤S22、对所述数据包进行格式转换，得到二维图像格式的数据包。
[0016]进一步地，所述步骤S22包括：
[0017]步骤S221、对所述数据包进行分组，得到验证数据包和训练数据包；
[0018]步骤S222、对所述训练数据包进行格式转换，得到二维图像格式的数据包。
[0019]进一步地，所述步骤S221具体是：
[0020]使用交叉验证对所述数据包进行分组，得到验证数据包和多个训练数据包。
[0021]进一步地，所述步骤S3具体是：
[0022]利用卷积神经网络对所述二维图像格式的数据包进行学习，得到所述无异常时的网络流量数据的空间特征。
[0023]进一步地，所述步骤S6具体是，
[0024]步骤S61、采集空间信息网络的实时网络流量数据；
[0025]步骤S62、对所述实时网络流量数据进行预处理，得到多个数据包；
[0026]步骤S63、利用卷积神经网络对所述数据包进行学习，得到所述实时网络流量数据的空间特征；
[0027]步骤S64、利用循环神经网络对所述实时网络流量数据的空间特征进行学习，得到所述实时网络流量数据的时序特征；
[0028]步骤S65、根据所述实时网络流量数据的空间特征和时序特征，得到所述实时网络流量数据的时空特征；
[0029]步骤S66、将所述实时网络流量数据的时空特征与所述无异常时的网络流量数据的时空特征进行对比检测，得到并输出异常检测结果；所述异常检测结果可以包括：当所述实时网络流量数据的时空特征与所述无异常时的网络流量数据的时空特征不一致时，判定所述实时网络流量数据为异常流量。
[0030]进一步地，所述步骤S3包括：
[0031]步骤S31、将c1个大小为s1的卷积层作为第一卷积神经网络的第一个卷积层，增加尺寸为t1的一层最大池化层；
[0032]步骤S32、将c2个大小为s2的卷积层作为第一卷积神经网络的第二个卷积层，增加尺寸为t2的一层最大池化层；
[0033]步骤S33、通过第一卷积神经网络的全连接层，输出第一中间向量v
temp1
；
[0034]步骤S34、将c3个大小为s3的卷积层作为第二卷积神经网络的第一个卷积层，增加尺寸为t3的一层最大池化层；
[0035]步骤S35、将c4个大小为s4的卷积层作为第二卷积神经网络的第二个卷积层，增加尺寸为t4的一层最大池化层；
[0036]步骤S36、通过第二卷积神经网络的全连接层，输出第二中间向量v
temp2
；
[0037]步骤S37、通过公式v
temp
＝v
temp1
+v
temp2
将第一中间向量和第二中间向量进行拼接，得到待训练卷积神经网络模型；
[0038]步骤S38、将多个所述训练数据包输入所述待训练卷积神经网络模型，并使用梯度下降优化算法更新权重值和偏置值，得到待验证卷积神经网络模型；
[0039]步骤S39、将所述验证数据包输入所述待验证卷积神经网络模型，得到卷积神经网络模型；
[0040]步骤S310、利用卷积神经网络模型对所述二维图像格式的数据包进行学习，得到所述无异常时的网络流量数据的空间特征。
[0041]进一步地，所述步骤S4包括：
[0042]步骤S41、将一个包含l1个神经元单元的长短期记忆网络层作为长短期记忆网络模型的第一网络层，其抛弃值为d1,循环抛弃值为r1；
[0043]步骤S42、将一个包含l2个神经元单元的长短期记忆网络层作为长短期记忆网络模型的第二网络层，其抛弃值为d2,循环抛弃值为r2；
[0044]步骤S43、将一个全连接层用于连接第一网络层和第二网络层，其输出为网络流向量v
f
,得到待训练长短期记忆网络模型；
[0045]步骤S44、将多个所述训练数据包输入待训练长短期记忆网络模型，得到待验证长短期记忆网络模型；
[0046]步骤S45、将所述验证数据包输入所述待验证长短期记忆网络模型，得到长短期记忆网络模型；
[0047]步骤S46、利用长短期记忆网络对所述无异常时的网络流量数据的空间特征进行学习，得到所述无异常时的网络流量数据的时序特征。
[0048]进一步地，所述长短期记忆网络模型包括：
[0049]遗忘门，所述遗忘门提供遗忘参数，所述遗忘参数通过公式f
t
＝σ(W
...

【技术保护点】

【技术特征摘要】
1.一种空间信息网络流量的异常检测方法，其特征在于，包括：步骤S1、获取一预设时间内空间信息网络无异常时的网络流量数据；步骤S2、对所述无异常时的网络流量数据进行预处理，得到多个数据包；步骤S3、利用卷积神经网络对所述数据包进行学习，得到所述无异常时的网络流量数据的空间特征；步骤S4、利用循环神经网络对所述无异常时的网络流量数据的空间特征进行学习，得到所述无异常时的网络流量数据的时序特征；步骤S5、根据所述无异常时的网络流量数据的空间特征和时序特征，得到所述无异常时的网络流量数据的时空特征；步骤S6、根据所述无异常时的网络流量数据的时空特征对采集的空间信息网络的实时网络流量数据进行异常检测，得到并输出异常检测结果；所述异常检测结果可以包括：异常流量的时空特征与所述无异常时的网络流量数据的时空特征的对比结果。2.根据权利要求1所述的空间信息网络流量的异常检测方法，其特征在于，所述步骤S2包括：步骤S21、将所述无异常时的网络流量数据分割为多个网络流，各所述网络流均包含数据包；步骤S22、对所述数据包进行格式转换，得到二维图像格式的数据包。3.根据权利要求2所述的空间信息网络流量的异常检测方法，其特征在于，所述步骤S22包括：步骤S221、对所述数据包进行分组，得到验证数据包和训练数据包；步骤S222、对所述训练数据包进行格式转换，得到二维图像格式的数据包。4.根据权利要求3所述的空间信息网络流量的异常检测方法，其特征在于，所述步骤S221具体是：使用交叉验证对所述数据包进行分组，得到验证数据包和多个训练数据包。5.根据权利要求4所述的空间信息网络流量的异常检测方法，其特征在于，所述步骤S3具体是：利用卷积神经网络对所述二维图像格式的数据包进行学习，得到所述无异常时的网络流量数据的空间特征。6.根据权利要求1所述的空间信息网络流量的异常检测方法，其特征在于，所述步骤S6具体是：步骤S61、采集空间信息网络的实时网络流量数据；步骤S62、对所述实时网络流量数据进行预处理，得到多个数据包；步骤S63、利用卷积神经网络对所述数据包进行学习，得到所述实时网络流量数据的空间特征；步骤S64、利用循环神经网络对所述实时网络流量数据的空间特征进行学习，得到所述实时网络流量数据的时序特征；步骤S65、根据所述实时网络流量数据的空间特征和时序特征，得到所述实时网络流量数据的时空特征；步骤S66、将所述实时网络流量数据的时空特征与所述无异常时的网络流量数据的时
空特征进行对比检测，得到并输出异常检测结果；所述异常检测结果可以包括：当所述实时网络流量数据的时空特征与所述无异常时的网络流量数据的时空特征不一致时，判定所述实时网络流量数据为异常流量。7.根据权利要求5所述的空间信息网络流量的异常检测方法，其特征在于，所述步骤S3包括：步骤S31、将c1个大小为s1的卷积层作为第一卷积神经网络的第一个卷积层，增加尺寸为t1的一层最大池化层；步骤S32、将c2个大小为s2的卷积层作为第一卷积神经网络的第二个卷积层，增加尺寸为t2的一层最大池化层；步骤S33、通过第一卷积神经网络的全连接层，输出第一中间向量v
temp1
；步骤S34、将c3个大小为s3的卷积层作为第二卷积神经网络的第一个卷积层，增加尺寸为t3的一层最大池化层；步骤S35、将c4个大小为s4的卷积层作为第二卷积神经网络的第二个卷积层，增加尺寸为t4的一层最大池化层；步骤S36、通过第二卷积神经网络的全连接层，输出第二中间向量v
temp2
；步骤S37、通过公式v
temp
＝v
temp1
+v
temp2
将第一中间向量和第二中间向量进行拼接，得到待训练卷积神经网络模型；步骤S38、将多个所述训练数据包输入所述待训练卷积神经网络模型，并使用梯度下降优化算法更新权重值和偏置值，得到待验证卷积神经网络模型；步骤S39、将所述验证数据包输入所述待验证卷积神经网络模型，得到卷积神经网络模型；步骤S310、利用卷积神经网络模型对所述二维图像格式的数据包进行学习，得到所述无异常时的网络流量数据的空间特征。8.根据权利要求6所述的空间信息网络流量的异常检测方法，其特征在于，所述步骤S4包括：步骤S41、将一个包含l1个神经元单元的长短期记忆网络层作为长短期记忆网络模型的第一网络层，其抛弃值为d1，循环抛弃值为r1；步骤S42、将一个包含l2个神经元单元的长短期记忆网络层作为长短期记忆网络模型的第二网络层，其抛弃值为d2，循环抛弃值为r2；步骤S43、将一个全连接层用于连接第一网络层和第二网络层，其输出为网络流向量v
f
，得到待训练长短期记忆网络...

【专利技术属性】
技术研发人员：杨贻宏，
申请(专利权)人：上海飞旗网络技术股份有限公司，
类型：发明
国别省市：