本发明专利技术公开了一种基于深度学习的加密流量异常检测方法及装置,该方法包括:对网络流量进行抓包并对抓取的网络包进行流量的分割,生成训练数据集;利用所述训练数据集对异常检测模型进行训练,其中,所述异常检测模型为结合Transformer Encoder的变分自编码器模型;实时抓取网络包并对抓取的实时网络包进行流量的分割,得到实时数据;基于所述实时数据,利用训练后的异常检测模型进行流量异常检测,从而得到流量异常值;基于所述流量异常值判断实时流量是否为异常流量。时流量是否为异常流量。时流量是否为异常流量。
【技术实现步骤摘要】
一种基于深度学习的加密流量异常检测方法及装置
[0001]本专利技术属于流量异常检测
,尤其涉及一种基于深度学习的加密流量异常检测方法及装置。
技术介绍
[0002]在许多工业场景中,为了提高生产效率,都应用了互联网技术,但技术带来便捷的同时也带来安全隐患。工业网络系统通常具有高价值性,低安全性,很容易成为黑客攻击的目标。近年来针对特定工业系统的网络攻击越来越频繁,对工业系统造成了破坏性的影响。因此,采取安全防护措施是必要的,而网络流量异常检测是一种重要的防护措施,旨在提醒管理人员及时发现网络攻击并立即采用反制手段。
[0003]传统的网络流量异常检测方法包括:
[0004]1、基于统计的方法:这种方法基于对网络流量的统计分析和建模。常见的技术包括流量分析、频率分析、基于阈值的检测等;
[0005]2、基于规则的方法:这种方法使用预定义的规则集来检测网络流量中的异常行为,规则可以基于特定协议、端口、IP地址、流量模式等定义;
[0006]3、基于机器学习的方法:这种方法使用机器学习算法来训练模型,从而能够识别异常流量模式,常见的技术包括支持向量机(SVM)、决策树、随机森林等;
[0007]4、基于挖掘的方法:这种方法利用数据挖掘技术来发现网络流量中的异常模式,常见的技术包括聚类分析、关联规则挖掘、异常点检测等;
[0008]传统的异常检测技术通常需要一些专家知识或者经验,从网络流量中人工提取出特征,或者对数据采用复杂的预处理方法,而深度学习具有良好的特征抽取能力,可以避免复杂的繁琐的数据处理流程,但现有基于深度学习的方法仍然存在一定的问题。
[0009]公开号为CN115941281A的专利申请采用双向时间卷积网络以及多头自注意力机制构建模型,在处理流量异常时有良好表现,但该方法需要对训练数据集标注,且没有解决异常样本少、样本分布不均衡的问题。另外,数据中通信内容部分是明文传输,不适用于加密流量的异常检测;公开号为CN115700558A的专利申请通过卷积神经网络和长短期记忆网络提取流量的时序特征、空间特征,同时在流量时空特征提取时引入注意力机制,增强对关键特征的关注程度,还使用了一种基于先验知识的权重损失函数,以解决数据集不平衡的问题,但该方法使用的模型特征提取能力不足,且需要对样本进行标注。
技术实现思路
[0010]针对现有技术存在的问题,本申请实施例的目的是提供一种基于深度学习的加密流量异常检测方法及装置。
[0011]根据本申请实施例的第一方面,提供一种基于深度学习的加密流量异常检测方法,包括:
[0012]对网络流量进行抓包并对抓取的网络包进行流量的分割,生成训练数据集;
[0013]利用所述训练数据集对异常检测模型进行训练,其中,所述异常检测模型为结合Transformer Encoder的变分自编码器模型;
[0014]实时抓取网络包并对抓取的实时网络包进行流量的分割,得到实时数据;
[0015]基于所述实时数据,利用训练后的异常检测模型进行流量异常检测,从而得到流量异常值;
[0016]基于所述流量异常值判断实时流量是否为异常流量。
[0017]进一步地,使用wireshark工具对网络流量抓取。
[0018]进一步地,通过以下方式中的一种对抓取的流量包进行流量的分割:
[0019]方式1:截取连续时间内预定数量的网络包;
[0020]方式2:以一个完整TCP会话为单位,把一个会话中的若干数据包按时间顺序组织在一起。
[0021]进一步地,在进行流量的分割之后,对分割得到的流量进行预处理,具体为:
[0022]只取IP报头和TCP的字节,去除掉与会话无关的字段,包括TCP报头中的保留字段、校验和,UDP中的校验和字段,IP报头部分只保留目的地址、源地址、总长度字段,附加上每个数据包发送或到达时间。
[0023]进一步地,所述异常检测模型的编码器和解码器均为两个Transformer Encoder堆叠形成。
[0024]进一步地,基于所述实时数据,利用训练后的异常检测模型进行流量异常检测,从而得到流量异常值,包括:
[0025]将实时数据输入到训练后的异常检测模型中,得到大小相同的重构矩阵;
[0026]将所述实时数据的原始矩阵与所述重构矩阵各自转换成一维向量并求欧氏距离,该欧氏距离即为流量异常值。
[0027]进一步地,基于预定判断阈值和所述流量异常值,判断实时流量是否为异常流量,其中所述判断阈值基于所述训练数据集确定。
[0028]根据本申请实施例的第二方面,提供一种基于深度学习的加密流量异常检测装置,包括:
[0029]训练数据获取模块,用于对网络流量进行抓包并对抓取的网络包进行流量的分割,生成训练数据集;
[0030]训练模块,用于利用所述训练数据集对异常检测模型进行训练,其中,所述异常检测模型为结合Transformer Encoder的变分自编码器模型;
[0031]实时数据获取模块,用于实时抓取网络包并对抓取的实时网络包进行流量的分割,得到实时数据;
[0032]异常检测模块,用于基于所述实时数据,利用训练后的异常检测模型进行流量异常检测,得到流量异常值;
[0033]判断模块,用于基于所述流量异常值判断实时流量是否为异常流量。
[0034]根据本申请实施例的第三方面,提供一种电子设备,包括:
[0035]一个或多个处理器;
[0036]存储器,用于存储一个或多个程序;
[0037]当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理
器实现如第一方面所述的方法。
[0038]根据本申请实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面所述方法的步骤。
[0039]本申请的实施例提供的技术方案可以包括以下有益效果:
[0040]由上述实施例可知,本申请相比与传统流量异常检测方法,避免了繁琐的人工提取特征的过程,降低了对专家知识的依赖,实现了一种端到端的异常检测方法。该异常检测模型主体为VAE,包含一个编码器和一个解码器,编码器将样本从高维空间中的表示压缩成低维空间中的表示,再由解码器把低维空间的表示解码还原样本,通过样本的重构误差判断异常,可以实现在样本不标注类别的情况下进行无监督学习。另外,基于深度学习的特征提取方法中,常用的模型是多层感知机(MLP),卷积神经网络(CNN),循环神经网络(RNN)。目前,基于自注意力机制的Transformer模型在神经语言处理(NLP)中表现出色,其在大规模语言数据处理上的表现优于CNN和RNN。我们将Transformer模型应用到VAE的编码器和解码器中,提升模型的特征提取效果以及最后的异常检测效果。
[0041]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于深度学习的加密流量异常检测方法,其特征在于,包括:对网络流量进行抓包并对抓取的网络包进行流量的分割,生成训练数据集;利用所述训练数据集对异常检测模型进行训练,其中,所述异常检测模型为结合Transformer Encoder的变分自编码器模型;实时抓取网络包并对抓取的实时网络包进行流量的分割,得到实时数据;基于所述实时数据,利用训练后的异常检测模型进行流量异常检测,从而得到流量异常值;基于所述流量异常值判断实时流量是否为异常流量。2.根据权利要求1所述的方法,其特征在于,使用wireshark工具对网络流量抓取。3.根据权利要求1所述的方法,其特征在于,通过以下方式中的一种对抓取的流量包进行流量的分割:方式1:截取连续时间内预定数量的网络包;方式2:以一个完整TCP会话为单位,把一个会话中的若干数据包按时间顺序组织在一起。4.根据权利要求1所述的方法,其特征在于,在进行流量的分割之后,对分割得到的流量进行预处理,具体为:只取IP报头和TCP的字节,去除掉与会话无关的字段,包括TCP报头中的保留字段、校验和,UDP中的校验和字段,IP报头部分只保留目的地址、源地址、总长度字段,附加上每个数据包发送或到达时间。5.根据权利要求1所述的方法,其特征在于,所述异常检测模型的编码器和解码器均为两个Transformer Encoder堆叠形成。6.根据权利要求1所述的方法,其特征在于,基于所述实时数据,利用训练后的异常检测模型进行流量异常检测,从...
【专利技术属性】
技术研发人员:张秉晟,陈俊杰,任奎,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。