【技术实现步骤摘要】
一种网络异常流量检测方法及装置
[0001]本专利技术涉及网络安全检测领域,尤其涉及一种网络异常流量检测方法及装置。
技术介绍
[0002]随着计算机技术的发展,针对网络实施各种攻击的新技术与新工具层出不穷。早期的各种网络安全保护方法大多是移植传统的主动式安全防御策略,但是,早期方案在资源受限和网络吞吐量较高的情况下无法满足对入侵行为的实时检测与管理。所以近些年对网络异常流量检测的研究逐渐成为了网络安全领域的热门方向,怎样保障系统的安全性,使之免遭外部的入侵或及时发现并制止攻击行为,已成为全世界从事网络安全产业的科研技术人员最关心的焦点问题。
[0003]论文“Barbosa R R R,Sadre R,Pras A.Towards periodicity based anomaly detection in SCADA networks[C]//Proceedings of 2012IEEE 17th International Conference on Emerging Technologies&Factory Automation(ETFA 2012).IEEE,2012:1
‑
4.”提出了基于网络流量周期性变化的异常测量方法,不仅可以检测出网络中存在的入侵行为,还可以在识别出入侵行为之后,依据流量周期的改变来进行异常流量检测。
[0004]论文“Jaiswal S,Saxena K,Mishra A,et al.A KNN
‑
ACO app ...
【技术保护点】
【技术特征摘要】
1.一种网络异常流量检测方法,其特征在于,包括:步骤一:初始化灰狼算法中灰狼种群信息,以及收敛因子a、第一系数向量A和第二系数向量C;其中灰狼位置信息中包含隐层神经元的个数u和网络的学习率l;步骤二:将灰狼位置信息中隐层神经元的个数u和网络的学习率l带入到门控循环单元GRU网络中,使用训练集完成模型训练;步骤三:测试集通过GRU网络测试的准确率作为灰狼个体的适应度;并计算灰狼种群的平均适应度;步骤四:当前灰狼个体的适应度大于平均适应度时,使用灰狼优化算法GWO更新灰狼位置信息和参数a、A和C的值;否则,使用改进的灰狼优化算法IGWO更新灰狼位置信息和参数a、A和C的值;在进行位置信息更新时u和l的值相应发生变化;步骤五:当达到最大迭代次数时,输出IGWO
‑
GRU模型和α的位置信息,当前模型作为最优模型,从α的位置信息中得到u和l的最优值;否则跳转到步骤二直至迭代完成,然后输出模型和α的位置信息;最优模型或输出模型作为网络异常流量检测的模型。2.根据权利要求1所述的网络异常流量检测方法,其特征在于,所述GRU网络的构建流程如下;2.1捕获工控网络流量数据,并把数据分成训练集和测试集;其中所述训练集用于模型分类器参数的拟合,测试集用来检验模型分类器的性能;2.2通过归一化函数将所述训练集和测试集限定在一定范围内,获得归一化处理后的训练集和测试集;2.3确定GRU网络的结构,所述结构包括输入层、隐层和输出层;将归一化处理后的训练集输入到GRU网络中进行参数的训练;其中GRU网络参数包括网络的学习率、隐层的层数以及隐层神经元的数量;输出层采用softmax作为激活函数,输出结果为某一类流量预测分类标签;2.4训练GRU网络,针对多分类任务采用交叉熵作为损失函数,通过反向传播改变网络的权重值;其中,k是异常流量的种类数量,y
i
是真实分类标签,p
i
是GRU网络的输出即预测分类流量标签;2.5使用归一化之后的测试集对训练后的GRU网络进行验证,以评估模型分类器的准确性。3.根据权利要求1或2所述的网络异常流量检测方法,其特征在于,所述步骤四具体步骤如下;3.1更新参数a、A和C的值:3.1更新参数a、A和C的值:
A=2a
·
r1‑
a,C=2
·
r2其中,f
i
为灰狼个体i的适应度;f
avg
为平均适应度;;T是最大迭代次数;t是当前迭代次数;A和C是系数向量;a是收敛因子;r1和r2是[0,1]之间的随机向量;3.2更新灰狼的位置X(t+1):其中,α、β和δ分别为适应度前三的个体,其余个体为ω;X
α
、X
β
和X
δ
分别代表α、β和δ的当前位置信息;D
α
、D
β
和D
δ
分别代表灰狼种群中其他个体与α、β和δ与之间的距离,X1、X2、X3分别代表灰狼个体朝向α、β和δ的移步距离;C1、C2和C3是随机向量,A1、A2和A3是随机向量;X(t)代表当前灰狼个体的位置;表当前灰狼个体的位置;其中f
α
,f
β
和f
δ
为α,β和δ的适应度。4.根据权利要求1所述的网络异常流量检测方法,其特征在于,所述收敛因子a、第一系数向量A和第二系数向量C初始化计算式如下,A=2a
·
r1‑
a,C=2
·
r2其中,a是收敛因子,T是最大迭代次数,t是当前迭代次数。5.根据权利要求2所述的网络异常流量检测方法,其特征在于,所述步骤2.2中的归一化处理采用min
‑
max归一化,归一化结果映射到[0,1]之间;对工控网络流量数据x的每一列使用min
‑
max归一化方法进行处理,Max代表一列中的最大值,Min代表一列中的最小值。6.根据权利要求2或5所述的网络异常流量检测方法,其特征在于,所述步骤2.3中的softmax函数将输出层神经元的输出结果全部映射到(0,1)区间中,且...
【专利技术属性】
技术研发人员:姚羽,王嘉璇,许超,王博,杨巍,刘颖,王磊,单垚,王丹妮,冉子用,吕阳,方宇珊,滕子贻,杨利成,刘倩,翟浩,胡非,刘莹,周毅,刘思宇,
申请(专利权)人:国网辽宁省电力有限公司信息通信分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。