一种网络异常流量检测方法及装置制造方法及图纸

本发明专利技术属于网络安全检测领域，提出了一种网络异常流量检测方法及装置。该方法通过改进的灰狼算法IGWO对GRU网络的隐层神经元个数和学习率进行自动学习，针对网络流量周期性、时序性的特点，采用门控循环单元与本发明专利技术提出的自适应灰狼优化算法相结合的异常检测模型来对异常流量进行分类。使用改进后的灰狼优化算法对神经网络的参数以及网络的结构进行优化，不仅能提高检测的速度还能提高检测的准确率；将原本参数a的线性衰减修改为了非线性衰减，以提高全局搜索次数的占比。全局搜索次数越多，算法的全局搜索能力越强，越不容易陷入局部最优解。部最优解。部最优解。

【技术实现步骤摘要】
一种网络异常流量检测方法及装置


[0001]本专利技术涉及网络安全检测领域，尤其涉及一种网络异常流量检测方法及装置。

技术介绍

[0002]随着计算机技术的发展，针对网络实施各种攻击的新技术与新工具层出不穷。早期的各种网络安全保护方法大多是移植传统的主动式安全防御策略，但是，早期方案在资源受限和网络吞吐量较高的情况下无法满足对入侵行为的实时检测与管理。所以近些年对网络异常流量检测的研究逐渐成为了网络安全领域的热门方向，怎样保障系统的安全性，使之免遭外部的入侵或及时发现并制止攻击行为，已成为全世界从事网络安全产业的科研技术人员最关心的焦点问题。
[0003]论文“Barbosa R R R,Sadre R,Pras A.Towards periodicity based anomaly detection in SCADA networks[C]//Proceedings of 2012IEEE 17th International Conference on Emerging Technologies&Factory Automation(ETFA 2012).IEEE,2012:1
‑
4.”提出了基于网络流量周期性变化的异常测量方法，不仅可以检测出网络中存在的入侵行为，还可以在识别出入侵行为之后，依据流量周期的改变来进行异常流量检测。
[0004]论文“Jaiswal S,Saxena K,Mishra A,et al.A KNN
‑
ACO approach for intrusion detection using KDDCUP'99dataset[C]//2016 3rd International Conference on Computing for Sustainable Global Development(INDIACom).IEEE,2016:628
‑
633.”利用蚁群优化算法对KNN模型进行了改进，在KDD99数据集下通过实验验证可以有效降低假阳性。
[0005]论文“Barbosa R R R,Sadre R,Pras A.Towards periodicity based anomaly detection in SCADA networks[C]//Proceedings of 2012IEEE 17th International Conference on Emerging Technologies&Factory Automation(ETFA 2012).IEEE,2012:1
‑
4.”提出了基于网络流量周期性变化的异常测量方法，但由于网络网络流量的变化周期具有很大的不确定性，通过使用滑动窗口和快速傅里叶变换(FFT)构建的可视化的异常流量检测模型，有着较高的检测效率，但是在准确度上却有着较大的欠缺。
[0006]论文“Jaiswal S,Saxena K,Mishra A,et al.A KNN
‑
ACO approach for intrusion detection using KDDCUP'99dataset[C]//2016 3rd International Conference on Computing for Sustainable Global Development(INDIACom).IEEE,2016:628
‑
633.”利用蚁群优化算法对KNN模型进行了改进，但是当数据规模较大时计算开销会大大增加，性能会比较差。
[0007]近些年来，虽然已有很多网络异常流量的检测方法，然而现阶段这些方法仍然面临2个主要的挑战：1)无法充分考虑网络流量的特点，例如：周期性、时序性；2)优化算法的使用与改进。

技术实现思路

[0008]本专利技术提出了一种网络异常流量检测方法及装置。针对灰狼优化算法迭代后期种群多样性差且容易陷入局部最优的问题，提出了一种具备自适应调整策略的灰狼优化算法(IGWO)，根据网络流量的特点，选择GRU模型，将实现的改进的优化算法运用到模型中，对模型的结构和参数进行优化，从而得到最优的网络模型，提高算法的执行速度和准确率。
[0009]本专利技术的技术方案如下：.一种网络异常流量检测方法，包括：
[0010]步骤一：初始化灰狼算法中灰狼种群信息，以及收敛因子a、第一系数向量A和第二系数向量C；其中灰狼位置信息中包含隐层神经元的个数u和网络的学习率l；
[0011]步骤二：将灰狼位置信息中隐层神经元的个数u和网络的学习率l带入到门控循环单元GRU网络中，使用训练集完成模型训练；
[0012]步骤三：测试集通过GRU网络测试的准确率作为灰狼个体的适应度；并计算灰狼种群的平均适应度；
[0013]步骤四：当前灰狼个体的适应度大于平均适应度时，使用灰狼优化算法GWO更新灰狼位置信息和收敛因子a、第一系数向量A和第二系数向量C的值；否则，使用改进的灰狼优化算法IGWO更新灰狼位置信息和参数a、A和C的值；在进行位置信息更新时u和l的值相应发生变化；
[0014]步骤五：当达到最大迭代次数时，输出IGWO
‑
GRU模型和α的位置信息，当前模型作为最优模型，从α的位置信息中得到u和l的最优值；否则跳转到步骤二直至迭代完成，然后输出模型和α的位置信息；最优模型或输出模型作为网络异常流量检测的模型。
[0015]所述GRU网络的构建流程如下；
[0016]2.1捕获工控网络流量数据，并把数据分成训练集和测试集；其中所述训练集用于模型分类器参数的拟合，测试集用来检验模型分类器的性能；
[0017]2.2通过归一化函数将所述训练集和测试集限定在一定范围内，获得归一化处理后的训练集和测试集；
[0018]2.3确定GRU网络的结构，所述结构包括输入层、隐层和输出层；将归一化处理后的训练集输入到GRU网络中进行参数的训练；其中GRU网络参数包括网络的学习率、隐层的层数以及隐层神经元的数量；输出层采用softmax作为激活函数，输出结果为某一类流量预测分类标签；
[0019]2.4训练GRU网络，针对多分类任务采用交叉熵作为损失函数，通过反向传播改变网络的权重值；
[0020]其中，k是异常流量的种类数量，y
i
是真实分类标签，p
i
是GRU网络的输出即预测分类流量标签；
[0021]2.5使用归一化之后的测试集对训练后的GRU网络进行验证，以评估模型分类器的准确性。
[0022]所述隐层的层数初始值范围为1
‑
2。
[0023]所述步骤四具体步骤如下；
[0024]4.1更新参数a、A和C的值：
[0025][0026][0027]A＝2a
·
r1‑
a，C＝2
·
r2[002本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络异常流量检测方法，其特征在于，包括：步骤一：初始化灰狼算法中灰狼种群信息，以及收敛因子a、第一系数向量A和第二系数向量C；其中灰狼位置信息中包含隐层神经元的个数u和网络的学习率l；步骤二：将灰狼位置信息中隐层神经元的个数u和网络的学习率l带入到门控循环单元GRU网络中，使用训练集完成模型训练；步骤三：测试集通过GRU网络测试的准确率作为灰狼个体的适应度；并计算灰狼种群的平均适应度；步骤四：当前灰狼个体的适应度大于平均适应度时，使用灰狼优化算法GWO更新灰狼位置信息和参数a、A和C的值；否则，使用改进的灰狼优化算法IGWO更新灰狼位置信息和参数a、A和C的值；在进行位置信息更新时u和l的值相应发生变化；步骤五：当达到最大迭代次数时，输出IGWO
‑
GRU模型和α的位置信息，当前模型作为最优模型，从α的位置信息中得到u和l的最优值；否则跳转到步骤二直至迭代完成，然后输出模型和α的位置信息；最优模型或输出模型作为网络异常流量检测的模型。2.根据权利要求1所述的网络异常流量检测方法，其特征在于，所述GRU网络的构建流程如下；2.1捕获工控网络流量数据，并把数据分成训练集和测试集；其中所述训练集用于模型分类器参数的拟合，测试集用来检验模型分类器的性能；2.2通过归一化函数将所述训练集和测试集限定在一定范围内，获得归一化处理后的训练集和测试集；2.3确定GRU网络的结构，所述结构包括输入层、隐层和输出层；将归一化处理后的训练集输入到GRU网络中进行参数的训练；其中GRU网络参数包括网络的学习率、隐层的层数以及隐层神经元的数量；输出层采用softmax作为激活函数，输出结果为某一类流量预测分类标签；2.4训练GRU网络，针对多分类任务采用交叉熵作为损失函数，通过反向传播改变网络的权重值；其中，k是异常流量的种类数量，y
i
是真实分类标签，p
i
是GRU网络的输出即预测分类流量标签；2.5使用归一化之后的测试集对训练后的GRU网络进行验证，以评估模型分类器的准确性。3.根据权利要求1或2所述的网络异常流量检测方法，其特征在于，所述步骤四具体步骤如下；3.1更新参数a、A和C的值：3.1更新参数a、A和C的值：
A＝2a
·
r1‑
a，C＝2
·
r2其中，f
i
为灰狼个体i的适应度；f
avg
为平均适应度；；T是最大迭代次数；t是当前迭代次数；A和C是系数向量；a是收敛因子；r1和r2是[0,1]之间的随机向量；3.2更新灰狼的位置X(t+1)：其中，α、β和δ分别为适应度前三的个体，其余个体为ω；X
α
、X
β
和X
δ
分别代表α、β和δ的当前位置信息；D
α
、D
β
和D
δ
分别代表灰狼种群中其他个体与α、β和δ与之间的距离，X1、X2、X3分别代表灰狼个体朝向α、β和δ的移步距离；C1、C2和C3是随机向量，A1、A2和A3是随机向量；X(t)代表当前灰狼个体的位置；表当前灰狼个体的位置；其中f
α
，f
β
和f
δ
为α，β和δ的适应度。4.根据权利要求1所述的网络异常流量检测方法，其特征在于，所述收敛因子a、第一系数向量A和第二系数向量C初始化计算式如下，A＝2a
·
r1‑
a，C＝2
·
r2其中，a是收敛因子，T是最大迭代次数，t是当前迭代次数。5.根据权利要求2所述的网络异常流量检测方法，其特征在于，所述步骤2.2中的归一化处理采用min
‑
max归一化，归一化结果映射到[0,1]之间；对工控网络流量数据x的每一列使用min
‑
max归一化方法进行处理，Max代表一列中的最大值，Min代表一列中的最小值。6.根据权利要求2或5所述的网络异常流量检测方法，其特征在于，所述步骤2.3中的softmax函数将输出层神经元的输出结果全部映射到(0,1)区间中，且...

【专利技术属性】
技术研发人员：姚羽，王嘉璇，许超，王博，杨巍，刘颖，王磊，单垚，王丹妮，冉子用，吕阳，方宇珊，滕子贻，杨利成，刘倩，翟浩，胡非，刘莹，周毅，刘思宇，
申请(专利权)人：国网辽宁省电力有限公司信息通信分公司，
类型：发明
国别省市：