一种基于改进VGG16与图像增强的网络异常流量检测方法技术

本发明专利技术属于网络安全技术领域，公开了一种基于改进VGG16与图像增强的网络异常流量检测方法，包括：将预设时间段内采集的一维网络流量数据归一化处理转换为二维灰度图；通过ImageDataGenerator对所述二维灰度图进行预处理以获得增强型样本图像数据；通过融合了卷积注意力模块的改进VGG16网络来构建异常检测模型，并利用所述增强型样本图像数据训练所述异常检测模型；将所述异常检测模型应用于网络异常流量实时检测中。综上，本发明专利技术将卷积注意力模块融入VGG16网络中，以此有效实现了对网络由浅到深的自特征融合的充分提取，进而提高检测结果的准确度，且将经过ImageDataGenerator增强处理后的图像数据作为异常检测模型的输入，能够有效增强异常检测模型的泛化能力。模型的泛化能力。模型的泛化能力。

【技术实现步骤摘要】
一种基于改进VGG16与图像增强的网络异常流量检测方法


[0001]本专利技术属于网络安全
，具体涉及一种基于改进VGG16与图像增强的网络异常流量检测方法。

技术介绍

[0002]随着科技的发展，网络通信的各种应用已充斥于人们的生活中，且人们对于网络通信的需求亦日益增加，因此网络通信的安全性也随之日益重要。
[0003]传统的网络防御检测系统大多采用专家规则或机器学习的方式来检测异常流量，其中：专家规则存在一定的人为主观因素，检测准确性较差；机器学习常使用循环神经网络(RNN)、长短时记忆网络(LSTM)等网络模型对一维时序信号的异常数据进行特征学习，但是，这些模型的深度较浅，难以学习数据中的高维特征，从而导致在检测网络流量的实际数据时往往会出现检测准确率较低的问题。

技术实现思路

[0004]鉴于此，为解决上述
技术介绍
中所提出的问题，本专利技术的目的在于提供一种基于改进VGG16与图像增强的网络异常流量检测方法。
[0005]为实现上述目的，本专利技术提供如下技术方案：
[0006]一种基于改进VGG16与图像增强的网络异常流量检测方法，包括：
[0007]将预设时间段内采集的一维网络流量数据归一化处理转换为二维灰度图；
[0008]通过ImageDataGenerator对所述二维灰度图进行预处理以获得增强型样本图像数据；
[0009]通过融合了卷积注意力模块的改进VGG16网络来构建异常检测模型，并利用所述增强型样本图像数据训练所述异常检测模型；
[0010]将所述异常检测模型应用于网络异常流量实时检测中。
[0011]优选的，所述一维网络流量数据包括正常时序流量信号和异常时序流量信号。
[0012]优选的，所述归一化处理转换公式如下：
[0013]式中，P(i)为归一化之后的特征值，N(i)为归一化之前的特征值，Min(N)和Max(N)分别为特征值中的最小值和最大值。
[0014]优选的，所述异常检测模型包括基于VGG16网络的特征提取层、基于卷积注意力模块的特征加强层、以及基于Softmax分类器的特征分类层。
[0015]优选的，所述特征提取层用于从所述增强型样本图像数据中提取数据特征，且所述特征提取层包括相互配合的五个卷积层和池化层。
[0016]优选的，所述特征加强层用于将特征提取层中的第三层、第四层与第五层所述卷积层所提取的数据特征筛选融合，以获得新的加强特征。
[0017]优选的，所述的获得新的加强特征的步骤包括：
[0018]以所述特征提取层中第三层所述卷积层所提取的数据特征为第一输入；
[0019]以所述特征提取层中第四层所述卷积层所提取的数据特征为第二输入；
[0020]分别筛选所述第一输入和第二输入，得到第一特征向量和第二特征向量；
[0021]使用Add函数先拼接融合所述第一特征向量与所述第二特征向量，得到融合特征，然后再将所述融合特征与所述特征提取层中第五层所述卷积层所提取的数据特征进行融合，得到新的加强特征。
[0022]优选的，筛选所述第一输入和所述第二输入时，基于所述卷积注意力模块的通道注意力和空间注意力进行分别筛选。
[0023]优选的，基于所述通道注意力的筛选公式如下：
[0024]M
c
(F)＝σ(MLP(AvgPooling(F))+MLP(MaxPooling(F)))；式中，σ为sigmoid函数；F为输入且F∈R
C
×
H
×
W
；M
c
(F)为筛选输出的通道特征向量且M
c
(F)∈R
C
×1×1。
[0025]优选的，基于所述空间注意力的筛选公式如下：
[0026]M
s
(F)＝σ(f7×7([AvgPooling(F)；MaxPooling(F)]))；式中，σ为sigmoid函数；F为输入，且F∈R
C
×
H
×
W
；M
s
(F)为筛选输出的空间特征向量，且M
s
(F)∈R1×
H
×
W
。
[0027]本专利技术与现有技术相比，具有以下有益效果：
[0028]本专利技术的网络异常流量检测方法，通过融入卷积注意力模块的方式改进VGG16网络，并且基于改进VGG16网络来构建异常检测模型，以此实现了对网络由浅到深的自特征融合的充分提取，进而有效保证检测结果的准确；将各网络节点的一维网络流量信号归一化处理转化为二维灰度图像，并基于ImageDataGenerator图像处理技术对该二维灰度图像进行加强处理，且以加强处理后的图像特征作为异常检测模型的输入，由此有效增强模型的泛化能力。
附图说明
[0029]图1为本专利技术网络异常流量检测方法的流程图；
[0030]图2为本专利技术异常检测模型的结构图；
[0031]图3为本专利技术卷积注意力模块的结构图。
具体实施方式
[0032]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0033]如图1所示，本专利技术所提供的基于改进VGG16与图像增强的网络异常流量检测方法包括如下步骤：
[0034]S1.在预设时间段内连续采集一维网络流量数据；
[0035]具体的，数据采集从0:00开始直到23:55，其中每5min为一个采样点，共采集n个样本，每个样本为包含288个采样点的信号片段，且所采集的一维网络流量数据包括正常时序流量信号和异常时序流量信号。
[0036]S2.将所述的一维网络流量数据归一化处理转换为二维灰度图；
[0037]归一化处理公式为：式中，P(i)为归一化之后的特征值，N(i)为归一化之前的特征值，Min(N)和Max(N)分别为特征值中的最小值和最大值。
[0038]S3.将上述转换得到的二维灰度图分为训练集和验证集；
[0039]如下表所示，假设正常时序流量信号和异常时序流量信号的一维网络流量数据中分别包括1000份数据样本，且训练集和验证集按照4:1的比例进行随机划分；
[0040][0041]S4.通过ImageDataGenerator对所述二维灰度图进行预处理以获得增强型样本图像数据。
[0042]S5.通过融合了卷积注意力模块的改进VGG16网络来构建异常检测模型，并利用所述增强型样本图像数据(训练集)训练所述异常检测模型；
[0043]如图2所示，异常检测模型包括基于VGG16网络的特征提取层、基于卷积注意力模块的特征加强层、以及基于本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于改进VGG16与图像增强的网络异常流量检测方法，其特征在于，包括如下步骤：将预设时间段内采集的一维网络流量数据归一化处理转换为二维灰度图；通过ImageDataGenerator对所述二维灰度图进行预处理以获得增强型样本图像数据；通过融合了卷积注意力模块的改进VGG16网络来构建异常检测模型，并利用所述增强型样本图像数据训练所述异常检测模型；将所述异常检测模型应用于网络异常流量实时检测中。2.根据权利要求1所述的基于改进VGG16与图像增强的网络异常流量检测方法，其特征在于：所述一维网络流量数据包括正常时序流量信号和异常时序流量信号。3.根据权利要求1所述的基于改进VGG16与图像增强的网络异常流量检测方法，其特征在于，所述归一化处理转换公式如下：式中，P(i)为归一化之后的特征值，N(i)为归一化之前的特征值，Min(N)和Max(N)分别为特征值中的最小值和最大值。4.根据权利要求1所述的基于改进VGG16与图像增强的网络异常流量检测方法，其特征在于：所述异常检测模型包括基于VGG16网络的特征提取层、基于卷积注意力模块的特征加强层、以及基于Softmax分类器的特征分类层。5.根据权利要求4所述的基于改进VGG16与图像增强的网络异常流量检测方法，其特征在于：所述特征提取层用于从所述增强型样本图像数据中提取数据特征，且所述特征提取层包括相互配合的五个卷积层和池化层。6.根据权利要求5所述的基于改进VGG16与图像增强的网络异常流量检测方法，其特征在于：所述特征加强层用于将特征提取层中的第三层、第四层与第五层所述卷积层所提取的数据特征筛选融合，以获得新的加强特征。7.根据权利要求6所述的基于改进VGG16与图像增强的网络异常流量检测方法，其特征在于，所述的获得新的加强特征的步骤包括：以所述特征提取层中第三层所述卷积层所提取的数据特征为第一输入；以所述特征提...

【专利技术属性】
技术研发人员：王颖伟，干淇任，高振国，游政贤，沈永胜，许庆龙，
申请(专利权)人：小快厦门网络科技有限公司，
类型：发明
国别省市：