一种基于对抗训练的CNN-LSTM网络异常检测方法技术

本发明专利技术提供了一种基于对抗训练的CNN

【技术实现步骤摘要】
一种基于对抗训练的CNN
‑
LSTM网络异常检测方法


[0001]本专利技术涉及网络流量检测领域，特别涉及一种基于对抗训练的CNN
‑
LSTM网络异常检测方法。

技术介绍

[0002]本专利技术涉及近年来，随着5G通信、移动互联网、物联网、“云计算”和大数据等新兴通信和信息技术的快速发展，网络安全变得越来越重要。网络入侵检测作为网络安全的重要研究内容，一直受到专家学者的关注。
[0003]网络异常检测是一种检测所给的网络流量数据集中是否存在异常样本以及指出异常样本的位置的技术。异常样本是一种在现实世界中广泛存在的概念，常指不符合人们对正常模式的定义的样本，例如黑客攻击、入侵系统等网络上的违规行为。因此，网络异常检测技术在网络安全有着巨大的应用前景。
[0004]传统的基于异常的检测方法普遍存在网络流量特征提取不准确、攻击检测模型难以建立等问题，导致在判断攻击流量时误报率较高。
[0005]近年来，许多学者探索了如何利用人工智能来检测和分析入侵检测和防御系统中的网络流量。目前主流的方法是基于机器学习或深度学习的入侵检测系统。其中，基于机器学习的系统主要通过分析人工提取的网络流量特征来对网络流量进行分类和检测。而基于深度学习的系统不仅可以分析人工提取的特征，还可以自动从原始流量中提取特征，在新的网络环境下也可以泛化和有效。因此，与一般的基于机器学习的系统相比，基于深度学习的系统可以避免手动特征提取问题，提高检测精度。为了获得更高的准确率，基于深度学习的入侵检测方法需要大量的数据进行训练，尤其是不同类型的攻击流量数据。在实际环境和现有数据集中，攻击流量始终低于正常流量。此外，由于某些类型的攻击流量难以捕获和模拟，因此可用于模型训练的数据量特别小。这些问题极大地限制了基于深度学习的方法的准确性，使得难以判断某些类型的攻击。

技术实现思路

[0006]为了克服现有网络异常检测技术的鲁棒性和泛化性不足，本专利技术提出了一种基于对抗训练的CNN
‑
LSTM网络异常检测方法，利用卷积神经网络(CNN)和长短时记忆网络(LSTM)的混合网络来提取网络流量数据的时空特征，以提高入侵检测的准确性。在模型训练阶段，使用对抗训练来优化模型。利用梯度下降的方法生成对抗样本加入模型训练的数据集中，并使用基于课程学习的平滑对抗训练技术对模型进行对抗训练，提高了模型训练和预测的鲁棒性。
[0007]本专利技术采用的技术方案如下：一种基于对抗训练的CNN
‑
LSTM网络异常检测方法，包括：
[0008]对网络流量数据集进行预处理，并划分为训练集以及验证集；
[0009]构建卷积神经网络和长短时记忆网络的混合网络用于实现网络流量分类；
[0010]对于预处理后的数据集设置类权重，并完成网络训练损失函数的定义；
[0011]生成对抗样本，加入到训练集中；
[0012]在课程学习的基础上使用基于概率的平滑对抗训练完成混合网络的训练，得到网络异常检测模型；
[0013]利用验证集完成网络异常检测模型的验证，验证通过后，利用网络异常检测模型即可完成异常流量的分类检测。
[0014]进一步的，所述预处理过程包括：
[0015]根据攻击时间和内息对数据包文件截取不同时间段的文件；该过程中通常输入格式也是pcap文件；输出格式仍然是pcap文件。
[0016]根据每个时间段的文件所对应的攻击主机和受害主机的IP进行分片，得到相应的会话；
[0017]由于pcap文件在提取后仍然很大，这对模型中的数据读取造成了严重挑战。为了加快数据读取过程，每个会话生成相应攻击类型的标签，并将每种标签对应的会话打包到一个PKL文件中；
[0018]模型的输入必须具有固定的长度，因此要统一每个会话的长度。每次攻击的区别主要在于报头，因此根据数据包的统一长度来处理数据包，并将每个会话划分为一个矩阵。
[0019]为了有效地学习和分类模型，通过独热编码对划分为矩阵的数据进行处理，将定性特征转换为定量特征。
[0020]进一步的，所述卷积神经网络由输入层、卷积层、池化层、全连接层组成，用于完成输入向量的特征提取并输出；优选的，用具有小卷积核的卷积层来提取流量图像细节的局部特征，使用大卷积核来分析相距较远的两个比特之间的关系。在池化层中可以获得清晰的特征和稳定的结果；其中，池化层包含一个预设的池化功能，该功能用相邻区域的特征图统计信息替换特征图中单个点的结果。
[0021]经过预处理和一次热编码后，网络流量构成输入层的输入向量。再经过多个卷积层提取特征后，输出图像被传输到池化层进行特征选择和信息过滤，经过多次卷积和池化运算，将整个流量图像提取到一个较小的特征块中，该特征块代表了整个流量数据包的特征信息。
[0022]进一步的，所述长短时记忆网络与卷积神经网络输出连接，由LSTM层、全连接层以及Softmax和输出层组成；通过引入LSTM将单个连接(从启动到断开)的数据作为一个组，并判断该组中所有数据包的特征以及它们之间的关系，作为判断流量性质的基础。
[0023]LSTM部分由LSTM层、全连接层以及Softmax和输出层组成，主要功能由LSTM层实现。LSTM是一种特殊的RNN，用于解决长序列训练过程中的梯度消失和梯度爆炸问题。LSTM网络通过其独特的遗忘和选择性记忆门实现了更好的处理时序预测。一般的RNN网络只有一个tanh层，而LSTM网络通过其独特的遗忘和选择性记忆门实现了更好的处理时序预测。
[0024]LSTM层的第一步是确定模型将从单元状态中丢弃哪些信息，它的决定是通过遗忘门做出的，下一步是决定要向单元格状态添加多少新信息，输出门决定单元的输出。在该模型中，连接中一组流量图像中n个数据包的特征映射作为LSTM部分的输入，通过多个LSTM层分析了这n个数据包之间的特征关系，前几个数据包可用于建立连接，接下来的几个数据包可能包含长有效载荷以及攻击数据，LSTM找到包含攻击数据的组，并将这些组的所有数据
包标记为攻击组，最后经过全连接层、Softmax层和输出层得到分类的最终结果。
[0025]进一步的，预处理后获得的不同数据类型的数量是不均匀的，某些类型的数量高，而某些类型的数量低，这可能会影响分类的最终学习结果。因此，根据预处理后数据中不同攻击类型所对应的样本数量，设置不同类型的类权重，而不是1来惩罚类样本中的错误，更高的类权重意味着更重视该类，与不考虑权重的情况相比，更多的样本被划分为高权重类别。而后结合类权重完成损失函数的定义，使用加权损失函数使模型更关注代表性不足的类别的样本。
[0026]进一步的，通过向干净样本中添加小扰动生成。所需的扰动，限制在一定范围内p范数球。本专利技术在负损失函数上的投影梯度下降(PGD)，使用PGD方法生成对抗样本，将生成的对抗样本加入到训练集中去，进行对抗训练以提升网络异常检测模型的鲁棒性。
[0027]进一步的，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于对抗训练的CNN
‑
LSTM网络异常检测方法，其特征在于，包括：对网络流量数据集进行预处理，并划分为训练集以及验证集；构建卷积神经网络和长短时记忆网络的混合网络用于实现网络流量分类；对于预处理后的数据集设置类权重，并完成网络训练损失函数的定义；生成对抗样本，加入到训练集中；在课程学习的基础上使用基于概率的平滑对抗训练完成混合网络的训练，得到网络异常检测模型；利用验证集完成网络异常检测模型的验证，验证通过后，利用网络异常检测模型即可完成异常流量的分类检测。2.根据权利要求1所述的基于对抗训练的CNN
‑
LSTM网络异常检测方法，其特征在于，所述预处理过程包括：根据攻击时间和内息对数据包文件截取不同时间段的文件；根据每个时间段的文件所对应的攻击主机和受害主机的IP进行分片，得到相应的会话；每个会话生成相应攻击类型的标签，并将每种标签对应的会话打包到一个PKL文件中；统一每个会话的长度，并将每个会话划分为一个矩阵；通过独热编码对划分为矩阵的数据进行处理，将定性特征转换为定量特征。3.根据权利要求1或2所述的基于对抗训练的CNN
‑
LSTM网络异常检测方法，其特征在于，所述卷积神经网络由输入层、卷积层、池化层、全连接层组成，用于完成输入向量的特征提取并输出；其中，池化层包含一个预设的池化功能，该功能用相邻区域的特征图统计信息替换特征图中单个点的结果。4.根据权利要求3所述的基于对抗训练的CNN
‑
LSTM网络异常检测方法，其特征在于，所述长短时记忆网络与卷积神经网络输出连接，由LSTM层、全连接层以及Softmax和输出层组成；...

【专利技术属性】
技术研发人员：郭爽，袁健，尹睿，张亮，张咏秋，程永新，孙秋鸿，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：