一种基于孪生神经网络的流量异常检测方法及系统技术方案

本发明专利技术提供一种基于孪生神经网络的流量异常检测方法及系统

【技术实现步骤摘要】
一种基于孪生神经网络的流量异常检测方法及系统


[0001]本专利技术涉及网络空间安全
，尤其涉及一种基于孪生神经网络的流量异常检测方法及系统
。

技术介绍

[0002]如今网络应用日趋多元化，涵盖了电子商务
、
在线教育
、
社交娱乐
、
云计算等各个领域，网络流量也变得日益复杂和庞大
。
与此同时，黑客的攻击手段也变得越来越多样化，网络攻击事件频发
。
黑客不断发掘网络漏洞和弱点，攻击网络，这对网络安全稳定运行构成了巨大威胁
。
[0003]网络攻击流量不断发展演进，从最初的扫描攻击寻找网络漏洞和弱点，到逐渐发展的
DoS
攻击，再到后面的蠕虫病毒
、Heartbleed、
暴利破解
、
僵尸网络等攻击，攻击的方式方法不断增加
。
近年来，更多的攻击流量由多种攻击方法复合而成，其复杂性给网络安全带来了更大
、
更困难的挑战，并提供了更多的伪装逃避检测
。
攻击流量的隐蔽性
、
多样性使得传统防御手段无法有效检测和应对网络攻击
。
[0004]传统的流量异常检测方法主要是基于事先定义好的规则集合来检测网络攻击流量，这类方法能够针已知漏洞和攻击特征的攻击流量进行检测和防御
。
但对于未知的攻击流量的检测和防御能力不足
。
[0005]近年来，随着流量数据的爆炸式增长
、
计算机处理能力和运算速度的极大提升，研究人员提出利用机器学习
、
深度学习模型进行流量异常检测，提升对攻击流量的检测性能
。
[0006]现有基于深度学习方的流量异常检测法更多依赖标注充分的数据集进行训练
。
然而，在网络环境中，正常流量充足，且子类型多样，而带有攻击等恶意企图的异常流量数量较少，且新型攻击流量样本难以获取
。
构建一个恶意流量丰富且标注准确的数据集需要耗费大量的人力和时间成本，模型仍面临新型攻击难以有效检测的问题
。
因此，迫切需要构建一种基于少样本进行学习的流量异常检测系统以应对攻击流量样本不足的问题
。

技术实现思路

[0007]在攻击流量样本较少的情况下，为了提升流量异常检测系统的检测性能，本专利技术提供了一种基于孪生神经网络的流量异常检测方法及系统，结合度量学习中的孪生网络基本思想，构建了一种基于小样本进行学习的流量异常检测模型，使其仅通过少量流量样本进行训练，就能够快速有效检测网络中出现的已知和未知恶意流量
。
[0008]一方面，本专利技术提供一种基于孪生神经网络的流量异常检测方法，包括：
[0009]步骤1：针对已标注有“正常”或“攻击”标签的每类流量数据集，利用
K
‑
medoids
算法将该类流量数据集聚类为
M
个子类，随机从每个子类中抽取一个样本以构建得到该类流量的训练集；
[0010]步骤2：将所有类别流量的训练集组合在一起以构建得到一个小样本流量训练集；
[0011]步骤3：构建孪生多层感知机，采用所述小样本流量训练集对所述孪生多层感知机
进行训练得到流量异常检测模型；
[0012]步骤4：将所述小样本流量训练集作为支持集，将待测流量样本与支持集中的样本同时输入至所述流量异常检测模型，得到检测结果
。
[0013]进一步地，步骤1中，利用
K
‑
medoids
算法将该类流量数据集聚类为
M
个子类，具体包括：
[0014]利用
K
‑
medoids
算法将该类流量数据集进行多次聚类，并按照公式
(1)
计算得到每次聚类结果对应的
CH
值；
[0015][0016]其中，
M
为聚类数，
N
为待聚类的流量数据集中的样本数，
Tr(W
M
)
表示所有簇的簇内距离平方和，
Tr(B
M
)
表示所有簇中心到全局簇中心距离平方加权和；
[0017]比较多次聚类结果对应的
CH
值，按照公式
(2)
得到
M
的最终值；
[0018]M
＝
min{argmax
n
{S(2),S(3),...,S(i)}}(2)。
[0019]进一步地，步骤3中，采用所述小样本流量训练集对所述孪生多层感知机进行训练得到流量异常检测模型，具体包括：
[0020]步骤
3.1
：从小样本流量训练集中随机选取一个流量样本作为目标流量样本，随机选取一个正常流量样本和一个攻击流量样本；
[0021]步骤
3.2
：将目标流量样本和攻击流量样本同时输入至孪生多层感知机，计算二者之间的距离
i
表示迭代次数，表示目标流量样本经多层感知机编码后的特征嵌入，表示攻击流量样本经多层感知机编码后的特征嵌入；
[0022]步骤
3.3
：将目标流量样本和正常流量样本同时输入至孪生多层感知机，计算二者之间的距离之间的距离表示正常流量样本经多层感知机编码后的特征嵌入；
[0023]步骤
3.4
：计算目标流量样本经多层感知机编码后的编码损失
Cost
en
；
[0024]步骤
3.5
：根据目标样本流量分别与正常流量样本和恶意流量样本之间的距离和来计算孪生多层感知机的预测损失
Cost
pre
；
[0025]步骤
3.6
：将编码损失
Cost
en
和预测损失
Cost
pre
进行集成计算得到总损失；
[0026]步骤
3.7
：重复执行步骤
3.1
至步骤
3.6
，通过不断最小化总损失来优化孪生多层感知机的参数，从而得到训练好的流量异常检测模型
。
[0027]进一步地，步骤
3.2
和步骤
3.3
中，均采用欧式距离作为目标流量样本与攻击流量样本和正常流量样本之间的距离
。
[0028]进一步地，步骤
3.4
中，利用
KL
散度来计算目标流量样本经多层感知机编码后的编码损失
Cost
en
。
[0029]进一步地，步骤
3.5
中，按照公式
(6)
计算孪生多层感知机的预测损失
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于孪生神经网络的流量异常检测方法，其特征在于，包括：步骤1：针对已标注有“正常”或“攻击”标签的每类流量数据集，利用
K
‑
medoids
算法将该类流量数据集聚类为
M
个子类，随机从每个子类中抽取一个样本以构建得到该类流量的训练集；步骤2：将所有类别流量的训练集组合在一起以构建得到一个小样本流量训练集；步骤3：构建孪生多层感知机，采用所述小样本流量训练集对所述孪生多层感知机进行训练得到流量异常检测模型；步骤4：将所述小样本流量训练集作为支持集，将待测流量样本与支持集中的样本同时输入至所述流量异常检测模型，得到检测结果
。2.
根据权利要求1所述的一种基于孪生神经网络的流量异常检测方法，其特征在于，步骤1中，利用
K
‑
medoids
算法将该类流量数据集聚类为
M
个子类，具体包括：利用
K
‑
medoids
算法将该类流量数据集进行多次聚类，并按照公式
(1)
计算得到每次聚类结果对应的
CH
值；其中，
M
为聚类数，
N
为待聚类的流量数据集中的样本数，
Tr(W
M
)
表示所有簇的簇内距离平方和，
Tr(B
M
)
表示所有簇中心到全局簇中心距离平方加权和；比较多次聚类结果对应的
CH
值，按照公式
(2)
得到
M
的最终值；
M
＝
min{argmax
n
{S(2),S(3),...,S(i)}}(2)。3.
根据权利要求1所述的一种基于孪生神经网络的流量异常检测方法，其特征在于，步骤3中，采用所述小样本流量训练集对所述孪生多层感知机进行训练得到流量异常检测模型，具体包括：步骤
3.1
：从小样本流量训练集中随机选取一个流量样本作为目标流量样本，随机选取一个正常流量样本和一个攻击流量样本；步骤
3.2
：将目标流量样本和攻击流量样本同时输入至孪生多层感知机，计算二者之间的距离
i
表示迭代次数，表示目标流量样本经多层感知机编码后的特征嵌入，表示攻击流量样本经多层感知机编码后的特征嵌入；步骤
3.3
：将目标流量样本和正常流量样本同时输入至孪生多层感知机，计算二者之间的距离的距离表示正常流量样本经多层感知机编码后的特征嵌入；步骤
3.4
：计算目标流量样本经多层感知机编码后的编码损失
Cost
en
；步骤
3.5
：根据目标样本流量分别与正常流量样本和恶意流量样本之间的距离和来计算孪生多层感知机的预测损...

【专利技术属性】
技术研发人员：马海龙，江逸茗，胡涛，尹梓诺，韩伟涛，张鹏，任权，李鹏坤，陈祥，王文博，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：