异常流量的检测方法技术

本申请涉及一种异常流量的检测方法

【技术实现步骤摘要】
异常流量的检测方法、装置、计算机设备和存储介质


[0001]本申请涉及网络安全
，特别是涉及一种异常流量的检测方法
、
装置
、
计算机设备和存储介质
。

技术介绍

[0002]随着信息技术的迅猛发展，工业控制系统
(Industrial Control System
，
ICS)
不再采用传统的物理隔离方式，而是越来越多地与外界网络连接，这让其更易受到网络攻击，因此，工业控制系统的入侵检测成为了信息安全领域的研究热点之一
。
[0003]异常流量检测是入侵检测任务中一个重要的组成部分，异常流量是指流量偏离正常操作的情况
。
目前，主流的异常流量检测方法主要是异常检测，异常检测是对正常流量行为进行建模，并基于正常流量行为模型实时监控网络流量和系统事件，如果检测到与正常行为模型不符的行为，则被视为入侵行为，该方法可以检测出少许未知的异常流量，但是其误报率和漏报率较高，同时也无法对异常流量进行细粒度分类
。
[0004]因此，上述异常流量检测方法存在对未知异常流量检测准确度低的问题
。

技术实现思路

[0005]基于此，有必要针对上述技术问题，提供一种能够提高未知异常流量检测准确度的异常流量的检测方法
、
装置
、
计算机设备和存储介质
。
[0006]第一方面，本申请提供了一种异常流量的检测方法
。
所述方法包括：
[0007]获取待检测会话流的统计信息；统计信息包括会话流的统计特征和统计特征对应的隐变量向量；
[0008]将统计信息输入至多层感知机模型进行会话流分类，得到会话流的多个类别的已知异常流量和多个类别的正常流量；
[0009]将统计信息分别输入至各类别的已知异常流量分别对应的各第一支持向量数据表达模型进行检测，得到各类别的已知异常流量中的第一未知异常流量；
[0010]将统计信息分别输入至各类别的正常流量分别对应的各第二支持向量数据表达模型进行检测，得到各类别的正常流量中第二未知异常流量
。
[0011]在其中一个实施例中，上述获取待检测的会话流的统计信息，包括：
[0012]提取会话流的统计特征；
[0013]将统计特征输入至编码器中进行向量编码，得到统计特征对应的隐变量向量
。
[0014]在其中一个实施例中，上述方法还包括：
[0015]对统计特征和隐变量向量进行拼接，得到目标统计信息；
[0016]将统计信息输入至多层感知机模型进行会话流分类，得到会话流的多个类别的已知异常流量和多个类别的正常流量，包括：
[0017]将目标统计信息输入至多层感知机模型进行会话流分类，得到会话流的多个类别的已知异常流量和多个类别的正常流量；
[0018]将统计信息分别输入至各类别的已知异常流量分别对应的各第一支持向量数据表达模型进行检测，得到各类别的已知异常流量中的第一未知异常流量，包括：
[0019]将目标统计信息分别输入至各类别的已知异常流量分别对应的各第一支持向量数据表达模型进行检测，得到各类别的已知异常流量中的第一未知异常流量；
[0020]将统计信息分别输入至各类别的正常流量分别对应的各第二支持向量数据表达模型进行检测，得到各类别的正常流量中第二未知异常流量，包括：
[0021]将目标统计信息分别输入至各类别的正常流量分别对应的各第二支持向量数据表达模型进行检测，得到各类别的正常流量中第二未知异常流量
。
[0022]在其中一个实施例中，上述方法还包括：
[0023]获取样本会话流的样本统计信息；样本统计信息包括样本会话流的样本统计特征和样本统计特征对应的隐变量向量；
[0024]将样本统计信息输入至多层感知机模型进行会话流分类，得到样本会话流的多个类别的已知样本异常流量和多个类别的样本正常流量；
[0025]基于各类别的已知样本异常流量对第一初始支持向量数据表达模型进行训练，得到各类别的已知样本异常流量分别对应的各第一支持向量数据表达模型；
[0026]基于各类别的样本正常流量对第二初始支持向量数据表达模型进行训练，得到各第二支持向量数据表达模型
。
[0027]在其中一个实施例中，上述基于各类别的已知样本异常流量对第一初始支持向量数据表达模型进行训练，得到各类别的已知样本异常流量分别对应的各第一支持向量数据表达模型，包括：
[0028]将各类别的已知样本异常流量分别输入至第一初始支持向量数据表达模型进行训练，得到各类别的已知样本异常流量分别对应的各第一支持向量数据表达模型
。
[0029]在其中一个实施例中，上述基于各类别的样本正常流量对第二初始支持向量数据表达模型进行训练，得到各类别的样本正常流量分别对应的各第二支持向量数据表达模型，包括：
[0030]将各类别的所述已知样本异常流量分别输入至第二初始支持向量数据表达模型进行训练，得到各类别的样本正常流量分别对应的各第二支持向量数据表达模型
。
[0031]在其中一个实施例中，上述方法还包括：
[0032]将统计特征输入至初始编码网络进行向量编码训练，得到编码器；初始编码网络包括输入层
、
初始编码器
、
隐变量空间
、
初始解码器和输出层
。
[0033]在其中一个实施例中，上述将统计特征输入至初始编码网络进行向量编码训练，得到编码器，包括：
[0034]将统计特征输入至输入层进行第一线性变换，得到第一中间信息；
[0035]将第一中间信息输入至初始编码器进行编码，得到第一向量；
[0036]对第一向量输入至隐变量空间进行重参数化，得到第二向量；第二向量为统计特征对应的隐变量向量；
[0037]将第二向量输入至初始解码器进行解码，得到第二中间信息；
[0038]将第二中间信息输入至输出层进行第二线性变换，得到变换之后的统计特征；
[0039]将统计特征和变换之后的统计特征输入至预设均方误差函数中，得到目标损失
值，并根据目标损失值对初始编码器和初始解码器进行训练，得到编码器
。
[0040]第二方面，本申请还提供了一种计算机设备
。
所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
[0041]获取待检测会话流的统计信息；统计信息包括会话流的统计特征和统计特征对应的隐变量向量；
[0042]将统计信息输入至多层感知机模型进行会话流分类，得到会话流的多个类别的已知异常流量和多个类别的正常流量；
[0043]将统计信息分别输入至各类别的已知异常流量分别对应的各第一支持向量数据表达模型进行检测，得本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种异常流量的检测方法，其特征在于，所述方法包括：获取待检测会话流的统计信息；所述统计信息包括所述会话流的统计特征和所述统计特征对应的隐变量向量；将所述统计信息输入至多层感知机模型进行会话流分类，得到所述会话流的多个类别的已知异常流量和多个类别的正常流量；将所述统计信息分别输入至各类别的所述已知异常流量分别对应的各第一支持向量数据表达模型进行检测，得到各类别的所述已知异常流量中的第一未知异常流量；将所述统计信息分别输入至各类别的所述正常流量分别对应的各第二支持向量数据表达模型进行检测，得到各类别的所述正常流量中第二未知异常流量
。2.
根据权利要求1所述的方法，其特征在于，所述获取待检测的会话流的统计信息，包括：提取所述会话流的统计特征；将所述统计特征输入至编码器中进行向量编码，得到所述统计特征对应的隐变量向量
。3.
根据权利要求2所述的方法，其特征在于，所述方法还包括：对统计特征和所述隐变量向量进行拼接，得到目标统计信息；所述将所述统计信息输入至多层感知机模型进行会话流分类，得到所述会话流的多个类别的已知异常流量和多个类别的正常流量，包括：将所述目标统计信息输入至多层感知机模型进行会话流分类，得到所述会话流的多个类别的已知异常流量和多个类别的正常流量；所述将所述统计信息分别输入至各类别的所述已知异常流量分别对应的各第一支持向量数据表达模型进行检测，得到各类别的所述已知异常流量中的第一未知异常流量，包括：将所述目标统计信息分别输入至各类别的所述已知异常流量分别对应的各第一支持向量数据表达模型进行检测，得到各类别的所述已知异常流量中的第一未知异常流量；所述将所述统计信息分别输入至各类别的所述正常流量分别对应的各第二支持向量数据表达模型进行检测，得到各类别的所述正常流量中第二未知异常流量，包括：将所述目标统计信息分别输入至各类别的所述正常流量分别对应的各第二支持向量数据表达模型进行检测，得到各类别的所述正常流量中第二未知异常流量
。4.
根据权利要求1所述的方法，其特征在于，所述方法还包括：获取样本会话流的样本统计信息；所述样本统计信息包括所述样本会话流的样本统计特征和所述样本统计特征对应的隐变量向量；将所述样本统计信息输入至所述多层感知机模型进行会话流分类，得到所述样本会话流的多个类别的已知样本异常流量和多个类别的样本正常流量；基于各类别的所述已知样本异常流量对第一初始支持向量数据表达模型进行训练，得到各类别的所述已知样本异常流量分别对应的各第一支持向量数据表达模型；基于各类别的所述样本...

【专利技术属性】
技术研发人员：贺磊，周鼎，韩晓鹏，曹植纲，耿进步，牛玉坤，谢宇，
申请(专利权)人：网络通信与安全紫金山实验室，
类型：发明
国别省市：