一种动态构建网络流量检测模型的方法技术

本发明专利技术公开了一种动态构建网络流量检测模型的方法，涉及网络安全与建模技术领域，包括

【技术实现步骤摘要】
一种动态构建网络流量检测模型的方法


[0001]本专利技术涉及网络安全与建模
，尤其涉及一种动态构建网络流量检测模型的方法
。

技术介绍

[0002]随着社会信息化与智能化的不断推进，互联网已经延伸至生活的方方面面，互联网
+
的时代已然到来
。
[0003]普通的网络防御，比如入侵检测
IDS
，就是通过提供被动防御，注重对入侵行为的监视，其设计宗旨就是通过监视网络或者系统资源寻找违反安全策略的行为或者攻击迹象，但是面对形态各异的网络攻击流量包，
IDS
无法精准预判，因此埋下了极大的安全隐患
。
为了解决该问题，本专利技术提供了一种基于有限集训练样本，基于动态建模，定时学习网络流量，极大提高对恶意网络包的特征识别，提升网络防御能力
。
[0004]因此，本领域的技术人员致力于开发一种动态构建网络流量检测模型的方法
。

技术实现思路

[0005]有鉴于现有技术的上述缺陷，本专利技术所要解决的技术问题是如何提高对恶意网络包的特征识别，提升网络防御能力
。
[0006]专利技术人分析，静态建模需要样本数据庞大
、
计算复杂
、
耗时严重，为了解决现有静态建模所存在的不足，专利技术人提供了基于动态自适应采样策略的构建网络流量检测模型的方法，兼顾采样样本数量对建模效率的影响，针对初始样本的空间分布，采用优化的拉丁超立方采样
(Optimal Latin hypercube design
‑
OLHD)
，改良拉丁超立方采样
(Latin hypercube design
‑
LHD)
最小化样本之间的最大距离和最大化样本之间的最小距离，保障采样点在样本空间的分布均匀性，提高模型的全局精度，并且采用动态自适应采样策略，不断提炼模型的潜在最优解来达到加快模型收敛速度的目的，潜在最优解准则就是在每次迭代中选取最优解加入到样本集，不断逼近模型的期望值
。
[0007]本专利技术的一个实施例中，提供了一种动态构建网络流量检测模型的方法，包括如下步骤：
[0008]S100、
构建特征向量，获取表征网络流量的属性，分析网络流量特征，构建特征向量；
[0009]S200、
数据采样，基于特征向量，对网络流量进行采样，采用优化的拉丁超立方优化样本空间，输出样本点集合；
[0010]S300、
构建网络流量检测模型，使用样本点集合进行基于动态自适应采样策略建模
。
[0011]可选地，在上述实施例中的动态构建网络流量检测模型的方法中，步骤
S100
包括：
[0012]S110、
获取表征网络流量的属性；
[0013]S120、
构建特征向量，分析网络流量特征，提取网络流量的特征值，构建
G
维特征向
量，
G
为正整数
。
[0014]可选地，在上述任一实施例中的动态构建网络流量检测模型的方法中，
S120
中的网络流量的特征值包括但不限于协议
、
端口
、IP
地址
、MAC
地址
、
网络报文
。
[0015]可选地，在上述实施例中的动态构建网络流量检测模型的方法中，步骤
S200
包括：
[0016]S210、
构建样本空间，根据特征向量构建均匀分布的样本空间；
[0017]S220、
优化样本空间，采用优化的拉丁超立方采样优化样本空间；
[0018]S230、
输出样本点集合，根据优化的样本空间，形成样本点集合
。
[0019]进一步地，在上述实施例中的动态构建网络流量检测模型的方法中，步骤
210
包括：
[0020]S211、
构建小区间，根据样本数和特征向量维度构建
n
m
区间，
n
为特征向量维度，
m
为样本数，把
n
个特征向量维度分成等概率的
m
个区间，整个样本空间分成等概率的
n
m
个小区间；
[0021]S212、
分配样本，将
m
个样本按照指定要求放入小区间
。
[0022]进一步地，在上述实施例中的动态构建网络流量检测模型的方法中，指定要求包括：
[0023]1、
每个样本在小区间内随机等概率分布；
[0024]2、
对任意一个样本，投影到任意一维空间时，在每个小区间内有且仅有一个样本，对样本数据进行归一化处理，设计变量的值域将会收敛到0到1范围，采样点通过下述公式获取：
[0025][0026]其中，
i
表示第
i
个采样点，
j
表示第
j
维，
U
表示
[0,1]之间取到的随机数，表示第
i
个采样点的第
j
维值，
π
是
(0,1,2,...m
‑
1)
的随机排列，对于任意给定的
j
，当
i
从1遍历到
m
时，从这个区间内随机取值，并且对于不同的
i
，的值不会重复，保证所有的样本投影到第
j
时，每个小区间都有且仅有一个采样点
。
[0027]进一步地，在上述实施例中的动态构建网络流量检测模型的方法中，步骤
S220
中优化样本空间包括结合最小化样本之间的最大距离和最大化样本之间的最小距离优化样本空间分布
。
[0028]可选地，在上述任一实施例中的动态构建网络流量检测模型的方法中，步骤
S300
包括：
[0029]S310、
构建初代模型，针对优化样本空间构建初代模型，初代模型是指初次构建未经迭代的网络流量检测模型；
[0030]S320、
进行建模迭代，基于动态自适应采样策略进行网络流量检测模型建模迭代；
[0031]S330、
完成建模，使用模型精度函数检验网络流量检测模型的精度，满足精度要求时完成建模，否则执行
S320。
[0032]进一步地，在上述实施例中的动态构建网络流量检测模型的方法中，步骤
320
包括：
[0033]S321、
更新模型，提取每一轮迭代中的潜在最优解加入样本集，在迭代的潜在最优
解集中选择多个使得网络流量检测模型趋于精准的样本更新模型，网络流量检测模型的优化指标是目标本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种动态构建网络流量检测模型的方法，其特征在于，包括如下步骤：
S100、
构建特征向量，获取表征网络流量的属性，分析网络流量特征，构建特征向量；
S200、
数据采样，基于所述特征向量，对网络流量进行采样，采用优化的拉丁超立方优化样本空间，输出样本点集合；
S300、
构建网络流量检测模型，使用所述样本点集合进行基于动态自适应采样策略建模
。2.
如权利要求1所述的动态构建网络流量检测模型的方法，其特征在于，所述步骤
S100
包括：
S110、
获取表征网络流量的属性；
S120、
构建特征向量，分析网络流量特征，提取网络流量的特征值，构建
G
维特征向量
。3.
如权利要求2所述的动态构建网络流量检测模型的方法，其特征在于，所述网络流量的特征值包括但不限于协议
、
端口
、IP
地址
、MAC
地址
、
网络报文
。4.
如权利要求1所述的动态构建网络流量检测模型的方法，其特征在于，所述步骤
S200
包括：
S210、
构建样本空间，根据所述特征向量构建均匀分布的样本空间；
S220、
优化样本空间，采用优化的拉丁超立方采样优化所述样本空间；
S230、
输出样本点集合，根据优化的样本空间，形成样本点集合
。5.
如权利要求4所述动态构建网络流量检测模型的方法，其特征在于，所述步骤
210
包括：
S211、
构建小区间，根据样本数和特征向量维度构建
n
m
个小区间，把
n
个特征向量维度分成等概率的
m
个区间，整个样本空间分成等概率的
n
m
个小区间；
S212、
分配样本，将
m
个样本按照指定要求放入小区间
。6.
如权利要求5所述的动态构建网络流量检测模型的方法，其特征在于，所述指定要求包括：（1）
、
每个样本在小区间内随机等概率分布；（2）
、
对任意一个样本，投影到任意一维空间时，在每个小区间内有且仅有一个样本，对样本数据进行归一化处理，设计变量的值域将会收敛到0到1范围，采样点通过下述公式获取：
7....

【专利技术属性】
技术研发人员：张志群，刘磊，王剑东，屠昌乐，
申请(专利权)人：浙江国利网安科技有限公司，
类型：发明
国别省市：