【技术实现步骤摘要】
基于时频域信息融合的异常流量检测方法
[0001]本专利技术属于流量分析
,更为具体地讲,涉及一种基于时频域信息融合的异常流量检测的方法
。
技术介绍
[0002]异常流量检测是流量分析领域中的重要任务之一,它从给定的流量数据集中检测不正常的数据
。
异常流量检测任务的结果可进一步用于识别网络入侵行为
。
[0003]目前,现有的异常流量检测方法主要有四类:基于分类技术
、
基于统计技术
、
基于信息论
、
基于聚类技术
。
然而,这几种检测方法单独使用都各有缺陷:依赖专家对于网络攻击特点的广泛知识的分类技术很难检测到新的类型的异常;基于统计技术的检测方法通常需要预先设定静态阈值来进行异常检测,这种方法无法适应网络流量的动态变化;基于信息论或聚类技术的分类方法在异常流量检测中容易产生较高的误报率
。
技术实现思路
[0004]本专利技术的目的在于克服现有技术的不足,提供一种基于时频域信息融合的异常流量检测方法,通过提取数据流包级时域信息矩阵
、
流级时域信息矩阵和频域信息矩阵,构建得到数据流特征图像用于异常流量检测,以提高异常流量检测的准确性
、
效率和鲁棒性
。
[0005]为了实现上述专利技术目的,本专利技术基于时频域信息融合的异常流量检测方法包括以下步骤:
[0006]S1
:根据实际需要从网络中收集若干正常数据流和 ...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种基于时频域信息融合的异常流量检测方法,其特征在于,包括以下步骤:
S1
:根据实际需要从网络中收集若干正常数据流和异常数据流作为数据流样本,对于每个数据流样本进行标签标注,如果属于正常流量,则令标签
flag
=1,否则令标签
flag
=0;
S2
:提取得到数据流的包级时域信息矩阵和流级时域信息矩阵,具体方法为:根据实际需要设置
M
个数据包特征,
M
的值根据实际需要确定,对于每个数据流,分别提取每个数据包特征在前
N
个数据包的值
p
m,n
,
n
=
0,1,...,N
‑1,
m
=
0,1,...,M
‑1,从而构建得到包级时域信息矩阵
P
:根据实际需要设置
M
个数据流特征,对于每个数据流,分别提取每个数据流特征在第0个至第
n
个数据包所构成数据流中的值
f
n,m
,从而构建得到流级时域信息矩阵
F
:
S3
:基于每个数据流的包级时域信息矩阵
P
构建该数据流的频域信息矩阵
LTM
,具体方法为:
S3.1
:按列对包级时域信息矩阵
P
进行最大最小归一化处理,得到归一化后的包级时域信息矩阵
P
;
S3.2
:按列对归一化后的包级时域信息矩阵
P
进行离散傅立叶变换,得到复数矩阵
FTP
;
S3.3
:计算复数矩阵
FTP
中每个复数的模数,得到模矩阵
FTPM
;
S3.4
:对模矩阵
FTPM
每个元素值
ftpm
m,n
进行对数变换中得到对数值
ltm
m,n
,将得到的对数矩阵
LTM
作为包级频域信息矩阵;
S4
:对于每个数据流,分别将包级时域信息矩阵
P、
流级时域信息矩阵
F
和包级频域信息矩阵
LTM
分配给红
、
绿和蓝三个通道,构建一个三通道的彩色图像作为数据流特征图像;
S5
:根据实际需要构建异常检测模型,其输入为数据流特征图像,输出为数据流是否正常的判定结果,将每个数据流样本的数据流特征图像作为输入,对应标签作为期望输出,对异常检测模型进行训练,得到训练好的异常检测模型;
S6
:从网络中抓取至少包含
N
个数据包的数据流,采用步骤
技术研发人员:罗绪成,叶李,张晋豪,
申请(专利权)人:中国电子科技集团公司第十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。