一种基于对比学习的网络异常流量检测方法技术

本发明专利技术提供了一种基于对比学习的网络异常流量检测方法，包括：构建标签空间位置模型；基于网络流量数据，获取低维网络流量状态；构建网络流量空间位置模型；基于度量空间中的标签位置，计算标签位置与网络流量空间位置的距离；构建网络流量空间位置价值评估模型；基于低维网络流量状态及标签的空间位置距离对各个模型的参数进行调整；基于调整后的所述网络异常流量检测模型，对所述网络流量进行监测预警

【技术实现步骤摘要】
一种基于对比学习的网络异常流量检测方法


[0001]本专利技术涉及网络异常流量检测研究领域，具体涉及一种基于对比学习的网络异常流量检测方法
。

技术介绍

[0002]随着互联网的不断发展，网络传输业务流量日趋增加，各种攻击事件和网络异常现象更是层出不穷，如何有效地监测网络异常行为和网络异常流量是当前网络空间安全面临的严峻问题
。
异常流量有许多类型，可能是黑客入侵
、
网络蠕虫
、
拒绝网络服务
、
使用非法软件等
。
如果网络流量出现异常，那么将危害整个网络，所以必须及时发现流量异常，以将损失降到最少
。
[0003]近年来，传统的机器学习算法已经广泛应用到网络异常流量检测中，如
K
邻近算法
、
随机森林算法
、
朴素贝叶斯等
。
这些方法虽然能够识别一定的异常但是都存在难以表达复杂函数
、
泛化能力低的问题
。
在复杂的网络环境中，这些方法的性能将会大大降低，因此研究人员又将深度学习的算法引入到流量异常检测中，例如卷积神经网络
、
循环神经网络等
。
但随着发展，异常流量与正常流量之间的边界慢慢变得更加模糊，导致了错误检测的增加，阻碍了检测模型的进一步优化
。
在最近的研究中，研究人员发现对比学习能够学习样本之间的相似性和差异性，在数据中挖掘更具有区分度的特征，于是开始将对比学习应用于网络异常流量检测中
。
如
S.Lotfi
等人提出的论文，
Network Intrusion Detection with Limited Labeled Data Using Self
‑
supervision
，使用对比学习进行更好的特征提取，以解决正常流量与异常流量边界模糊的问题
。
[0004]对比学习是一种无监督方法，每个训练样本需要生成多个正样本
(
即相似样本
)
和负样本
(
即不相似样本
)
，模型通过控制样本间的距离来识别样本间更微小细致的差别
。
然而，只使用无监督的方法识别异常流量还存在以下不足：
(1)
网络流量样本需要通过数据增强生成正负样本进行两两对比，多次对比将造成较大的时间开销；
(2)
需要选择具有代表性的正
、
负样本，而网络流量样本没有图片样本那种天然直观的特征属性，正负样本难以选择；
(3)
难以应用于有监督的方案，在监督方案的检测中，没有自然代表的样本需要将网络流量样本与大量不同类别的样本进行多次比较，通过比较与不同类别样本的相似度才能确定标签，这也将花费大量时间
。

技术实现思路

[0005]本专利技术的目的是提供一种基于对比学习的网络异常流量检测方法，用以解决现有技术存在的时间开销大
、
正负样本选择等问题
。
[0006]为了实现上述任务，本专利技术采用以下技术方案：
[0007]一种基于对比学习的网络异常流量检测方法，其特征在于，包括构建标签空间位置模型；
[0008]基于网络流量数据，获取低维网络流量状态；
[0009]构建网络流量空间位置模型；
[0010]基于度量空间中的标签位置，计算标签位置与网络流量空间位置的距离；
[0011]构建网络流量空间位置价值评估模型；
[0012]基于低维网络流量状态及标签的空间位置距离对各个模型的参数进行调整；
[0013]基于调整后的所述网络异常流量检测模型，对所述网络流量进行监测预警
。
[0014]进一步地，所述构建标签空间位置模型，包括：
[0015]将每个标签通过独热编码进行编码；
[0016]设定度量空间的标签维度数值；
[0017]构建将标签编码结果转变度量空间位置的标签空间位置模型；
[0018]基于所述空间位置模型，获得每个标签的度量空间位置
。
[0019]进一步地，所述的获取低维网络数据流量状态包括：
[0020]构建转化网络流量数据为低维网络流量状态的模型，该模型包括编码器与解码器，两者均为全连接层结构；其中，编码器用于将输入的网络流量数据转化为低维特征状态，解码器用于将所述低维特征状态映射回原始数据空间，并实现数据的重构和恢复；
[0021]基于所述模型，获得每个网络流量的低维网络流量状态
。
[0022]进一步地，所述构建网络流量空间位置模型，包括：
[0023]获取所述的低维网络流量状态；
[0024]构建网络流量空间位置模型，该模型为一个全连接层网络，包括输入层
、
两个隐藏藏以及输出层；
[0025]基于网络流量空间位置模型，将所述低维网络流量状态输入，获得其于度量空间中的位置信息；
[0026]将所述网络流量位置信息添加随机采样的高斯噪音得到最终的网络流量位置信息
。
[0027]进一步地，所述的计算标签与网络流量空间位置的距离包括：
[0028]获取所述标签与低维网络流量状态的度量空间位置信息；
[0029]计算所述标签与低维网络流量状态的位置信息在度量空间中的欧几里得距离；
[0030]基于所述距离，获取度量空间给予的反馈；
[0031]获得下一个所述低维网络流量状态；
[0032]将所述状态
、
反馈
、
网络流量位置信息存储于经验回放缓冲区
。
进一步地，所述的经验回放缓冲区
R
的信息存储格式为：
[0033](S
t
,A
t
,r
t
,S
t+1
)
[0034]其中，
S
t
为输入网络流量空间位置模型的低维网络流量状态，
A
t
为网络流量空间位置模型给出的度量空间位置信息，
r
t
为所述计算度量空间距离后所得的反馈，
S
t+1
为所述下一个低维网络流量状态
。
[0035]进一步地，所述的构建网络流量空间位置价值评估模型包括：
[0036]构建网络流量空间位置价值评估模型，该模型为一个多层神经网络，包括用于接收低维网络流量状态及其位置信息并对其进行拼接的输入层
、
三个隐藏层以及用于输出网络流量空间位置价值的输出层；
[0037]获取所述低维网络流量状态；
[0038]基于所述网络流量空间位置模型，获取网络流量空间位置；
[0039]基于所述网络流量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于对比学习的网络异常流量检测方法，其特征在于，包括构建标签空间位置模型；基于网络流量数据，获取低维网络流量状态；构建网络流量空间位置模型；基于度量空间中的标签位置，计算标签位置与网络流量空间位置的距离；构建网络流量空间位置价值评估模型；基于低维网络流量状态及标签的空间位置距离对各个模型的参数进行调整；基于调整后的所述网络异常流量检测模型，对所述网络流量进行监测预警
。2.
根据权利要求1所述的基于对比学习的网络异常流量检测方法，其特征在于，所述构建标签空间位置模型，包括：将每个标签通过独热编码进行编码；设定度量空间的标签维度数值；构建将标签编码结果转变度量空间位置的标签空间位置模型；基于所述空间位置模型，获得每个标签的度量空间位置
。3.
根据权利要求1所述的基于对比学习的网络异常流量检测方法，其特征在于，所述的获取低维网络数据流量状态包括：构建转化网络流量数据为低维网络流量状态的模型，该模型包括编码器与解码器，两者均为全连接层结构；其中，编码器用于将输入的网络流量数据转化为低维特征状态，解码器用于将所述低维特征状态映射回原始数据空间，并实现数据的重构和恢复；基于所述模型，获得每个网络流量的低维网络流量状态
。4.
根据权利要求1所述的基于对比学习的网络异常流量检测方法，其特征在于，所述构建网络流量空间位置模型，包括：获取所述的低维网络流量状态；构建网络流量空间位置模型，该模型为一个全连接层网络，包括输入层
、
两个隐藏藏以及输出层；基于网络流量空间位置模型，将所述低维网络流量状态输入，获得其于度量空间中的位置信息；将所述网络流量位置信息添加随机采样的高斯噪音得到最终的网络流量位置信息
。5.
根据权利要求1所述的基于对比学习的网络异常流量检测方法，其特征在于，所述的计算标签与网络流量空间位置的距离包括：获取所述标签与低维网络流量状态的度量空间位置信息；计算所述标签与低维网络流量状态的位置信息在度量空间中的欧几里得距离；基于所述距离，获取度量空间给予的反馈；获得下一个所述低维网络流量状态；将所述状态
、
反馈
、
网络流量位置信息存储于经验回放缓冲区
。6.
根据权利要求1所述的基于对比学习的网络异常流量检测方法，其特征在于，所述的经验回放缓冲区
R
的信息存储格式为：
(S
t
,A
t
,r
t
,S
t+1
)
其中，
S
t
为输入网络流量空间位置模型的低维网络流量状态，
A
t
为网络流量空间位置模
型给出的度量空间位置信息，
r
t
为所述计算度量空间距离后所得的反馈，
S
t+1
为所述下一个低维网络流量状态
。7.
根据权利要求1所述的基于对比学习的网络异常流量检测方法，其特征在于，所述的构建网络流量空间位置价值评估模型包括：构建网络流量空间位置价值评估模型，该模型为一个多层神经网络，包括用于接收低维网络流量状态及其位置信息并对其进行拼接的输入层
、
三个隐藏层以及用于输出网络流量空间位置价值的输出层；获取所述低维网络流量状态；基于所述网络流量空间位置模型，获取网络流量空间位置；基于所述网络流量空间位置与低维网络流量状态，网络流量空间位置价值评估模型给出对网络流量空间位置的价值评估
。8.
根据权利要求1所述的基于对比学习的网络异常流量检测方法，其特征在于，对已创建的网络流量空间位置价值评估模型
Q
和网络流量空间位置模型
μ
，创建目标网络流量空间位置价值评估模型
Q'
和目标网络流量空间位置模型
μ
'
，通过将模型
Q
和
μ
的权重复制到
Q
’
和
μ
'
，初始化目标模型
Q
’
和
μ
的权重参数；两个目标模型
Q
’
和
μ
的结构与原模型
Q
和
μ
一致，包括输入层
、
隐藏层和输出层，在每次训练迭代中，通过对目标模型的权重进行加权平均的软更新方式逐渐更新目标模型的权重，以使其逐渐接近于原模型的权重
。9.

【专利技术属性】
技术研发人员：凌捷，吴佳宏，罗玉，
申请(专利权)人：广东工业大学，
类型：发明
国别省市：