System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种网络异常流量精细化检测方法技术_技高网
当前位置: 首页 > 专利查询>上海人工智能网络系统工程技术研究中心有限公司专利>正文

一种网络异常流量精细化检测方法技术

技术编号:40350144 阅读:6 留言:0更新日期:2024-02-09 14:34
本申请涉及一种网络异常流量精细化检测方法,该方法包括:获取有标签降维特征集合和无标签降维特征集合;将有标签降维特征集合输入至聚类模型中,得到多个聚类特征簇;对多个聚类特征簇分别添加特征标记,并将原始检测模型划分为多个子检测器;将带有不同特征标记的聚类特征簇分别输入至所属子检测器中,得到多个子检测模型;将无标签降维特征集合与多个聚类特征簇逐一进行特征符合度评估,得到与无标签降维特征集合最为匹配的聚类特征簇集合;将无标签降维特征集合输入至与其最为匹配的子检测模型中,最终得到异常流量检测结果。本申请提供的方法,能够解决现有异常流量检测技术难以精准捕捉流量特征偏差的问题,从而提高异常流量检测精度。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及网络安全,尤其涉及一种网络异常流量精细化检测方法


技术介绍

1、随着6g技术的飞速发展,网络流量趋于复杂化和多样化,其中隐匿的恶意异常流量行为层出不穷,网络安全问题越来越突出。传统的异常流量检测方法需要交换机采集大量经由骨干网络的流量数据并输入到单一检测模型中进行训练,但经过不同网关的流量数据的特征分布往往因数据来源、传输目的、流经地点、时间等因素的不同存在一定的差异性,传统的单一检测模型不具备区分这种特征分布差异性的能力,导致针对异常流量的检测效果不够理想,可扩展性较差,无法针对经由各网关的复杂流量展开精细化的异常流量检测。此外,为躲避异常流量检测系统的检测,一些攻击者往往通过加密手段将恶意流量隐匿于正常流量中,这类加密异常流量往往不带有所属标签,传统的单一异常流量检测手段很难判断其所属攻击类别,导致从该流量数据中提取的特征与训练好的单一检测模型的匹配度较低,无法为相关检测人员提供有效的检测反馈结果,这一过程不仅大大降低了单一检测模型的检测精度,还导致检测效率低下。


技术实现思路

1、本申请涉及一种网络异常流量精细化检测方法,能够解决现有异常流量检测技术难以捕捉无标签流量间特征偏差导致异常流量检测结果准确率较低的问题。本申请涉及一种网络异常流量精细化检测方法,包括以下步骤:

2、s1.根据原始流量数据样本库获取有标签降维特征集合和无标签降维特征集合;

3、s2.将所述有标签降维特征集合输入至聚类模型中进行训练,得到多个聚类特征簇;

4、s3.对所述多个聚类特征簇分别添加特征标记,并以特征标记和簇大小为划分依据将原始异常流量检测模型划分为多个子检测器;

5、s4.将带有不同特征标记的聚类特征簇分别输入至所属子检测器中进行训练,得到多个子检测模型;

6、s5.将所述无标签降维特征集合与所述多个聚类特征簇逐一进行特征符合度评估,得到与无标签降维特征集合最为匹配的聚类特征簇集合;

7、s6.将所述无标签降维特征集合分别输入至与之最为匹配的聚类特征簇所属子检测模型中进行异常流量检测,最终得到异常流量检测结果。

8、进一步地,所述步骤s1中原始流量数据样本库,包括有标签非加密流量数据样本、有标签加密流量数据样本、无标签非加密流量数据样本和无标签加密流量数据样本。

9、进一步地,所述步骤s2中聚类模型包括经由改进正余弦优化算法引导簇生成的k-means聚类模型。

10、进一步地,所述步骤s2中聚类特征簇的数量由预设簇阈值确定。

11、进一步地,所述步骤s2具体包括以下步骤:

12、s21.定义聚类模型的初始化参数,并建立初始化样本簇;

13、s22.将所述步骤s21中初始化参数及初始化样本簇输入至聚类模型中进行训练,得到数量小于或等于所述预设簇阈值的多个原始聚类特征簇;

14、s23.计算所述步骤s22中初始化样本簇的适应度,并根据求解结果在每个原始聚类特征簇中展开寻优,获取原始聚类特征簇的簇内最优解。

15、s24.根据所述步骤s23中原始聚类特征簇的簇内最大值和簇内最小值,将除原始聚类特征簇集合中的全局最优簇以外的其他样本簇展开柯西算子混沌变异,并更新全局最优簇集合;

16、s25.将所述步骤s24中原始聚类特征簇中全局最优簇集合的适应度逐一与全局最优簇集合初始值的适应度进行比较,最终获得适应度最优的聚类特征簇集合。

17、进一步地,所述步骤s3中特征标记为某一聚类特征簇区别于其他聚类特征簇的典型特征的字符编号标记,便于对所述步骤s1中有标签降维特征集合和无标签降维特征集合进行特征符合度评估。

18、进一步地,所述步骤s3中簇大小具体表示聚类特征簇内包含的有标签流量数据样本量和无标签流量数据样本量。

19、进一步地,所述步骤s3中子检测器的划分维度等同于所述聚类特征簇的数量,子检测器的从属编号等同于所述特征标记所属聚类特征簇的字符编号。

20、进一步地,所述步骤s4中子检测模型用于精细化检测所述步骤s1中有标签降维特征集合和无标签降维特征集合中的异常流量,所述多个子检测模型的模型性能与步骤s3中原始异常流量检测模型的模型性能一致。

21、进一步地,所述步骤s5具体包括以下步骤:

22、s51.将无标签降维特征集合中的某一无标签流量数据特征与特征标记字符编号为1的聚类特征簇进行特征符合度匹配,获得特征标记字符编号为1的聚类特征簇的特征符合度分数;

23、s52.判断所述步骤s51中聚类特征簇的特征符合度分数是否低于预设阈值,若低于预设阈值,则将聚类特征簇与特征标记字符编号为2的聚类特征簇相整合,得到符合度评估特征簇;若高于预设阈值,则将聚类特征簇作为所述步骤s51中无标签流量数据特征最匹配的聚类特征簇;

24、s53.将所述步骤s51中无标签流量数据特征与所述步骤s52中符合度评估特征簇进行特征符合度匹配,获得符合度评估特征簇的特征符合度分数;

25、s54.将所述步骤s51中特征符合度分数与所述步骤s53中特征符合度分数进行加权平均,获得所述步骤s52中聚类特征簇的特征符合度分数;

26、s55.比较所述步骤s54中特征符合度分数与特征符合度分数的大小,选择特征符合度数值较大的聚类特征簇作为与所述步骤s51中无标签流量数据特征最匹配的聚类特征簇;

27、s56.将所述步骤s51中无标签降维特征集合与多个聚类特征簇逐一进行特征符合度评估,直到得到与无标签降维特征集合最为匹配的聚类特征簇集合。

28、进一步地,所述步骤s52中得到符合度评估特征簇的具体实现过程为:去除特征标记字符编号为2的聚类特征簇中包含的与聚类特征簇中特征完全相同的特征,并将特征标记字符编号为2的聚类特征簇中包含的与聚类特征簇中特征存在差异的特征补充至聚类特征簇中,得到符合度评估特征簇。

29、进一步地,所述步骤s6中聚类特征簇所属子检测模型具体表示与该聚类特征簇特征标记字符编号相等的子检测模型。

30、本申请实施例提供的技术方法与现有技术相比至少具有以下优点:本申请所涉及的一种网络异常流量精细化检测方法,通过生成聚类特征簇划分多个子检测模型实现异常流量的精细化检测,并通过提供一种特征符合度评估方法精准捕捉无标签流量间的特征偏差,降低了无标签流量特征偏差对异常流量检测结果的影响,从而提高了现有异常流量检测技术的检测准确度。

本文档来自技高网...

【技术保护点】

1.一种网络异常流量精细化检测方法,其特征在于,包括以下步骤:

2.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S1中原始流量数据样本库,包括有标签非加密流量数据样本、有标签加密流量数据样本、无标签非加密流量数据样本和无标签加密流量数据样本。

3.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S2中聚类模型包括经由改进正余弦优化算法引导簇生成的K-Means聚类模型。

4.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S2中聚类特征簇的数量由预设簇阈值确定。

5.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S2具体包括以下步骤:

6.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S3中特征标记为某一聚类特征簇区别于其他聚类特征簇的典型特征的字符编号标记,便于对所述步骤S1中有标签降维特征集合和无标签降维特征集合进行特征符合度评估。

7.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S3中簇大小具体表示所述聚类特征簇内包含的有标签流量数据样本量和无标签流量数据样本量。

8.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S3中子检测器的划分维度等同于所述聚类特征簇的数量,子检测器的从属编号等同于所述特征标记所属聚类特征簇的字符编号。

9.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S4中子检测模型用于精细化检测所述步骤S1中有标签降维特征集合和无标签降维特征集合中的异常流量,多个子检测模型的模型性能与步骤S3中所述原始异常流量检测模型的模型性能一致。

10.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S5具体包括以下步骤:

11.根据权利要求10所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S52中得到符合度评估特征簇的具体实现过程为:去除特征标记字符编号为2的聚类特征簇中包含的与聚类特征簇中特征完全相同的特征,并将特征标记字符编号为2的聚类特征簇中包含的与聚类特征簇中特征存在差异的特征补充至聚类特征簇中,得到符合度评估特征簇。

12.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤S6中聚类特征簇所属子检测模型具体表示与该聚类特征簇特征标记字符编号相等的子检测模型。

...

【技术特征摘要】

1.一种网络异常流量精细化检测方法,其特征在于,包括以下步骤:

2.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤s1中原始流量数据样本库,包括有标签非加密流量数据样本、有标签加密流量数据样本、无标签非加密流量数据样本和无标签加密流量数据样本。

3.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤s2中聚类模型包括经由改进正余弦优化算法引导簇生成的k-means聚类模型。

4.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤s2中聚类特征簇的数量由预设簇阈值确定。

5.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤s2具体包括以下步骤:

6.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤s3中特征标记为某一聚类特征簇区别于其他聚类特征簇的典型特征的字符编号标记,便于对所述步骤s1中有标签降维特征集合和无标签降维特征集合进行特征符合度评估。

7.根据权利要求1所述的一种网络异常流量精细化检测方法,其特征在于,所述步骤s3中簇大小具体表示所述聚类特征簇内包含的有标签流量数据样本量和无标签流量数据...

【专利技术属性】
技术研发人员:杨贻宏
申请(专利权)人:上海人工智能网络系统工程技术研究中心有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有