【技术实现步骤摘要】
本专利技术涉及计算机网络空间安全的,具体涉及一种基于深层网络的流特征标准化聚合方法、基于深层网络的流特征标准化预设装置、计算机可读存储介质以及电子设备。
技术介绍
1、随着互联网上的信息技术快速变化,网络攻击变得越来越复杂和频繁,网络上的恶意流量变得越来越难以有效地识别和检测。因此,为了及时检测恶意网络流量,需要在网络状态异常时能够发出警告信息。恶意网络流量检测是网络监控的重要组成部分,正确检测网络中的恶意攻击流量的能力对于提高网络性能和可靠性至关重要。
2、提取流量特征的方法是入侵检测系统正确识别流量是否良性或恶意的关键。传统的恶意流量检测通过分析流量特征,通过专家预先配置的相关规则来识别恶意流量。然而,流量特征提取过于依赖专家知识,消耗大量时间和人力,并且已经无法适应当前爆炸式信息增长的时代。
3、现在越来越多的研究人员正在致力于从原始流量数据中提取强韧的特征。然而,大多数这些方法只在数据包级别上提取特征,不考虑数据包之间的关系,无法检测复杂的顺序攻击,例如ddos。流级别的方法以多种方式表示流量特征,例如将流量转换为图像,将流量转换为频域,使用词嵌入处理流量等。然而,大量的流量协议和协议可选字段的存在使得同样字节表示的含义在不同流量中偏离,从而产生噪声影响检测结果。
技术实现思路
1、本专利技术设计了一种对齐字节流特征提取方法,提取数据包中的字节并将它们分成几个部分进行对齐,这有助于统一多种流量形式,并避免特征偏移产生的噪声。然后,基于这种方法,提出了
2、第一方面,本专利技术提供了一种流特征标准化聚合方法,包括:
3、s1、根据五元组,将深层网络中属于同一流的数据包划分在一组;
4、s2、提取数据包的字节流特征;
5、s3、根据提取的字节流特征,将同一流的数据包特征聚合成流特征。
6、优选的,所述s1中,五元组包括srcip、srcport、dstip、dstport和protocol。
7、优选的,所述s2中,所述提取所有数据包的字节流特征中,每个流被视为一个样本,并解析为二进制保存。
8、更优的,将所述流特征的协议格式包含但不限于:pv4、tcp、udp和有效载荷。
9、更优的,根据选取的协议格式,将对应格式的数据包字节填充到对应的部分,不存在的可选字段用零进行填充;并统一设置了n参数来选择有效载荷的前n个字节,确保样本长度一致,最后提取共数据包共128+n个字节的特征。
10、优选的,所述s3中,通过循环神经网络rnn聚合多个数据包的信息以获取流量特征,同时保留数据包之间的时序关系,并引入了长短时记忆lstm和门控循环单元gru以防止梯度消失。
11、更优的,所述长短时记忆lstm包括遗忘门、遗忘因子、输入门、输入状态、内部状态和输出门;通过使用神经网络的特征嵌入功能和lstm模型的长期依赖保留功能,对每个数据包的时间信息进行编码,从而保留数据包之间的顺序信息,最终通过连接操作,获得流的最终编码特征。
12、在第二方面,本专利技术还提供了一种流特征标准化聚合方法预设装置,包括:
13、数据分流模块,用于监测数据包数据,并根据五元组对数据包分流;
14、数据包特征构建模块,用于根据所选的协议格式对分流后的数据包进行字节流特征提取;
15、流特征编码模块,用于利用并行lstm网络聚合每个流的特征;
16、检测模块,用于利用三层dnn模型,通过监督训练后对流量进行检测的模块。
17、在第三方面,本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时流特征标准化聚合方法。
18、在第四方面,本专利技术还提供了一种电子设备,包括:
19、处理器;以及存储器,
20、其中,所述存储器用于存储所述处理器的可执行指令;所述处理器用于配置为经由执行所述可执行指令来流特征标准化聚合方法。
21、本专利技术与现有技术相比,还存在以下优点:
22、1)本方法可以自动从字节流数据中提取有意义的特征,而不需要来自领域专家的输入。
23、2)本方法通过并行lstm模型,可以有效提取流量信息,为分类器提供更整体全面的信息。
本文档来自技高网...【技术保护点】
1.一种流特征标准化聚合方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述S1中,五元组包括srcIp、srcPort、dstIp、dstPort和protocol。
3.根据权利要求1所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,所述S2中,每个流被视为一个样本,并保存为二进制文件。
4.根据权利要求3所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,将所述流特征的协议格式包含但不限于:Pv4、TCP、UDP和有效载荷。
5.根据权利要求4所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,根据选取的协议格式,将对应格式的数据包字节填充到对应的部分,不存在的可选字段用零进行填充;并统一设置了n参数来选择有效载荷的前n个字节,确保样本长度一致,最后提取共数据包共128+n个字节的特征。
6.根据权利要求1所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,所述S3中,通过循环神经网络RNN聚合多个数据包的信息以获取流量特征,同时保留数据包之间的时序关系,并引入了长短时
7.根据权利要求6所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,所述长短时记忆LSTM包括遗忘门、遗忘因子、输入门、输入状态、内部状态和输出门;通过使用神经网络的特征嵌入功能和LSTM模型的长期依赖保留功能,对每个数据包的时间信息进行编码,从而保留数据包之间的顺序信息,最终通过连接操作,获得流的最终编码特征。
8.一种流特征标准化聚合方法预设装置,其特征在于,包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的基于深层网络的流特征标准化聚合方法。
10.一种电子设备,其特征在于,包括:
...【技术特征摘要】
1.一种流特征标准化聚合方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述s1中,五元组包括srcip、srcport、dstip、dstport和protocol。
3.根据权利要求1所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,所述s2中,每个流被视为一个样本,并保存为二进制文件。
4.根据权利要求3所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,将所述流特征的协议格式包含但不限于:pv4、tcp、udp和有效载荷。
5.根据权利要求4所述的一种基于深层网络的流特征标准化聚合方法,其特征在于,根据选取的协议格式,将对应格式的数据包字节填充到对应的部分,不存在的可选字段用零进行填充;并统一设置了n参数来选择有效载荷的前n个字节,确保样本长度一致,最后提取共数据包共128+n个字节的特征。
6.根据权利要求1所述的一种基于...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。