本发明专利技术公开了一种网络流量异常检测方法及系统,方法包括:对网络流量进行采样,采样获得由流量数据样本构成的时间序列;以预设尺度的时间窗口,从时间序列中提取样本子序列;将样本子序列作为输入样本输入到分类模型中进行模型训练,以确定分类模型的参数;根据参数确定后的分类模型,测试获得网络流量正常和异常的分类结果。本发明专利技术网络流量异常检测方法及系统,将提取的以流量数据样本构成的时间序列作为样本进行模型训练及分类检测,考虑了网络流量的变化具有时间上的延续性和相关性,引入了时间信息到异常流量的检测和分类中,与现有方法相比,可提高对网络流量异常行为检测的准确度。
【技术实现步骤摘要】
本专利技术涉及网络信息安全
,特别是涉及一种网络流量异常检测方法及系统。
技术介绍
随着计算机网络技术的发展以及网络设施覆盖的不断扩大,网络系统越来越复杂,网络设备也越来越多样化,使出现网络流量异常情况的机会增大。网络流量异常是指网络的流量行为偏离其正常行为的情形,网络流量异常会给网络及网络上的计算机带来极大危害,因此对网络流量行为进行监控并及时地发现异常情况,对提高网络的可靠性和可用性具有十分重要的意义。近年来,对网络流量异常的检测方法使用较多的是使用机器学习方法来训练模型,这些研究使用K-Means聚类的方法、支持向量机(SupportVectorMachine)、隐马尔科夫模型(HiddenMarkovModel)、朴素贝叶斯(Bayes)等成熟的机器学习方法和特征提取方法,在检测流量异常方面取得了一定的效果。但现有方法存在以下缺点:对于采集的网络流量的数据样本,在模型训练时是以单个流量数据样本为输入样本进行模型训练,该方法中没有考虑历史信息对当前数据的影响,因此对网络流量异常检测的准确度较低。
技术实现思路
本专利技术提供一种网络流量异常检测方法及系统,以流量数据样本序列为输入进行模型训练,考虑了流量数据在时间上的相关性,可提高对流量异常行为检测的准确度。为实现上述目的,本专利技术提供如下技术方案:一种网络流量异常检测方法,包括:对网络流量进行采样,采样获得由流量数据样本构成的时间序列;以预设尺度的时间窗口,从所述时间序列中提取样本子序列;将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。可选地,所述以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:以预设尺度的时间窗口,从所述时间序列中提取子序列;对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。可选地,所述分类模型采用神经网络模型,所述神经网络模型包括:由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;用于对各所述神经元节点的输出值进行平均处理的池化操作层;通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层。可选地,所述神经元节点包括输入门、遗忘门和输出门,所述神经元节点对输入的流量数据样本的处理过程包括:步骤S1:所述遗忘门丢弃冗余信息,描述为:ft=σ(Wf·[ht-1,xt]+bf);步骤S2:保存新的有用信息,描述为:it=σ(Wi·[ht-1,xt]+bt),步骤S3:更新神经元节点状态,描述为:步骤S4:输入到下一组神经元节点,描述为:ot=σ(Wo·[ht-1,xt]+bo),ht=ot*tanh(Ct);其中,xt表示在时刻t输入的流量数据样本,ht-1表示所述神经元节点在时刻t-1的输出值,ht表示所述神经元节点在时刻t的输出值,Ct表示所述神经元节点在时刻t的状态,Ct-1表示所述神经元节点在时刻t-1的状态,表示隐含层神经元节点在时刻t的值,Wi、Wf、Wc、Wo表示模型中的权重矩阵,bi、bf、bo表示模型中的偏置向量。可选地,所述根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果包括:将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;通过池化操作层,对获得的各输出值进行平均处理;将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。可选地,所述对网络流量进行采样,采样获得由流量数据样本构成的时间序列包括:将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得所述流量数据样本,构成所述时间序列。一种网络流量异常检测系统,包括:采样模块,用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列;特征提取模块,用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列;模型训练模块,用于将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;测试模块,用于根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。可选地,所述特征提取模块用于以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:所述特征提取模块具体用于:以预设尺度的时间窗口,从所述时间序列中提取子序列;对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。可选地,所述分类模型采用神经网络模型,所述神经网络模型包括:由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;用于对各所述神经元节点的输出值进行平均处理的池化操作层;通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层;所述测试模块包括:神经元节点层,用于将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量数据样本的输出值;池化操作层,用于对获得的各输出值进行平均处理;逻辑回归处理层,用于将经平均处理后得到的数据输入到逻辑回归函数处理,得到异常和正常的分类概率。可选地,所述采样模块用于对网络流量进行采样,采样获得由流量数据样本构成的时间序列包括:所述采样模块具体用于:将采集的原始流量信号转换为文本格式,从转换后的数据中采样获得所述流量数据样本,构成所述时间序列。由上述技术方案可知,本专利技术所提供的网络流量异常检测方法及系统,首先对网络流量进行采样,采样获得由流量数据样本构成的时间序列,通过以预设尺度的时间窗口,从时间序列中提取样本子序列,将样本子序列输入到分类模型中进行模型训练,确定所述分类模型的参数,进而根据参数确定后的分类模型,测试获得网络流量正常和异常的分类结果。本专利技术网络流量异常检测方法及系统,以预设尺度的时间窗口从采样获得的时间序列中提取样本子序列,将由流量数据样本构成的样本子序列进行模型训练,基于此获得的分类模型中考虑了时间信息的影响,该检测方法中考虑了流量数据在时间上的相关性,与现有方法相比,可提高对网络流量异常行为检测的准确度。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种网络流量异常检测方法的流程图;图2为本专利技术实施例提供的一种网络流量异常检测系统的示意图。具体实施方式为了使本
的人员更好地理解本专利技术中的技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。本专利技术实施例提供一种网络流量异常检测方法,包括:对网络流量进行采样,采样获得由流量数据样本构成的时间序列;以预设尺度的时间窗口,从所述时间序列中提取样本子本文档来自技高网...
【技术保护点】
一种网络流量异常检测方法,其特征在于,包括:对网络流量进行采样,采样获得由流量数据样本构成的时间序列;以预设尺度的时间窗口,从所述时间序列中提取样本子序列;将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。
【技术特征摘要】
1.一种网络流量异常检测方法,其特征在于,包括:对网络流量进行采样,采样获得由流量数据样本构成的时间序列;以预设尺度的时间窗口,从所述时间序列中提取样本子序列;将所述样本子序列作为输入样本输入到分类模型中进行模型训练,以确定所述分类模型的参数;根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果。2.根据权利要求1所述的网络流量异常检测方法,其特征在于,所述以预设尺度的时间窗口,从所述时间序列中提取样本子序列包括:以预设尺度的时间窗口,从所述时间序列中提取子序列;对提取的每一所述子序列以预设时间尺度进行压缩,得到所述样本子序列,所述样本子序列的每一元素为原子序列中预设数量的流量数据样本的平均值。3.根据权利要求1所述的网络流量异常检测方法,其特征在于,所述分类模型采用神经网络模型,所述神经网络模型包括:由神经元节点构成的神经网络层,所述神经元节点用于对输入的流量数据样本进行处理;用于对各所述神经元节点的输出值进行平均处理的池化操作层;通过逻辑回归函数对经平均处理后得到的数据处理的逻辑回归输出层。4.根据权利要求3所述的网络流量异常检测方法,其特征在于,所述神经元节点包括输入门、遗忘门和输出门,所述神经元节点对输入的流量数据样本的处理过程包括:步骤S1:所述遗忘门丢弃冗余信息,描述为:ft=σ(Wf·[ht-1,xt]+bf);步骤S2:保存新的有用信息,描述为:it=σ(Wi·[ht-1,xt]+bt),步骤S3:更新神经元节点状态,描述为:步骤S4:输入到下一组神经元节点,描述为:ot=σ(Wo·[ht-1,xt]+bo),ht=ot*tanh(Ct);其中,xt表示在时刻t输入的流量数据样本,ht-1表示所述神经元节点在时刻t-1的输出值,ht表示所述神经元节点在时刻t的输出值,Ct表示所述神经元节点在时刻t的状态,Ct-1表示所述神经元节点在时刻t-1的状态,表示隐含层神经元节点在时刻t的值,Wi、Wf、Wc、Wo表示模型中的权重矩阵,bi、bf、bo表示模型中的偏置向量。5.根据权利要求3所述的网络流量异常检测方法,其特征在于,所述根据参数确定后的所述分类模型,测试获得网络流量正常和异常的分类结果包括:将提取的时刻t的样本子序列的各流量数据样本输入到所述神经元节点进行处理,得到对应各流量...
【专利技术属性】
技术研发人员:刘文印,程敏,李青,
申请(专利权)人:广东工业大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。