一种基于对合和投票的网络流量异常行为检测方法和系统技术方案

本发明专利技术涉及一种基于对合和投票的网络流量异常行为检测方法和系统。该方法包括：选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图；采用基于对合结构的分类算法对头部特征图和尾部特征图中的特征分别进行分类，得到网络流量是异常行为的两组概率；通过投票算法将两组概率进行整合，得到网络流量异常行为的检测结果。本发明专利技术使用对合结构代替卷积结构，提出了一个分类算法I

【技术实现步骤摘要】
一种基于对合和投票的网络流量异常行为检测方法和系统


[0001]本专利技术提出了一种有效的网络流量异常行为检测方法和系统。该方法结合了对合结构和投票算法，属于机器学习与信息安全结合的交叉


技术介绍

[0002]随着互联网的快速发展，针对网络的攻击变得非常普遍，且攻击手段不断进化。网络空间中存在的大量攻击行为造成了巨大的经济损失，影响社会稳定和国家安全。入侵检测系统(IDS)是一种主动防御技术，能有效识别来自网络的攻击和威胁。
[0003]IDS由Denning于1987年提出，至今仍受到学术界和工业界的广泛关注。IDS可以分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)。相比于HIDS，NIDS可以分析整个网络中的动态流量，可以灵活地部署在网络中的各个节点，被广泛应用于各个领域。NIDS可以分为基于签名的NIDS和基于异常的NIDS。基于签名的NIDS学习攻击行为的特征，只能检测到已知的攻击；而基于异常的NIDS学习正常行为的特征，将偏离正常行为的行为识别为攻击，能够检测未知攻击，应用场景更为广泛。基于异常的NIDS使用的方法有基于统计的方法、基于机器学习的方法和基于深度学习的方法。相比于其他两种方法，深度学习方法具有能自动提取特征，处理高维数据，潜力巨大。目前已有大量深度学习方法被用于入侵检测，如卷积神经网络(CNN)、长短期记忆网络(LSTM)和自编码器(AE)。
[0004]卷积神经网络(CNN)是深度学习领域中的经典模型，在图像处理领域表现出色。CNN由卷积层、池化层和全连接层组成。卷积层是CNN最重要的组成部分，可实现局部感知，得到更深层次、更具代表性的特征。池化层对卷积得到的特征图进行降维，简化数值运算，得到更简洁、更具代表性的特征。全连接层负责计算样本属于每个类别的概率。由于其出色的性能，CNN已被广泛应用于入侵检测领域。当前的主流方法是将网络流量按照流或会话进行划分，然后提取部分数据包的部分字节，将其转化为灰度图，使用CNN进行分类，从而实现入侵检测。然而，按照以上流程的处理方式仍存在一些问题。
[0005]其一，会话或流中数据包的个数和数据包的大小不确定，而深度学习方法一般要求确定的输入大小。为此，现有的方法通常会选择会话中的前几个数据包和数据包的前几个字节作为输入。这部分数据包含了通信双方建立连接时的信息，对于入侵检测很重要。然而，这种处理方式会导致会话和流的其他部分包含的信息的丢失，影响检测性能。
[0006]其二，现实世界中的图像是多通道的，因此CNN可以使用多个卷积核从不同的通道中学习不同的信息。然而，由网络流量生成的图像并不具有这样的多通道特性，CNN无法发挥其作用。卷积的空间不确定性使得它不能适应不同位置的不同模式，而这种适应性是网络流量分类的关键。具体来说，在将网络流量转换为图像进行分类时，属于一个流的多个数据包的特征通常会组成一个图像，因此图中像素之间的依赖关系反映了一个流中数据包之间的依赖关系。此外，卷积的局部性限制了它的感知域的大小，使其无法捕获像素之间的远距离依赖。

技术实现思路

[0007]针对现有技术中存在的问题，本专利技术提出了一个基于对合和投票的网络流量异常行为检测方法和系统，并将其命名为IVIDM。具体来说，本专利技术使用对合结构代替卷积结构，提出了一个分类算法I
‑
Res，得到更具有代表性的特征；分别选取会话开始部分和结束部分的数据包并分别使用I
‑
Res进行判别，使用投票算法将两部分结果结合，从而得到鲁棒性更强的结果。
[0008]对合结构是Duo Li等人于2021年提出的一种运算结构，它具有空间特异性和通道无关性，在很多任务上性能优异。对合结构解决了卷积运算的局限性，更适合于处理由网络流量转化的图像。对合结构能够捕获数据包之间的长距离依赖关系，并从不同的位置学习丰富的特征。因此，本专利技术基于对合结构提出了一个类似残差网络的分类算法I
‑
Res。
[0009]会话开始部分的数据包中包含了通信双方建立连接和初始数据传输的信息，而会话结束部分的数据包中包含了连接断开的信息，也同样重要。本专利技术分别选取会话开始和会话结束部分的数据包作为模型输入。
[0010]综上，本专利技术采用具体技术方案是：
[0011]一种基于对合和投票的网络流量异常行为检测方法，包括以下步骤：
[0012]选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图；
[0013]采用基于对合结构的分类算法对头部特征图和尾部特征图中的特征分别进行分类，得到网络流量是异常行为的两组概率；
[0014]通过投票算法将两组概率进行整合，得到网络流量异常行为的检测结果。
[0015]进一步地，所述选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图，包括分割原始流量、数据提取和灰度图转化。
[0016]进一步地，所述分割原始流量包括：首先将pcap文件中的IPV4流量过滤出来；然后根据源IP、源端口、目的IP、目的端口和协议类型对流量进行分组，每组流量代表一个会话；最后将每组流量中的数据包按照时间戳进行排序。
[0017]进一步地，所述数据提取包括：
[0018]从每个会话中选择最开始的14个数据包和最后的14个数据包作为模型输入，将其称为头部数据包和尾部数据包；如果会话中包含的数据包少于28个，则将1个49维的全0矩阵作为一个数据包，并用其填充会话中不足的部分，之后再提取头部数据包和尾部数据包；
[0019]然后，分别提取头部数据包和尾部数据包中的每个数据包的前49个字节并组合起来作为头部特征和尾部特征；如果数据包的长度大于49个字节，则仅取前49个字节；如果小于49个字节，不足的部分则用0填充；经过数据提取后，得到头部特征和尾部特征，其维度均为14*49。
[0020]进一步地，所述灰度图转化包括：将头部特征和尾部特征分别转化为灰度图，称其为头部特征图和尾部特征图。
[0021]进一步地，所述分类算法为基于对合结构的使用残差结构的分类算法，其由4个部分组成，各部分分别由1个、2个、4个和1个残差结构组成；在每个残差结构中，对合核的维度为3*3，对合核之后是一个标准化层和RELU层；在第一部分之前以及第四部分之后分别有一个维度为7*7的对合核；数据通过所有对合操作后，再经过一个池化层和全连接层，得到最
终的输出。
[0022]一种采用上述方法的基于对合和投票的网络流量异常行为检测系统，其包括：
[0023]1)数据准备单元：选择合适的数据集，将数据处理为适合入侵检测模型IVIDM输入的格式，作为训练数据集。
[0024]2)模型训练单元：使用处理过的训练数据集训练入侵检测模型IVIDM。
[0025]3)异常行为检测单元：使用训练好的入侵检测模型IVIDM来检测待检测数据集上的异常行为。
[0026]进本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于对合和投票的网络流量异常行为检测方法，其特征在于，包括以下步骤：选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图；采用基于对合结构的分类算法对头部特征图和尾部特征图中的特征分别进行分类，得到网络流量是异常行为的两组概率；通过投票算法将两组概率进行整合，得到网络流量异常行为的检测结果。2.根据权利要求1所述的方法，其特征在于，所述选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图，包括分割原始流量、数据提取和灰度图转化。3.根据权利要求2所述的方法，其特征在于，所述分割原始流量包括：首先将pcap文件中的IPV4流量过滤出来；然后根据源IP、源端口、目的IP、目的端口和协议类型对流量进行分组，每组流量代表一个会话；最后将每组流量中的数据包按照时间戳进行排序。4.根据权利要求2所述的方法，其特征在于，所述数据提取包括：从每个会话中选择最开始的14个数据包和最后的14个数据包作为模型输入，将其称为头部数据包和尾部数据包；如果会话中包含的数据包少于28个，则将1个49维的全0矩阵作为一个数据包，并用其填充会话中不足的部分，之后再提取头部数据包和尾部数据包；然后，分别提取头部数据包和尾部数据包中的每个数据包的前49个字节并组合起来作为头部特征和尾部特征；如果数据包的长度大于49个字节，则仅取前49个字节；如果小于49个字节，不足的部分则用0填充；经过数据提取后，得到头部特征和尾部特征，其维度均为14*49。5.根据权利要求2所述的方法，其特征在于，所述灰度图转化包括：将头部特征和尾部特征分别转化为灰度图，称其为头部特征图和尾部特征图。6.根据权利要求1所述的方法，其特征在于，所述对合结构的输入为其中H和W为特征图的长和宽；对合核为其中K为对合核的尺寸，G为对合核的数量；对合操作的计算过程如公式(1)所示，其中Y为经过对合操作后输出的特征图，i,j,k表示特征图中某个值的位置，u,v表示偏移量；Δ
K
为卷积运算的领域偏移集合，其计算过程如公式(2)...

【专利技术属性】
技术研发人员：卢志刚，韩雪莹，姜波，董璞，崔泽林，刘松，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：