本发明专利技术提供了一种基于循环生成对抗网络和多头自注意力机制的异常流量检测方法
【技术实现步骤摘要】
一种基于循环生成对抗网络和多头自注意力机制的异常流量检测方法
[0001]本专利技术属于网络流量检测领域,涉及一种基于循环生成对抗网络和多头自注意力机制的异常流量检测方法
。
技术介绍
[0002]随着网络技术的不断发展,新型网络应用在生活中得到了广泛的应用,给人们带来诸多便利
。
从大量的网络流量中准确地检测出由恶意攻击所产生的异常网络流量并精准地确定攻击类型,可以有效地维护网络安全
。
[0003]近些年,学者们利用机器学习
、
深度学习等技术构建网络入侵检测系统来检测异常网络流量,虽然这些入侵检测系统能够有效地检测出某些类别的异常网络流量,但针对规模较小的异常网络流量时存在检测准确率较低的问题
。
在网络环境中,正常网络流量和某些常见类型的异常网络流量的规模通常较大,而由新型网络攻击所产生的隐匿性强
、
变异性强的异常网络流量的数量较少,即存在数据不平衡问题,数据不平衡现象的出现给异常网络流量检测带来了巨大的挑战
。
因此,如何克服数据不平衡问题以准确地检测出异常网络流量,已经成为亟需解决的重要问题
。
[0004]传统的数据不平衡解决方案往往利用过采样技术
、
合成过采样技术
、
数据扩充技术等来对某些数量较少的异常网络流量类别进行数据增强,从而解决小样本网络流量异常检测问题
。
这些方法主要通过简单地随机复制数据
、
使用算法生成数据以及对数据进行随机变换来解决数据不平衡问题,但是存在由于改变原始网络流量数据分布或改变原始网络流量特征而导致出现丢失大规模网络流量中的重要信息以及生成大量相似的不平衡网络流量样本的问题,往往会产生数据过拟合现象
。
此外,这些传统的数据增强解决方法在训练检测模型时需要大量的标签数据,无法适应不断增长的面向新型网络攻击的检测需求
。
[0005]为了应对传统数据不平衡解决方法无法充分利用网络流量结构化信息的问题,一种有效的应对措施是将网络流量转换成灰度图的形式进行处理
。
这种方式将网络流量看作一个单独的个体,利用像素值能更直观地反映数据之间关联性的优点,有效地提取网络流量中的空间信息
。
其中,生成对抗网络
(Generative Adversarial Network
,
GAN)
是一种常见的针对图像的数据增强模型,它通过生成器和判别器之间的对抗学习生成逼真的图像;此外,
GAN
还可以通过学习灰度图像数据中的结构和特征,生成与原始灰度图像具有相似特征但是具有更多变化的图像,从而在保留原始图像关键信息的同时对其进行数据增强
。GAN
模型的使用有助于解决网络流量数据不平衡的问题,从而提高检测模型的泛化能力
。
[0006]然而,基于
GAN
模型的数据增强方法在图像增强过程中不易收敛且训练过程不够稳定,如果没有额外的监督对图像增强过程施加额外的约束,那么图像增强对于改善目标检测的效果并不显著
。
此外,
GAN
模型的图像生成过程强调对目标检测的有利控制,但这通常需要额外的成对训练样本,而这些训练样本往往难以收集到
。
与
GAN
模型相比,
CycleGAN
模型采用未配对的图像进行图像到图像的转换,这种图像生成方式能够有效避免
GAN
模型
需要成对样本的缺陷,提高了方法的实用性和可扩展性
。CycleGAN
模型使用生成器和判别器之间的对抗损失作为全局风格损失,使用恒等映射损失和循环一致性损失作为内容损失函数
。
然而,
CycleGAN
生成器中的
ReLU
激活函数对于负值会产生零输出,从而导致图像中的纹理或边缘信息的丢失;此外,基于
CycleGAN
的训练过程存在稳定性和收敛性的问题,尤其是在处理不平衡类样本时可能需要较长的训练时间,并且无法有效地提取全局依赖和长程依赖等关键关联特征信息,导致其无法有效处理网络流量数据的复杂结构和关联性特征
。
[0007]基于此,本专利技术提出了一种基于循环生成对抗网络和多头自注意力机制的异常流量检测方法
CGDA
‑
MHSA(CycleGAN Data Augmentation
‑
based Abnormal Network Traffic Detection Method With Multi
‑
Head Self
‑
Attention Mechanism)。
首先利用
CycleGAN
的生成器和判别器进行图像风格的转;然后,在
CycleGAN
模型中添加灰度图像数据增强模块,利用增强样本来改进
CycleGAN
的学习,捕获流量灰度图原始特征数据分布,从而生成效果更好的图像;其次,将
CycleGAN
生成器中的激活函数更改为
LeakyReLU
,从而有效地缓解稀疏梯度的问题,加速模型的收敛;同时,在
CycleGAN
模型中引入多头自注意力机制来捕捉增强后的网络流量中的重要特征,从而提升网络流量细粒度特征表征能力;最后,使用双向时序卷积神经网络模型检测异常流量
。
大量的对比实验证明本专利技术提出的异常流量检测方法能够更加准确地检测出不同类别的异常流量
。
技术实现思路
[0008]本专利技术的目的是通过解决网络流量数据不平衡问题更加准确地检测不同类别的异常流量
。
为此,本专利技术提出了一种基于循环生成对抗网络和多头自注意力机制的异常流量检测方法
。
[0009]本专利技术提供了一种基于循环生成对抗网络和多头自注意力机制的异常流量检测方法,包括:
[0010]步骤1,使用网络流量数据构建流量灰度图数据,利用循环生成对抗网络结合数据增强模块对流量灰度图进行特征提取;
[0011]步骤2,使用多头自注意力机制对灰度图中网络流量数据信息进行特征筛选以获得重要性较强的流量特征,并将其输入到循环生成对抗网络中进行数据增强;
[0012]步骤3,利用双向时序卷积神经网络将经过数据增强后的流量灰度图进行流量类别的分类,实现对异常流量的检测
。
[0013]第一方面,上述步骤1的具体步骤如下:
[0014]步骤
1.1
,构建经预处理操作后的网络流量表得到网络流量灰度图,以源
IP
地址
、
目的
IP
地址
、
时间等维度来表示特征
。
针对所选的网络本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种基于循环生成对抗网络和多头自注意力机制的异常流量检测方法,其特征在于,包括如下步骤:步骤1,使用网络流量数据构建流量灰度图数据,利用循环生成对抗网络结合数据增强模块对流量灰度图进行特征提取;步骤2,使用多头自注意力机制对灰度图中网络流量数据信息进行特征筛选以获得重要性较强的流量特征,并将其输入到循环生成对抗网络中进行数据增强;步骤3,利用双向时序卷积神经网络将经过数据增强后的流量灰度图进行流量类别的分类,实现对异常流量的检测
。2.
根据权利要求1所述的一种方法,其特征在于,所述步骤1的具体实现包括如下步骤:步骤
1.1
,构建经预处理操作后的网络流量表得到网络流量灰度图,以源
IP
地址
、
目的
IP
地址
、
时间维度来表示特征;针对所选的网络流量维度,将数据进行分组并计算每个分组的流量总量
、
平均值统计数据,然后定义灰度级别并为每个特征分配不同的灰度级,形成流量灰度图;步骤
1.2
,学习流量灰度图中各灰度值间的关联关系以获得局部或整体的特征信息,实现网络流量灰度值形式的关系表示;借助
CycleGAN
模型提取源域特征和目标域特征,并结合数据增强模块进一步增强所提取特征的多样性和提取能力,进而得到多样性的网络流量时空特征
、
强度特征
、
分布特征和异常流量特征<...
【专利技术属性】
技术研发人员:蔡赛华,赵文军,陈锦富,赵星宇,唐晗,林敏,
申请(专利权)人:江苏大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。