【技术实现步骤摘要】
本专利技术涉及机器学习领域,特别涉及一种基于图表征的网络流量异常检测方法及系统。
技术介绍
1、随着互联网的日益发展,网络通信的安全问题也变得愈发重要,而其中关键的一点就是对网络流量异常的检测,网络流量异常是网络安全事件的早期预警信号,对网络流量异常进行实时的检测和分析,不仅可以及时地优化网络拥堵故障,还可以对网络侵入攻击进行提前预警,从而迅速地采取应对措施以减少损失。
2、现有技术中,进行网络流量异常检测通常是采用基于统计分析和模式识别的方法,然而在面对如今复杂多变的网络环境和攻击手段时,存在较大的局限性,攻击者可以利用网络节点的关系模式来发动复杂的攻击,而现有的检测方法却不能有效识别攻击模式,导致无法及时做出响应。
3、可见,现有技术在考虑网络节点关系方面存在明显缺陷,那么如何根据网络节点关系进行针对性增强,以提高网络流量异常检测的准确性和效率,进而保障网络通信的安全和稳定,是一个亟待解决的问题。
技术实现思路
1、基于此,本专利技术的目的是提供一种基于图表征的网络流量异常检测方法及系统,通过设计一种图神经网络模型,从网络流量数据集的图结构中获取图表征,有效地捕捉到网络中的异常模式,精准地识别到潜在的网络攻击行为和异常流量活动,再通过设计一种融合图表征的随机森林模型,降低了待处理样本规模,同时还可进行并行化计算,极大地提高了网络流量异常检测的效率。
2、本专利技术提出的一种基于图表征的网络流量异常检测方法,包括:
3、采集网络流量
4、根据所述网络流量数据集提取图结构,所述图结构包括节点集、边集和边属性矩阵,对所述节点集进行异常节点标注,再将所述图结构输入图神经网络模型以获取图表征,所述图神经网络模型包括单层卷积层、多层图卷积层、多层线性层和全连接层;
5、对所述图表征进行增强处理,再将增强后的所述图表征进行聚类,以获取多个不同图表征类别的子数据集,将所述子数据集输入随机森林模型中,所述随机森林模型根据加权预测算法获取最终网络流量异常检测结果。
6、综上,根据上述基于图表征的网络流量异常检测方法,通过设计一种图神经网络模型,从网络流量数据集的图结构中获取图表征,有效地捕捉到网络中的异常模式,精准地识别到潜在的网络攻击行为和异常流量活动,再通过设计一种融合图表征的随机森林模型,降低了待处理样本规模,同时还可进行并行化计算,极大地提高了网络流量异常检测的效率。具体的,采集网络流量数据并进行预处理,以获取网络流量数据集,根据所述网络流量数据集提取图结构,所述图结构包括节点集、边集和边属性矩阵,对所述节点集进行异常节点标注,再将所述图结构输入图神经网络模型以获取图表征,所述图神经网络模型包括单层卷积层、多层图卷积层、多层线性层和全连接层,精准地识别到潜在的网络攻击行为和异常流量活动,极大地提高了网络流量异常检测的准确性,对所述图表征进行增强处理,再将增强后的所述图表征进行聚类,以获取多个不同图表征类别的子数据集,将所述子数据集输入随机森林模型中,所述随机森林模型根据加权预测算法获取最终网络流量异常检测结果,降低了待处理样本规模,同时还可进行并行化计算,极大地提高了网络流量异常检测的效率,实现了对网络通信的安全和稳定的保障。
7、进一步的,所述采集网络流量数据并进行预处理,以获取网络流量数据集的步骤包括:
8、采集网络流量数据,所述网络流量数据包括正常流量数据流和异常流量数据流,将所述网络流量数据转换为特征向量,并对所述特征向量进行标准化放缩处理,所述标准化放缩处理公式如下:
9、
10、
11、
12、其中,表示特征向量中的第i组标准化后的数据,表示特征向量中的第i组原始数据,表示特征向量的均值,表示特征向量的标准差,表示特征向量中的第i组数据的均值,表示特征向量的均值;
13、将标准化放缩处理后的所述特征向量制作为网络流量数据集。
14、进一步的,所述根据所述网络流量数据集提取图结构的步骤包括:
15、对网络流量数据集中的目的ip地址和源ip地址进行特征列内容筛选,以获取n个不重复的ip地址并根据{1,2,3,...,n}进行编号,以获取图结构的节点集;
16、将所述网络流量数据集中的每一条单独数据作为边,所述目的ip地址和所述源ip地址作为边的连接点,以获取图结构的边集;
17、将所述网络流量数据集中除所述目的ip地址和所述源ip地址之外的特征作为边的特征,根据独热编码算法将所述边的特征中的离散型数据转换为连续性数据,以获取图结构的边属性矩阵;
18、根据所述节点集、所述边集和所述边属性矩阵获取图结构。
19、进一步的,所述对所述节点集进行异常节点标注的步骤包括:
20、获取网络流量数据集中异常流量数据流的目的ip地址和源ip地址,以进行异常ip地址筛选,再根据所述异常ip地址在图结构的节点集中筛选对应的异常节点;
21、根据标签特征ab对所述节点集进行节点标注,所述异常节点的标签特征ab(v)=1,正常节点的标签特征ab(v)=0,其中v表示节点。
22、进一步的,所述再将所述图结构输入图神经网络模型以获取图表征的步骤包括:
23、将图结构输入图神经网络模型,所述图神经网络模型包括单层卷积层、多层图卷积层、多层线性层和全连接层;
24、所述单层卷积层为一维卷积层,将所述图结构节点集中的每个节点v映射为维度为d的嵌入向量,d表示单个节点中的特征个数,d为400,所述嵌入向量的表示如下:
25、
26、其中,表示第i个节点的嵌入向量,i∈{1,2,...,n},n表示节点集中节点的总数;
27、所述多层图卷积层包括多层聚合模块,所述多层聚合模块将所述图结构节点集中的单个节点及其相邻节点间的信息进行聚合,以获取多尺度节点特征,所述多层图卷积层的层传播公式如下:
28、
29、其中,为非线性激活函数,为邻接矩阵,为添加自连接,为的度矩阵,为第 l层的特征表示,为第 l+1层的特征表示,为第 l层的可学习滤波器参数;
30、所述多层线性层根据如下公式进行多尺度节点特征拼接:
31、
32、其中,为前一层线性层的输出,为初始线性层的输入,为权重矩阵;
33、所述全连接层输出节点的二分类预测结果,以获取图表征;
34、根据focal loss函数进行损失计算,所述focal loss函数如下:
35、
36、其中,为预测值与目标值的差距,表示预测值,ɑ为调整类别权重的调节因子,γ表示调整简单样本损失贡献的调节因子,设置γ=2,ɑ=0.25,y为样本的真实本文档来自技高网...
【技术保护点】
1.一种基于图表征的网络流量异常检测方法,其特征在于,包括:
2.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述采集网络流量数据并进行预处理,以获取网络流量数据集的步骤包括:
3.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述根据所述网络流量数据集提取图结构的步骤包括:
4.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述对所述节点集进行异常节点标注的步骤包括:
5.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述再将所述图结构输入图神经网络模型以获取图表征的步骤包括:
6.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述对所述图表征进行增强处理,再将增强后的所述图表征进行聚类,以获取多个不同图表征类别的子数据集的步骤包括:
7.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述将所述子数据集输入随机森林模型中,所述随机森林模型根据加权预测算法获取最终网络流量异常检测结果的步骤
8.一种基于图表征的网络流量异常检测系统,其特征在于,包括:
9.一种存储介质,其特征在于,所述存储介质存储一个或多个程序,该程序被处理器执行时实现如权利要求1-7任一项所述的基于图表征的网络流量异常检测方法。
10.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,其中:
...【技术特征摘要】
1.一种基于图表征的网络流量异常检测方法,其特征在于,包括:
2.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述采集网络流量数据并进行预处理,以获取网络流量数据集的步骤包括:
3.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述根据所述网络流量数据集提取图结构的步骤包括:
4.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述对所述节点集进行异常节点标注的步骤包括:
5.根据权利要求1所述的基于图表征的网络流量异常检测方法,其特征在于,所述再将所述图结构输入图神经网络模型以获取图表征的步骤包括:
6.根据权利要求1所述的基于图表征...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。