【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种网络空间场景下的原始网络流威胁检测方法与装置。
技术介绍
1、现有的网络空间中数据转换和数据处理的方法中,基于语义的编码方式将网络流的所有语义字段集合在一个表示中且表示具有完整性和恒定的大小,但是该方法存在表示不确定性;基于原始二进制的编码方式保留了特征顺序,减少了对于人工设计特征的依赖,但是忽略了网络流中很多复杂的细节,导致该方法可能引入大量干扰。
2、现有的网络空间场景构建方法中,基于机器学习技术和深度神经网络技术的方法可实现构建单一模型并进行模型优化,但是对于多场景不同应用的网络空间构建存在方法适应性较低、模型效果较差、自动化程度较低的问题。
3、而在网络空间作战场景构建的实际问题中,由于不同网络空间存在较大差异且构建时对于特定网络空间具有不同的要求,因此以往的方法将引入诸多问题,包括:
4、(1)基于语义的编码方式没有保留每条网络流中报文选项字段的顺序,并且需要人工决定字段编码方式,导致经过该方法处理的网络流间存在特征排序不统一的问题,进而导致编码表示不适用于设备识别等任务。
5、(2)基于原始二进制的编码方式忽略了网络流中很多复杂的细节,包括网络流变化的长度和不同协议间的区别,这将导致每条网络流的编码长度不一致,编码表示结果不具有可解释性。
6、(3)基于机器学习技术和深度神经网络技术的方法只能对人工指定的单一模型进行构建和模型优化,导致训练模型只适用于单一特定的网络空间场景,无法实现跨网络空间迁移,模型在构建时自动化水
技术实现思路
1、本专利技术所要解决的技术问题在于,提供一种网络空间场景下的原始网络流威胁检测方法与装置,基于一种原始网络流数据表征模型,对网络空间的网络流进行数据转化和数据处理,使编码表示具有完整性、一致性和可扩展性,同时表示是标准化的且具有恒定的大小。此外,通过使用自动机器学习模型,可实现对于特定网络空间的最佳模型和超参数的自动选择,提升模型构建的自动化程度,并且自动机器学习模型可实现对于特定网络空间的多模型融合构建,使最终模型具有高环境适应性。
2、为了解决上述技术问题,本专利技术实施例第一方面公开了一种网络空间场景下的原始网络流威胁检测方法,所述方法包括:
3、s1,获取原始网络流数据,所述原始网络流数据包括若干条网络流数据;
4、所述原始网络流数据,包括正常流数据、ddos攻击网络流数据、webattack攻击网络流数据;所述网络流数据为二进制形式的数据包;
5、s2,对所述原始网络流数据进行处理,得到所述原始网络流数据的特征信息;
6、s3,划分所述原始网络流数据的特征信息,得到原始网络流数据的训练特征信息和原始网络流数据的测试特征信息;
7、s4,利用预设的自动机器学习模型,对所述原始网络流数据的训练特征信息进行处理,得到优化原始网络流威胁检测模型;
8、s5,利用所述优化原始网络流威胁检测模型,对所述原始网络流数据的测试特征信息进行处理,得到原始网络流威胁检测结果。
9、作为一种可选的实施方式,本专利技术实施例第一方面中,所述对所述原始网络流数据进行处理,得到所述原始网络流数据的特征信息,包括:
10、s21,对所述原始网络流数据进行预处理,得到标准化原始网络流数据;
11、s22,对所述标准化原始网络流数据进行采样,得到n个子图,n为正整数;
12、s23,对所述n个子图进行尺度归一化处理,得到大小相同的n个子图;
13、s24,对所述大小相同的n个子图进行特征提取,得到所述原始网络流数据的特征信息。
14、作为一种可选的实施方式,本专利技术实施例第一方面中,所述对所述原始网络流数据进行预处理,得到标准化原始网络流数据,包括:
15、s211,对所述原始网络流数据进行数据对齐,得到对齐数据信息;
16、s212,对所述对齐数据信息进行数据内部填补,得到填补数据信息;
17、s213,对所述填补数据信息进行数据表示,得到标准化原始网络流数据。
18、作为一种可选的实施方式,本专利技术实施例第一方面中,所述对所述大小相同的n个子图进行特征提取,得到所述原始网络流数据的特征信息,包括:
19、s241,利用预设的特征提取模型,对任意一个子图进行特征提取,得到子图特征信息;
20、所述特征提取模型表达式为:
21、
22、式中,t表示时间,ω表示角频率,x()表示子图,τ表示延时,为子图特征信息,*表示取共轭;
23、s242,利用预设的滤波模型,对所述子图特征信息进行滤波,得到降噪和边缘保持后的子图特征信息
24、s243,对n个子图降噪和边缘保持后的子图特征信息进行特征融合,得到所述原始网络流数据的特征信息。
25、作为一种可选的实施方式,本专利技术实施例第一方面中,所述预设的滤波模型表达式为:
26、
27、式中,w()表示原子图特征信息,表示滤波处理后的子图特征信息,m表示输出的像素点,n表示输入的像素点,s表示设定的矩形框区域,用以遍历子图,w为二维模板,和是两个高斯函数,分别表示空间域核和像素域核,mm的具体表达式为:
28、
29、和具体表达式为:
30、
31、
32、式中,a、b表示输入像素的横纵坐标,i、j表示方框中心的坐标,σs、σr表示高斯函数标准差。
33、作为一种可选的实施方式,本专利技术实施例第一方面中,所述对n个子图降噪和边缘保持后的子图特征信息进行特征融合,得到所述原始网络流数据的特征信息,包括:
34、s2431,利用vgg19网络对n个子图降噪和边缘保持后的子图特征信息进行处理,得到n个第一子图特征信息;
35、s2432,利用凝聚层次聚类方法对所述n个第一子图特征信息进行聚类,得到n个聚类特征信息;
36、s2433,利用特征融合模型,对所述n个聚类特征信息进行特征融合,得到所述原始网络流数据的特征信息。
37、作为一种可选的实施方式,本专利技术实施例第一方面中,所述特征融合模型的计算方法包括:
38、获取待融合的聚类特征信息x和聚类特征信息y;
39、对所述聚类特征信息x和所述聚类特征信息y进行特征投影,得到投影聚类特征信息x'和投影聚类特征信息y';
40、对所述投影聚类特征信息x'和所述投影聚类特征信息y'进行处理,得到投影向量a1和投影向量b1;
41、对所述聚类特征信息x、聚类特征信息y、投影向量a1和投影向量b1进行处理,得到聚类特征信息x和聚类特征信息y的融合特征信息。
42、本专利技术实施例第二方面公开了一种网络空间场景下的原始网络流威胁本文档来自技高网...
【技术保护点】
1.一种网络空间场景下的原始网络流威胁检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述对所述原始网络流数据进行处理,得到所述原始网络流数据的特征信息,包括:
3.根据权利要求2所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述对所述原始网络流数据进行预处理,得到标准化原始网络流数据,包括:
4.根据权利要求2所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述对所述大小相同的N个子图进行特征提取,得到所述原始网络流数据的特征信息,包括:
5.根据权利要求4所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述预设的滤波模型表达式为:
6.根据权利要求4所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述对N个子图降噪和边缘保持后的子图特征信息进行特征融合,得到所述原始网络流数据的特征信息,包括:
7.根据权利要求6所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述特征融合模型的计算方法包括
8.一种网络空间场景下的原始网络流威胁检测装置,其特征在于,所述装置包括:
9.一种网络空间场景下的原始网络流威胁检测装置,其特征在于,所述装置包括:
10.一种计算机可存储介质,其特征在于,所述计算机可存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-7任一项所述的网络空间场景下的原始网络流威胁检测方法。
...【技术特征摘要】
1.一种网络空间场景下的原始网络流威胁检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述对所述原始网络流数据进行处理,得到所述原始网络流数据的特征信息,包括:
3.根据权利要求2所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述对所述原始网络流数据进行预处理,得到标准化原始网络流数据,包括:
4.根据权利要求2所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述对所述大小相同的n个子图进行特征提取,得到所述原始网络流数据的特征信息,包括:
5.根据权利要求4所述的网络空间场景下的原始网络流威胁检测方法,其特征在于,所述预设的滤波模型表达式...
【专利技术属性】
技术研发人员:俞赛赛,任传伦,王小娟,司成祥,谭震,刘晓影,施凡,何明枢,
申请(专利权)人:中国电子科技集团公司第十五研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。