【技术实现步骤摘要】
本专利技术属于小样本异常流量检测,尤其涉及一种基于元学习框架的小样本异常流量检测方法及系统。
技术介绍
1、chowdhury等人将传统的过采样和欠采样技术与小样本学习技术相结合以提高异常样本的检测率。他们首先训练深度cnn来提取中间特征,然后将提取的特征作为新的数据集输入到svm和1-nn分类器中。通过对kdd和nsl-kdd数据集的测试,该方法获得了较好的性能。当使用13层提取的特征时,svm分类器的测试精度达到94.62%,并且在9次过采样u2r上的平均分类精度最高。xu等人开发了一种基于元学习的端到端dnn,称之为fc net,用于小样本网络流量分类任务。该网络由f-net和c-net两部分组成,分别用于提取和比较特征。由于fc-net从原始数据集中获得了足够的分类先验知识,因此只需要少量的标签样本就可以在检测新类型攻击的任务中获得更好的性能。hindy等人提出了一种基于单样本学习方法的暹罗网络模型,该模型使用相似性比较来识别以前未出现的新攻击类别。在cicids2017数据集上的准确率超过80%,而对于kdd cup'99和nsl-kdd,准确率达到72%以上。这表明,一次性学习可以在不重新训练的情况下识别新类型的攻击,并且可以达到可接受的准确性。
2、据分析,异常流量检测模型识别错误的样本很大一部分是因为其样本数较少,深度学习模型无法完全学习其特征。而新型网络攻击也同样具备样本数稀少,导致模型识别率下降。近年来元学习在小样本学习领域取得了瞩目的成绩。
3、现有技术在异常流量检测模型中存在以下技
4、1)样本数稀少导致识别率下降:异常流量检测模型识别错误的样本很大一部分是由于其样本数较少。深度学习模型通常需要大量样本进行训练,才能有效学习和识别异常流量的特征。然而,在实际场景中,新型网络攻击和异常流量往往具备样本数稀少的特点,导致深度学习模型无法充分学习其特征,从而影响模型的识别率。
5、2)新型网络攻击的特征难以学习:新型网络攻击往往具备独特的特征,这些特征在已有的训练数据中并不存在。因此,传统的深度学习模型难以识别和检测这些新型攻击。这是因为模型在训练过程中并未接触过这些新的攻击样本,缺乏相应的经验和知识,导致对新型攻击的识别率较低。
6、3)泛化能力不足:传统深度学习模型的泛化能力较差,即使在大量数据上训练,也很难在样本数稀少的新任务上取得良好的表现。模型往往对训练数据表现良好,但在面对从未见过的新型网络攻击时,识别率大幅下降。这种泛化能力不足的问题在实际应用中非常突出,影响了异常流量检测系统的可靠性和实用性。
7、4)缺乏有效的小样本学习机制:现有的异常流量检测模型在处理小样本学习任务时,缺乏有效的机制来快速适应和学习新的异常流量特征。尽管元学习在小样本学习领域取得了一定的进展,但传统异常流量检测模型仍未能充分利用元学习的优势,导致在新任务上的识别率和准确性未能得到显著提升。
8、通过上述分析可以看出,现有技术在处理样本数稀少的异常流量检测任务时,存在显著的技术问题和缺陷,亟需通过引入元学习等先进技术手段,提升模型在小样本任务上的学习和识别能力。
技术实现思路
1、针对现有技术存在的问题,本专利技术提供了一种基于元学习框架的小样本异常流量检测方法。
2、本专利技术是这样实现的,一种基于元学习框架的小样本异常流量检测方法包括:
3、步骤1,对数据进行特征提取和格式化处理;
4、步骤2,从预处理好的数据集中根据分类每一类抽取适量条数据,根据n-way,k-shot的方式组建task,根据掌握的流量类别组建尽多的task,根据比例将task划分为元训练集与元测试集;对于每一个task内部,划分为支持集support set与查询集query set;
5、步骤3,使用元训练集对元学习器进行训练,对于每一个task,使用支持集进行内循环一次或多次,使其适应当前任务;当每一个task训练过后,采用这一组task合并的查询集对模型进行测试,同时使用该损失更新模型参数,使模型更加适应整体任务;
6、步骤4,使用元测试集对训练好的模型进行评估,对于每一个task,使用支持集进行内循环一次或多次,使其适应当前任务;然后使用查询集检测模型的性能。
7、本专利技术的另一目的在于提供一种基于元学习框架的小样本异常流量检测系统包括:
8、数据预处理模块,用于对数据进行特征提取和格式化处理;
9、元任务建立模块,用于从预处理好的数据集中根据分类每一类抽取适量条数据,根据n-way,k-shot的方式组建task,根据掌握的流量类别组建尽多的task,根据比例将task划分为元训练集与元测试集;对于每一个task内部,划分为支持集support set与查询集query set;
10、元学习模型训练模块,用于使用元训练集对元学习器进行训练,对于每一个task,使用支持集进行内循环一次或多次,使其适应当前任务;当每一个task训练过后,采用这一组task合并的查询集对模型进行测试,同时使用该损失更新模型参数,使模型更加适应整体任务;
11、元学习测试模块,用于使用元测试集对训练好的模型进行评估,对于每一个task,使用支持集进行内循环一次或多次,使其适应当前任务;然后使用查询集检测模型的性能。
12、本专利技术的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述基于元学习框架的小样本异常流量检测方法的步骤。
13、本专利技术的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述基于元学习框架的小样本异常流量检测方法的步骤。
14、本专利技术的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述基于元学习框架的小样本异常流量检测系统。
15、结合上述的技术方案和解决的技术问题,本专利技术所要保护的技术方案所具备的优点及积极效果为:
16、第一、本专利技术运用元学习在小样本任务上的优势,提出一种基于优化的元学习异常流量检测模型,并使用iotid20数据集与cicids-2017数据集构建元学习数据集对模型进行训练与测试。可以通过学习已知异常流量与正常流量的区别来做到区分样本数较少的新型未知异常流量与正常流量。
17、本专利技术提出的模型通过在训练过程中引入不同任务的数据,并在这些任务上进行优化,能够在遇到新任务时更快地适应并提高性能,解决了传统深度学习模型对于小样本的数据难以识别的问题。
18、第二,本专利技术的技术方案转化后的预期收益和商业价值为:
19、1.提升检测准确性
20、通过小样本学习技术,模型能够在仅有少量标记数据的情况下进行有效训练,从而准确识别网络中的异常流本文档来自技高网...
【技术保护点】
1.一种基于元学习框架的小样本异常流量检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,所述元任务建立步骤进一步包括:
3.如权利要求1所述的方法,其特征在于,所述元学习模型训练步骤进一步包括:
4.如权利要求1所述的方法,其特征在于,所述元学习模型测试步骤进一步包括:
5.一种实施如权利要求1所述异常流量检测方法的基于元学习框架的小样本异常流量检测系统,其特征在于,所述基于元学习框架的小样本异常流量检测系统包括:
6.根据权利要求5所述的系统,其特征在于,所述数据预处理模块进一步包括对数据集进行子类别处理,以生成更多样性的元学习任务,并构建包括正常流量和多种异常流量的元学习数据集。
7.根据权利要求5所述的系统,其特征在于,所述元学习模型训练模块采用全局总体更新的方式在外循环中更新模型参数,即每完成一个批次的任务训练后,使用该批次任务组的查询集计算损失值并通过元学习率更新模型参数。
8.根据权利要求5至7中任一项所述的系统,其特征在于,所述系统还包括分类实验模块,用于
9.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1所述基于元学习框架的小样本异常流量检测方法的步骤。
10.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求5所述基于元学习框架的小样本异常流量检测系统。
...【技术特征摘要】
1.一种基于元学习框架的小样本异常流量检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,所述元任务建立步骤进一步包括:
3.如权利要求1所述的方法,其特征在于,所述元学习模型训练步骤进一步包括:
4.如权利要求1所述的方法,其特征在于,所述元学习模型测试步骤进一步包括:
5.一种实施如权利要求1所述异常流量检测方法的基于元学习框架的小样本异常流量检测系统,其特征在于,所述基于元学习框架的小样本异常流量检测系统包括:
6.根据权利要求5所述的系统,其特征在于,所述数据预处理模块进一步包括对数据集进行子类别处理,以生成更多样性的元学习任务,并构建包括正常流量和多种异常流量的元学习数据集。
7.根据权利要求5所述的系...
【专利技术属性】
技术研发人员:刘长征,卢泓铭,赵俊皓,张荣华,李享,徐浩然,
申请(专利权)人:石河子大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。