【技术实现步骤摘要】
本专利技术涉及网络安全,并且更具体地,涉及一种基于树神经网络的网络节点异常的检测方法及装置。
技术介绍
1、传统的恶意流量检测方法主要基于网络数据包的特征工程和规则匹配等方式,需要人工提取并选择特征,难以适应不同类型和动态变化的恶意流量,且容易受到对抗攻击。
2、近年来,深度学习方法被广泛应用于恶意流量检测中,传统的恶意流量检测方法大多基于特征工程和规则匹配等方式进行,需要人工干预并且无法从不断变化的动态网络中有效识别出恶意流量。
技术实现思路
1、针对现有技术的不足,本专利技术提供一种基于树神经网络对网络节点进行异常检测的方法及装置、一种基于树神经网络的网络节点异常的检测方法及装置,或者一种基于树神经网络来检测网络节点的方法及装置。
2、根据本专利技术的一个方面,提供了一种基于树神经网络来检测网络节点的方法,其特征在于,包括:
3、获取待检测网络在预定时间段内的网络流量信息;
4、根据所述待检测网络的多个网络节点,构建所述待检测网络的树形结构;
5、根据预定时间段内的网络流量信息以及所述树形结构,构建所述待检测网络的树神经检测模型;以及
6、获取所述待检测网络在待检测时刻的网络流量信息,输入至所述树神经检测模型,检测所述待检测网络的多个网络节点中存在恶意流量的网络节点。
7、优选地,所述网络流量信息包括:网络节点的入站流量、网络节点的出站流量、协议分布、端口分布、ip地址分布以及带宽利用率。>
8、优选地,根据所述待检测网络的多个网络节点,构建所述待检测网络的树形结构,包括:
9、将所述待检测网络的多个网络节点抽象成包括m层的树型结构,其中所述树型结构包括:树的根节点、中间节点和叶子节点,根节点是路由器或者数据汇集设备,中间节点和叶子节点为与路由器或者数据汇集设备连接的网络节点,所述m大于或等于2;
10、其中所述根节点所在的层为第1层。
11、优选地,所述树形结构的树形邻接矩阵表示为:
12、
13、其中,如果网络节点i与网络节点j在当前时刻t存在数据通信,且由网络节点i指向网络节点j发送数据,当前时刻t的数据流从网络节点i指向网络节点j,当前时刻t的数据流的方向表示为指向则网络节点i为网络节点j的父节点,aij=1,表示当前时刻的网络节点i,表示当前时刻t的网络节点j
14、如果网络节点i与网络节点j在当前时刻t不存在数据通信,则ai,j=0表示当前时刻的网络节点,表示当前时刻t的网络节点;
15、其中,当前时刻t对应于一个时间片。
16、优选地,根据预定时间段内的网络流量信息以及所述树形结构,构建所述待检测网络的树神经检测模型,包括:
17、从所述树形结构的根节点所在的层开始,向第m层的叶子节点的方向,以1个层为步长逐级地每次获取2个层并进行计算,直至所述树形结构的第m层参与计算为止,执行:根据所述预定时间段内的网络流量信息,计算所述树形结构的每棵子树中每个孩子节点和其一个或多个兄弟节点中每个之间的相似性,并将计算得到的多个相似性进行拼接,作为孩子节点的特征信息;
18、聚合所述树形结构中每棵子树的父节点的所有孩子节点的特征信息,以基于经过聚合的特征信息来生成每棵子树的父节点的基础矩阵;
19、对所述预定时间段内的每个时间片做多次聚合,从而基于基础矩阵生成多个输入矩阵,将所述多个输入矩阵进行数据特征变换,从而确定特定维度的输出矩阵;以及
20、将所述输出矩阵进行归一化操作,确定预测值和标签值之间的交叉熵损失,从而构建所述待检测网络的树神经检测模型;
21、其中所述待检测时刻对应于一个时间片。
22、优选地,根据所述预定时间段内的网络流量信息,计算所述树形结构的每棵子树中每个孩子节点和其一个或多个兄弟节点中每个之间的相似性,并将计算得到的多个相似性进行拼接,作为孩子节点的特征信息,包括:
23、基于以下公式确定特征信息:
24、
25、其中,zi表示基于预定时间段内的网络流量信息所确定的孩子节点i的流量信息向量,兄弟节点j是孩子节点i的兄弟节点,zj表示基于预定时间段内的网络流量信息所确定的兄弟节点j的流量信息向量,sim(·)(t)表示是相似性计算函数,用于基于流量信息向量确定t时刻两个节点的相似性,表示孩子节点i和兄弟节点j是父节点v的孩子节点,为父节点v的孩子节点的集合,表示计算孩子节点i与多个兄弟节点中的每个兄弟节点之间的相似性后,将计算得到的多个相似性进行拼接,作为孩子节点i的特征信息,con{}表示将计算得到的多个相似性进行拼接,孩子节点i特征信息用于表征孩子节点i的相似性向量。
26、优选地,聚合所述树形结构中每棵子树的父节点的所有孩子节点的特征信息,以基于经过聚合的特征信息来生成每棵子树的父节点的基础矩阵,包括:
27、基于以下公式生成每棵子树的父节点的基础矩阵:
28、
29、其中,xv(t)表示父节点v在当前时刻t的基础矩阵,表示在当前时刻t时父节点v的所有孩子节点的节点集合,与表示孩子节点i属于first_children_aggregation表示对父节点v的所有孩子节点的特征信息或相似性向量的聚合运算,其中,孩子节点i为父节点v的孩子节点,表示节点i的特征信息或相似性向量,αiv表示注意力权重,用于表征父节点v与孩子节点i的关联程度,avg是求平均值,wstruct为权值矩阵;σ为sigmod激活函数;
30、self_similar_difference表示在相邻的时间片t和时间片t-1中父节点v的特征信息或相似性向量的差值,其中,xv(t)-xv(t-1)表示父节点v自身聚合后在时间片t和时间片t-1的时间相似性的差值;
31、self_similar表示对父节点v在当前时刻t的前一时刻t-1的自身相似性进行聚合,xv(t-1)表示父节点v在相邻的时间片t和时间片t-1中的前一个时间片对孩子节点的特征信息进行聚合后的基础矩阵;
32、wt和wrec,均为权值矩阵。
33、优选地,对所述预定时间段内的每个时间片做多次聚合,从而基于基础矩阵生成多个输入矩阵,将所述多个输入矩阵进行数据特征变换,从而确定特定维度的输出矩阵,包括:
34、对所述预定时间段内每个时间片进行l次聚合操作,l次聚合操作基于基础矩阵生成l个输入矩阵,取l个输入矩阵的平均值,以确定当前时刻t的中间矩阵xk(t),公式如下:
35、xk(t)=avg(xv(t)(1),xv(t)(2),…,xv(t)(l))
36、其中,xv(t)(l)为第t个时间片时的基础矩阵xv(t)的第l次聚合操作所生成的输入矩阵;xv(t)(2)为第2个时间片时的基础矩阵xv(t)的第2次聚合操作所生成的输入矩阵;avg为取本文档来自技高网...
【技术保护点】
1.一种基于树神经网络来检测网络节点的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述网络流量信息包括:网络节点的入站流量、网络节点的出站流量、协议分布、端口分布、IP地址分布以及带宽利用率。
3.根据权利要求1所述的方法,其特征在于,根据所述待检测网络的多个网络节点,构建所述待检测网络的树形结构,包括:
4.根据权利要求3所述的方法,其特征在于,所述树形结构的树形邻接矩阵表示为:
5.根据权利要求1至3所述的方法,其特征在于,根据预定时间段内的网络流量信息以及所述树形结构,构建所述待检测网络的树神经检测模型,包括:
6.根据权利要求5所述的方法,其特征在于,根据所述预定时间段内的网络流量信息,计算所述树形结构的每棵子树中每个孩子节点和其一个或多个兄弟节点中每个之间的相似性,并将计算得到的多个相似性进行拼接,作为孩子节点的特征信息,包括:
7.根据权利要求5所述的方法,其特征在于,聚合所述树形结构中每棵子树的父节点的所有孩子节点的特征信息,以基于经过聚合的特征信息来生成每棵子树的父节点
8.根据权利要求5所述的方法,其特征在于,对所述预定时间段内的每个时间片做多次聚合,从而基于基础矩阵生成多个输入矩阵,将所述多个输入矩阵进行数据特征变换,从而确定特定维度的输出矩阵,包括:
9.一种基于树神经网络来检测网络节点的装置,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1-8任一所述的方法。
...【技术特征摘要】
1.一种基于树神经网络来检测网络节点的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述网络流量信息包括:网络节点的入站流量、网络节点的出站流量、协议分布、端口分布、ip地址分布以及带宽利用率。
3.根据权利要求1所述的方法,其特征在于,根据所述待检测网络的多个网络节点,构建所述待检测网络的树形结构,包括:
4.根据权利要求3所述的方法,其特征在于,所述树形结构的树形邻接矩阵表示为:
5.根据权利要求1至3所述的方法,其特征在于,根据预定时间段内的网络流量信息以及所述树形结构,构建所述待检测网络的树神经检测模型,包括:
6.根据权利要求5所述的方法,其特征在于,根据所述预定时间段内的网络流量信息,计算所述树形结构的每棵子树中每...
【专利技术属性】
技术研发人员:王潇,李海亮,王彤,
申请(专利权)人:江南信安北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。