【技术实现步骤摘要】
本申请属于计算机,具体涉及一种网络异常检测方法、装置、模型训练方法及电子设备。
技术介绍
1、随着互联网技术的快速发展,网络已经成为现代社会不可或缺的一部分。然而,网络的普及也带来了诸多安全问题,尤其是网络入侵行为,它不仅威胁到个人隐私和企业数据的安全,还可能对国家安全构成威胁。因此,开发有效的网络入侵检测方法对于维护网络安全至关重要。
2、现今,传统的网络入侵检测系统(intrusion detection system,ids)主要有依赖于签名匹配技术的签名检测方法;通过比对网络流量与已知攻击模式的签名来识别异常行为;通过建立正常网络行为模型,将偏离该模型的行为视为潜在威胁的异常检测方法;利用统计学原理分析网络流量的特征分布,识别异常模式统计分析的检测方法;以及基于机器学习的检测方法等。然而,这些方法存在着数据处理效率低、误报率高等问题。
技术实现思路
1、鉴于此,本申请的目的在于提供一种网络异常检测方法、装置、模型训练方法及电子设备,以改善当前网络入侵检测方法存在的数据处理效率低、误报率高的问题。
2、本申请的实施例是这样实现的:
3、第一方面,本申请实施例提供了一种网络异常检测方法,包括:获取待检测网络流量数据集;对所述待检测网络流量数据集中的数据进行预处理,得到第一数据集;对所述第一数据集进行特征提取,得到第一特征集;
4、对所述第一特征集中的特征进行特征融合,得到融合特征集,其中,所述特征融合包括对同一特征的不同维度的信息
5、在上述实施例中,对待检测网络流量数据集中的数据进行预处理可以去除噪声和无关信息,减少数据的复杂性,使得后续的特征提取和异常检测更加高效;再对预处理后的数据集进行特征提取和特征融合,可以更准确地捕捉到网络流量中的异常模式,尤其是进行特征融合,可以通过结合时序特征和交互特征(如拓扑特征),从多个视角分析网络流量,有助于区分正常流量和异常流量,使得多尺度异常检测神经网络可以更好地适应不同的网络环境和攻击模式,更全面地理解和分析网络流量,从而提高检测的稳定性、有效性以及准确率。利用多尺度异常检测神经网络对融合特征集进行异常检测,可以捕捉到异常模式在不同尺度下的细节和特征,通过融合多尺度的信息,为异常检测提供更全面、丰富的信息,进而提高检测的准确率。
6、结合第一方面实施例,在一种可能的实施方式中,所述获取待检测网络流量数据集,包括:根据预设的安全策略,对网络节点的数据进行采样,得到第一网络流量数据集,其中,预设的安全策略用于调整采样时的频率和范围;去除所述第一网络流量数据集中的无关数据,得到所述待检测网络流量数据集。
7、在上述实施例中,根据预设的安全策略调整采样时的频率和范围,可以针对特定的网络节点和行为模式进行采样,减少不必要的数据收集,避免对所有网络流量进行全量分析,从而提高网络异常检测的效率;预设的安全策略可以结合多种匹配条件,如用户、终端设备、时间段等,能够更准确地识别出潜在的威胁和异常行为,并且预设的安全策略能够不断更新,以适应新的网络环境变化,保证检测的时效性和有效性。去除第一网络流量数据集中的无关数据,可以减少数据的复杂性和冗余,还能够帮助识别和过滤掉不符合异常模式的正常流量,从而提高检测的准确率和效率。
8、结合第一方面实施例,在一种可能的实施方式中,所述对所述待检测网络流量数据集中的数据进行预处理,得到第一数据集,包括:对所述待检测网络流量数据集中的数据依次进行数据清洗、统一的张量格式转换,得到统一数据集;对所述统一数据集中的异常值进行检测并修正,得到所述第一数据集。
9、在上述实施例中,对待检测网络流量数据集中的数据进行数据清洗,可以去除噪声、重复数据、异常数据、无关数据等,从而提升数据质量,确保待检测网络流量数据集中的数据是干净和一致的;将数据转换为统一的张量格式可以确保数据在整个异常检测中的一致性和高效性,从而提高检测的效率。异常值检测和修正可以避免模型受到异常数据的影响,提高模型的泛化能力,从而提高检测的准确率。
10、结合第一方面实施例,在一种可能的实施方式中,对所述第一数据集进行特征提取,得到第一特征集,包括:扩充所述第一数据集中的稀有攻击样本的数据,得到扩充后的第一数据集;对所述扩充后的第一数据集进行特征提取,并对提取的特征进行多层非线性变化,得到所述第一特征集。
11、在上述实施例中,在对第一数据集进行特征提取之前,先扩充第一数据集中的稀有攻击样本的数据,增加模型接触稀有攻击样本的机会,从而提高模型对稀有攻击样本的识别能力;还能够减少正常流量和异常流量之间类别不平衡的影响,使模型更加关注异常流量,提高检测的效率。在对扩充后的第一数据集进行特征提取后,对提取的特征进行多层非线性变化,能够提取出更深层次的特征,增加特征的维度和复杂性,从而提高检测的准确率,减少误报和漏报。
12、结合第一方面实施例,在一种可能的实施方式中,所述对所述第一数据集进行特征提取,得到第一特征集,包括:应用预设的多分辨率时间窗口分析模块对所述第一数据集进行多尺度时序特征提取;应用预设的图神经网络对所述第一数据集进行结构化特征提取;将所述多尺度时序特征和所述结构化特征组成所述第一特征集。
13、在上述实施例中,多尺度时序特征能够捕捉到不同时间尺度上的模式和趋势,提取多尺度时序特征有利于识别在不同时间尺度上表现出异常的行为,从而提高检测的准确性;结构化特征通常包含了网络流量中的拓扑信息和元数据,提取结构化特征有助于模型理解网络流量的组织结构和相互关系;通过结合多尺度时序特征和结构化特征可以为异常检测提供更加丰富的信息,从而提高检测的准确性。
14、结合第一方面实施例,在一种可能的实施方式中,所述对所述第一数据集进行特征提取,得到第一特征集,还包括:i、对所述第一数据集进行特征提取以获得流量统计特征、协议行为特征和内容语义特征,并将所述流量统计特征、所述协议行为特征和所述内容语义特征进行融合,得到优化特征;和/或ii、应用预设的带有自注意力机制的长短期记忆网络对所述第一数据集中的时序数据进行长期依赖特征提取,其中,所述长期依赖特征为长时间序列中,攻击模式或异常行为随时间变化所表现的特征;将所述多尺度时序特征和所述结构化特征以及所述优化特征和/或所述长期依赖特征组成所述第一特征集。
15、在上述实施例中,在提取多尺度时序特征和结构化特征的基础上,还可以提取优化特征、长期依赖特征中的至少一种特征,进行异常检测,可以提供更丰富、更全面的信息,显著提高检测的准确性和效率。流量统计特征通常包括数据包大小、传输速率、连接数等,流量统计特征可以提供网络流量的宏观视图;协议行为特征涉及网络协议的使用模式;内容语义特征则关注数据包内容的语义信息;将这些特征融合可以提供更全面的网络流量视图,捕捉到更细微的异常模式,从而提高检测的准确性,减少误报本文档来自技高网...
【技术保护点】
1.一种网络异常检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述获取待检测网络流量数据集,包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述待检测网络流量数据集中的数据进行预处理,得到第一数据集,包括:
4.根据权利要求1所述的方法,其特征在于,对所述第一数据集进行特征提取,得到第一特征集,包括:
5.根据权利要求1所述的方法,其特征在于,所述对所述第一数据集进行特征提取,得到第一特征集,包括:
6.根据权利要求5所述的方法,其特征在于,所述对所述第一数据集进行特征提取,得到第一特征集,还包括:
7.根据权利要求1所述的方法,其特征在于,所述对所述第一特征集中的特征进行特征融合,得到融合特征集,包括:
8.根据权利要求7所述的方法,其特征在于,所述对所述第一特征集中的特征进行特征融合,得到融合特征集,所述方法还包括:
9.根据权利要求7或8所述的方法,其特征在于,所述方法还包括:
10.根据权利要求1所述的方法,其特征在于,所述预设的多
11.根据权利要求10所述的方法,其特征在于,所述应用所述多通道卷积神经网络对所述融合特征集中的特征进行加权处理,得到注意力加权特征集,包括:
12.根据权利要求1所述的方法,其特征在于,所述方法还包括:
13.一种网络异常检测模型训练方法,其特征在于,包括:
14.一种网络异常检测装置,其特征在于,包括:
15.一种电子设备,其特征在于,包括:
...【技术特征摘要】
1.一种网络异常检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述获取待检测网络流量数据集,包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述待检测网络流量数据集中的数据进行预处理,得到第一数据集,包括:
4.根据权利要求1所述的方法,其特征在于,对所述第一数据集进行特征提取,得到第一特征集,包括:
5.根据权利要求1所述的方法,其特征在于,所述对所述第一数据集进行特征提取,得到第一特征集,包括:
6.根据权利要求5所述的方法,其特征在于,所述对所述第一数据集进行特征提取,得到第一特征集,还包括:
7.根据权利要求1所述的方法,其特征在于,所述对所述第一特征集中的特征进行特征融合,得到融合特征集,包括:
8.根据权利要求7所述的方法,其特征在于,所述对所述...
【专利技术属性】
技术研发人员:谢忱,陈亮,徐钟豪,
申请(专利权)人:上海斗象信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。