本发明专利技术涉及入侵流量检测领域,公开了一种基于宽度网络的集成单分类异常流量检测方法及系统,方法包括如下步骤:采样步骤,根据采样概率抽取一定比例的正常数据;训练步骤,利用所述正常数据训练宽度自编码网络,作为弱分类器;更新步骤,根据样本重构误差计算当前弱分类器的置信度,并更新样本的采样概率;集成步骤,重复采样步骤至更新步骤,直到获得若干个弱分类器,集成获得异常流量检测模型;检测步骤,利用异常流量检测模型对未知样本进行异常检测,得到多个弱分类器的异常检测结果,根据弱分类的置信度对异常检测结果加权得到最终的检测结果。本发明专利技术将宽度学习自编码网络应用在单分类问题,解决了深度网络训练慢、消耗内存大等问题。
1、当今的企业面临着许多挑战,尤其是在监控其网络基础设施方面,需要确保随着网络规模和复杂性的增长,能够全面了解网络的运行状况和安全性。为了消除对网络性能的任何压力,组织应该采取的一项重要行动是使用随组织一起扩展的工具监控流量。当监控存在盲点并且不知道流量异常时,企业的网络将处于丢失重要数据并危及其安全性的边缘。所以流量异常检测算法是企业面都异常攻击时的第一道防线,起着至关重要的作用。
2、现有的流量异常检测算法大多采用深度学习算法进行分类预测。基于该类算法主要有两个缺点(1)模型训练速度较慢。大部分的深度学习算法采用梯度下降方法对整个网络结构进行训练和优化,所以导致模型训练比较缓慢和内存消耗过多;(2)数据不平衡现象导致模型的效果差。在流量异常检测领域,往往异常流量行为的数据很少,大部分的数据都为正常状态下的流量数据。在这一情况下,基于二分类的原理对模型进行训练,由于异常样本较少,训练出来的模型往往会倾向于将未知样本判断为正类。
>5、更新步骤,根据样本的重构误差计算当前弱分类器的置信度,并更新样本的采样概率;6、集成步骤,重复采样步骤至更新步骤,直到获得若干个弱分类器及其对应的置信度,集成获得异常流量检测模型;
7、检测步骤,利用异常流量检测模型对未知样本进行异常检测,得到多个弱分类器的异常检测结果,根据弱分类的置信度对异常检测结果加权得到最终的检测结果。
8、优选的,所述采样步骤中,对于只包含正常样本的数据,根据采样概率筛选出一定比例的数据输入进宽度自编码网络,其中,代表第i个样本,k代表第k次迭代。
9、优选的,所述训练步骤,包括以下步骤:
10、随机初始化宽度学习自编码器的特征层和增强层的权重矩阵和偏置向量;
11、计算特征层每组节点的输出,表示为:
12、;
13、其中,p代表特征层的组数,为特征层映射函数;表示特征层中第m组中的随机生成的权重矩阵,代表特征层中第m组随机生成的偏置向量;
14、将每组节点的输出进行组合,得到特征层的输出,表示为:
15、;
16、将特征层的输出输入进增强层,得到增强层的每组节点输出,表示为:
17、;
18、其中,q代表增强层的组数,为增强层映射函数;表示增强层中第m组中的随机生成的权重矩阵,代表增强层中第m组随机生成的偏置向量;
19、将增强层每组节点的输出进行组合,得到特征层的输出,表示为:
20、;
21、将增强层和特征层的输出进行拼接,得到隐藏层的输出,表示为:
22、;
23、其中,l代表隐藏层的维度;
24、根据宽度学习自编码器的损失函数对网络结构进行训练,损失函数表示为:
25、;
26、其中,表示二范数;表示网络结构中需要学习的输出权重,表示权衡系数,表示对参数的优化;
27、根据岭回归理论快速求解输出权重,表示为:
28、当时,;
29、当时,;
30、其中,代表单位矩阵,n代表样本个数。
31、优选的,所述根据样本的重构误差计算当前弱分类器的置信度,包括以下步骤:
32、计算样本的重构误差,表示为:
33、;
34、;
35、其中,表示第i个样本的原始数据的重构误差,代表第i个样本重构之后的数据, 代表第i个样本经过宽度自编码网络的隐藏层输出;表示二范数的平方;
36、设计单分类boosting策略,以最小化重构误差之和作为总体目标函数,表示为:
37、;
38、;
39、其中,表示总体目标函数;是第k个宽度自编码网络在所有样本上的总重构误差损失,k表示弱分类器的总数量;是第k个宽度自编码网络的权重;表示基于熵的正则化项,用于避免无效解;表示权重参数;s.t.代表约束条件;
40、根据拉格朗日乘子法计算弱分类器的置信度,表示为:
41、;
42、其中,表示第k个弱分类器的置信度,且∈[0,1]。
43、优选的,所述更新样本的采样概率,包括以下步骤:
44、根据jensen不等式将总体目标函数转化为指数形式的上界,表示为:
45、;
46、对当前采样概率进行更新,作为下一个弱分类器的采样概率,表示为:
47、;
48、其中,表示第k-1个弱分类器的采样概率,表示第k个弱分类器的采样概率;
49、对更新后的采样概率进行标准化,表示为:
50、。
51、优选的,样本采样概率的初始值设置为,n代表样本个数。
52、优选的,所述检测步骤,包括以下步骤:
53、对重构误差进行从大到小排序,得到最终的重构误差集合;
54、根据重构误差集合设定判定阈值,表示为:
55、;
56、其中,为预设比例,且;
57、异常流量检测模型根据阈值对未知样本进行检测判断,判断公式表示为:
58、;
59、其中,代表未知样本的标签,代表未知样本在经过弱分类重构之后的重构误差1代表样本为正常样本,0代表样本为异常样本;
60、对于异常样本,异常流量检测模型得到若干个检测结果,对检测结果进行加权投票法,然后得出最终的结果。
61、本专利技术还提供一种基于宽度网络的集成单分类异常流量检测系统,包括:
62、采样模块,根据采样概率抽取一定比例的正常数据;
63、训练模块,利用所述正常数据训练宽度自编码网络,作为一个弱分类器;
64、更新模块,根据样本的重构误差更新样本的采样概率,并计算当前弱分类器的置信度;
65、集成模块,重复采样步骤至更新步骤,直到获得若干个弱分类器及其对应的置信度,集成获得异常流量检测模型;
66、检测模块,利用异常流量检测模型对未知样本进行异常检测,得到多个弱分类器的异常检测结果,根据弱分类的置信度对异常检测结果加权得到最终的检测结果。
67、本专利技术具有如下有益效果:
68、(1)本专利技术将宽度学习自编码网络应用在单分类问题,解决了深度网络训练慢、消耗内存大等问题;
69、(本文档来自技高网...
【技术保护点】
1.一种基于宽度网络的集成单分类异常流量检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述采样步骤中,对于只包含正常样本的数据,根据采样概率筛选出一定比例的数据输入进宽度自编码网络,其中,代表第i个样本,k代表第k次迭代。
3.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述训练步骤,包括以下步骤:
4.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述根据样本的重构误差计算当前弱分类器的置信度,包括以下步骤:
5.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述更新样本的采样概率,包括以下步骤:
6.根据权利要求5所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,样本采样概率的初始值设置为,n代表样本个数。
7.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述检测步骤,包括以下步骤:
8.一种基于宽度网络的集成单分类异常流量检测系统,其特征在于,包括:
...
【技术特征摘要】
1.一种基于宽度网络的集成单分类异常流量检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述采样步骤中,对于只包含正常样本的数据,根据采样概率筛选出一定比例的数据输入进宽度自编码网络,其中,代表第i个样本,k代表第k次迭代。
3.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述训练步骤,包括以下步骤:
4.根据权利要求1所述的基于宽度网络的集成单分类异常流量检测方法,其特征在于,所述根据...
【专利技术属性】
技术研发人员:陈宇昂,施一帆,曾焕强,朱建清,陈婧,龚鑫荣,蔡磊,杨楷翔,
申请(专利权)人:华侨大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。