【技术实现步骤摘要】
本专利技术涉及网络流量检测,尤其涉及一种网络流量检测方法。
技术介绍
1、transformer模型本质上是通过利用自注意力机制,能够捕捉网络流量中的复杂模式,并通过分类器对流量进行检测。transformer经常被用于处理长序列数据,如ddos攻击、端口扫描、恶意流量传播等多种入侵类型,其工作流程描述如下:
2、1.数据预处理:包括数据采集、数据清洗、特征提取,其中数据清洗部分大多数将去除噪声数据只保留对检测有用的特征。
3、2.输入嵌入层:将提取的流量特征转换为向量表示并输入到transformer模型中,通过位置编码捕捉数据包的时间顺序特征。
4、3.自注意力机制:通过自注意力机制可以对输入序列中任意两个位置的信息进行交互,识别流量数据中潜在的依赖关系,并通过多头注意力机制并行计算不同维度的注意力,能够更好地捕捉不同层次的网络流量特征。
5、4.前馈神经网络:通过多层前馈神经网络对注意力层的输出进行进一步非线性变换,以提取更高阶的流量特征。
6、5.分类输出:将经过特征提取的结果输入到分类器中,通常是一个softmax层,用于将网络流量分类为正常流量或异常流量(例如ddos攻击、恶意软件传播等)。
7、传统的transformer方法在数据清理时大多去除噪声数据只保留方便检测的特征,使用6到8组解码器与编码器组合并如同其他深度学习方法一样为黑盒模型,如图1所示。
8、在传统的transformer方法中,尽管其在处理复杂时序数据方面表现优异
9、1、抗噪声干扰能力弱:由于数据预处理环节对特征提取的依赖较大,模型在面对噪声干扰时表现出较弱的鲁棒性。
10、2、时间开销大:自注意力机制和大规模参数训练导致模型在处理大规模数据时消耗大量时间,难以满足实时检测需求。
11、3、可解释性差:模型的黑箱特性使其决策过程难以理解,降低了应用场景中的透明性和可信度。
12、这些问题影响了transformer模型在网络流量入侵检测中的应用效果。
技术实现思路
1、本专利技术的目的在于提供一种网络流量检测方法,用于解决传统网络流量检测方法时间开销大、解释性差和抗噪声干扰能力弱的问题。
2、为实现上述专利技术目的,本专利技术提供一种网络流量检测方法,所述方法包括:
3、s101、获取关于网络攻击的网络流量数据集,所述网络流量数据集由多条流数据构成,对网络流量数据集进行预处理,获得时序化数据;
4、s102、通过滑动窗口方法对时序化数据进行处理,获得数据流序列样本;
5、s103、计算数据流序列样本的异常分数;
6、s104、构建at-transformer模型;
7、s105、将数据流序列样本输入at-transformer模型进行网络流量检测,使用可视化技术对检测结果进行可视化展示。
8、进一步的,对网络流量数据集进行预处理,具体包括以下操作:
9、去除流数据中与流属性特征无关的特征;
10、将所有表征网络攻击来源的特征合并为一个特征,将所有表征网络攻击目标的特征合并为一个特征;
11、对网络流量数据集中的缺失值进行处理;
12、对网络流量数据集中的正常流量数据和异常流量数据进行平衡;
13、对网络流量数据集进行时序化处理,获得时序化数据。
14、进一步的,通过滑动窗口方法对时序化数据进行处理,具体为:将时序化数据分组到固定长度lw的窗口中,以作为数据流序列样本输入到模型中进行处理,窗口表示为目标为使用解码器将窗口从其长度为lw-ls的移位版本重构成长度为lw的原始窗口,ls表示样本数据流长度。
15、进一步的,通过测量数据流序列样本的损失函数评估其异常分数,给定流xk被分配对应于窗口然后通过测量重构误差来计算异常分数,假设流数据被分配到窗口wx,对应的损失函数score(x)表示为:
16、score(x)=‖wx-d(e(wx),wx,shifted)‖
17、其中,e(w)表示欧几里得模,e(wx)表示编码器针对窗口w计算的输出,d(e(wx),wx,shifted)表示编码器针对位移窗口的输出以及随后的编码器输出,其中wx,shifted表示wx的移位版本,包括数据流到k表示测试窗口大小。
18、进一步的,所述at-transformer模型,包括两组编码器与解码器,通过在每个时间戳使用自回归推理模式充当编码器-解码器网络以实现对每个输入序列窗口重建的预测,在两个部分预测重建的窗口。
19、进一步的,所述在两个部分预测重建的窗口,具体包括:
20、在第一部分,生成输入序列窗口的近似重建,与该推断的偏差帮助at-transformer编码器内部的注意力网络在提取时间趋势时,集中于偏差高的子序列,编码器使用基于上下文的注意力将输入窗口w∈rk×m转换为压缩表示,然后再将其通过下式转换为输出w1:
21、w=sigmoid(feedforward(p))
22、其中m表示向量维度,k表示本地上下文窗口长度,且k>lw,r表示向量矩阵,sigmoid()表示激活函数,feedforward()表示前馈层,p表示注意力的压缩潜在表示;
23、在第二部分,使用解码器的重建损失作为异常分数,得到第二部分的得分矩阵f=l1,然后再次进行回归计算得到第二部分的输出w3。
24、进一步的,在所述第一部分定义解码器的重建损失l1和l2作为第二部分的输入,表示为:
25、l1=‖w1-w2‖2
26、l2=‖w3-w2‖2
27、在定义第二部分的对抗性损失时,第二个解码器通过最大化‖w3-w2‖2的差异来区分输入窗口和由第一部分第一个解码器生成的候选重建,使用第一个解码器通过重建输入向第二个解码器释放信号,产生一个退化的异常得分,使得第二个解码器在这个阶段生成与w3相同的输出,训练对象表示为:
28、min max||w3-w2||2
29、decoder1 decoder2
30、其中,decoder1表示第一个解码器,decoder2表示第二个解码器。
31、进一步的,第一个解码器的目标为最小化重建误差,第二个解码器的目标为最大化重建误差,通过使用如下的损失函数实现:
32、l1=+‖w3-w2‖2
33、l2=-‖w3-w2‖2
34、使用综合损失函数将第一部分和第二部分的重建损失和对抗损失相结合,以确定每个解码器的总损失,表示为:
35、l1=l-n‖w1-w2‖2+(1-l-n)‖w3-w2‖2
36、l2=l-n‖w3-w2‖2+(1-l-n)‖w3-w2‖2
【技术保护点】
1.一种网络流量检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种网络流量检测方法,其特征在于,对网络流量数据集进行预处理,具体包括以下操作:
3.根据权利要求1所述的一种网络流量检测方法,其特征在于,通过滑动窗口方法对时序化数据进行处理,具体为:将时序化数据分组到固定长度lw的窗口中,以作为数据流序列样本输入到模型中进行处理,窗口表示为目标为使用解码器将窗口从其长度为lw-ls的移位版本重构成长度为lw的原始窗口,ls表示样本数据流长度。
4.根据权利要求3所述的一种网络流量检测方法,其特征在于,通过测量数据流序列样本的损失函数评估其异常分数,给定流xk被分配对应于窗口然后通过测量重构误差来计算异常分数,假设流数据被分配到窗口Wx,对应的损失函数Score(x)表示为:
5.根据权利要求1所述的一种网络流量检测方法,其特征在于,所述AT-Transformer模型,包括两组编码器与解码器,通过在每个时间戳使用自回归推理模式充当编码器-解码器网络以实现对每个输入序列窗口重建的预测,在两个部分预测重建的窗口。
<...【技术特征摘要】
1.一种网络流量检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种网络流量检测方法,其特征在于,对网络流量数据集进行预处理,具体包括以下操作:
3.根据权利要求1所述的一种网络流量检测方法,其特征在于,通过滑动窗口方法对时序化数据进行处理,具体为:将时序化数据分组到固定长度lw的窗口中,以作为数据流序列样本输入到模型中进行处理,窗口表示为目标为使用解码器将窗口从其长度为lw-ls的移位版本重构成长度为lw的原始窗口,ls表示样本数据流长度。
4.根据权利要求3所述的一种网络流量检测方法,其特征在于,通过测量数据流序列样本的损失函数评估其异常分数,给定流xk被分配对应于窗口然后通过测量重构误差来计算异常分数,假设流数据被分配到窗口wx,对应的损失函...
【专利技术属性】
技术研发人员:文斌,马梦帅,刘文龙,杜宛蓉,
申请(专利权)人:海南师范大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。