【技术实现步骤摘要】
本专利技术涉及一种基于对比学习的多尺度融合快速网络流量异常检测方法,属于网络安全和流量监控领域。
技术介绍
1、随着信息技术的迅速发展,互联网已成为现代社会的基础设施,网络流量异常检测在保障网络安全和稳定运行中起到了至关重要的作用。网络流量异常检测的目标是通过监测和分析网络流量,及时发现和识别潜在的安全威胁,如ddos攻击、恶意软件传播、未授权访问和数据泄露等。然而,随着网络环境的日益复杂,传统的异常检测方法在面对高维度、异构化的网络流量数据时,存在检测精度低、计算复杂度高、响应速度慢等问题。现代网络环境中,流量数据呈现高维度和异构化的特点,网络流量不仅包括传统的tcp/ip数据包,还涉及各种应用层协议和服务的数据,例如http、https、dns、ftp等。此外,随着物联网设备和移动互联网的普及,网络流量中还包含大量来自智能设备和移动终端的数据。这些数据来源不同,结构复杂,类型多样,给异常检测带来了巨大的挑战。传统的统计方法和基于规则的检测方法在处理高维度和异构化数据时,往往需要进行大量的特征工程和预处理工作,这不仅增加了计算复杂度,还容易遗漏重要的异常特征。近年来,机器学习和深度学习技术在异常检测领域取得了显著进展,通过自动化特征提取和学习,提高了检测精度和效率。然而,这些方法在面对复杂网络环境时,依然存在一定的局限性。网络流量数据中的关系结构复杂且多变,不同类型的流量之间可能存在显著的关联性。知识图谱技术通过将多样化的元素及其相互关系系统化地表示出来,提供了一种直观有效的方式来理解和管理复杂的网络流量数据。知识图谱中的节点
技术实现思路
1、本专利技术的技术解决问题是:克服现有技术的不足,提供了一种基于对比学习的多尺度融合快速网络流量异常检测方法,通过设计多尺度特征提取机制、特征提取与分块处理、对比学习训练以及高效训练与部署,实现高精度和快速网络流量异常检测,能够获得较好的检测效果。
2、本专利技术的技术解决方案是:一种基于对比学习的多尺度融合快速网络流量异常检测方法,其中:
3、收集流量数据,并对流量数据进行预处理,提取特征后将其转换为流量图像,并对流量图像进行归一化处理后划分为小块;
4、构建多粒度多层感知机模型,向其输入正常流量数据和异常流量数据划分后的流量图像,提取特征信息;
5、定义对比学习损失函数,通过比较正常流量和异常流量的特征信息,对多粒度多层感知机模型进行训练,迭代调整多粒度多层感知机模型的模型参数,使对比学习损失函数值变小直至收敛;
6、对训练好的多粒度多层感知机模型输入预处理后的流量图像,多粒度多层感知机模型能够对正常流量和异常流量进行区分。
7、优选的,对流量数据进行预处理时:
8、在各个关键节点和设备中采集流量数据,记获取到的网络流量数据为x∈rn×d,其中n为收集数据的数量,d为特征维度;若数据中的缺失值较少,则丢弃对应的缺失值。
9、优选的,提取特征后将其转换为流量图像时:
10、对流量数据提取比特级,包级和流级特征,并将其分别转化为图像形式,形成多通道的流量图像。
11、优选的,对转化后的流量图像数据进行最大最小值归一化处理,即:
12、
13、其中,xnew为归一化后的流量图像数据,xmin为流量图像数据的最小值,xmax为流量图像数据的最大值。
14、优选的,将流量图像划分为若干个小块,每个小块表示为x∈rs×c,假设输入图像的大小为(h,w),每个小块的大小为(p,p),则小块的数量为s=hw/p2,所有的小块都经过同样的投影矩阵得到线性投影。
15、优选的,多粒度多层感知机模型由大小相同的多个多粒度感知机模块构成,每个模块包括一个令牌混合全连接层和一个道混合全连接层,其中:
16、令牌混合全连接层提取不同时刻流量的时序特征,每层令牌混合全连接层作用于输入的列方向;
17、通道混合全连接层用于提取不同通道流量的通道特征,作用于输入的行方向;
18、上述两个全连接层构成的多粒度感知机模块能够同时对不同时刻、不同通道流量数据的相关性进行提取,通过不断堆叠时序方向和通道方向的全连接层达到融合的效果。
19、优选的,通过令牌混合全连接层提取不同时刻流量的时序特征,具体为:
20、u*i=x*i+w2σ(w1 layernorm(x*i))
21、上式中,w1、w2表示两个令牌混合全连接层中的可训练参数,x*i表示令牌混合全连接层的输入的第i列,u*i表示输入的第i列通过令牌混合全连接层的输出,layernorm表示层归一化单元,用于加速训练收敛并避免梯度消失和梯度爆炸问题;σ代表逐元素非线性激活函数。
22、优选的,通道混合全连接本文档来自技高网...
【技术保护点】
1.一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于包括:
2.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:对流量数据进行预处理时:
3.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:提取特征后将其转换为流量图像时:
4.根据权利要求2所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:对转化后的流量图像数据进行最大最小值归一化处理,即:
5.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:将流量图像划分为若干个小块,每个小块表示为X∈RS×C,假设输入图像的大小为(H,W),每个小块的大小为(P,P),则小块的数量为S=HW/P2,所有的小块都经过同样的投影矩阵得到线性投影。
6.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:多粒度多层感知机模型由大小相同的多个多粒度感知机模块构成,每个模块包括一个令牌混合全连接层和一个道混合
7.根据权利要求6所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:通过令牌混合全连接层提取不同时刻流量的时序特征,具体为:
8.根据权利要求6所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:通道混合全连接层提取不同通道流量的通道特征,具体为:
9.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:对比学习损失函数为:
10.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:使用设计的对比学习损失函数对多粒度多层感知机模型进行训练时:
...【技术特征摘要】
1.一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于包括:
2.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:对流量数据进行预处理时:
3.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:提取特征后将其转换为流量图像时:
4.根据权利要求2所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:对转化后的流量图像数据进行最大最小值归一化处理,即:
5.根据权利要求1所述的一种基于对比学习的多尺度融合快速网络流量异常检测方法,其特征在于:将流量图像划分为若干个小块,每个小块表示为x∈rs×c,假设输入图像的大小为(h,w),每个小块的大小为(p,p),则小块的数量为s=hw/p2,所有的小块都经过同样的投影矩阵得到线性投影。
6.根...
【专利技术属性】
技术研发人员:付振坤,刘洋,姚琳元,孙立猛,张杰,阎小涛,何涛,蓝鲲,李旷代,康健,王鹏,冉振华,何巍,张耐民,
申请(专利权)人:北京宇航系统工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。