本發明提出了一種網絡流量時空特征提取和異常檢測的方法及裝置，其中，本發明的網絡流量時空特征提取和異常檢測的方法包括：S1)：基于歷史網絡流量數據建立網絡模型；S2)：對所述網絡模型進行壓縮以建立壓縮后的模型；S3)：基于所述壓縮后的模型對網絡流量數據提取特征并進行異常檢測。

技術領域

本發明涉及一種網絡流量監測領域，特別涉及一種網絡流量時空特征提取 和異常檢測的方法及裝置。

背景技術

隨著計算機網絡技術的高速發展，網絡已經覆蓋社會生活的方方面面。當 代的計算機網絡架構，是建立在TCP/IP協議的基礎上的，由于TCP/IP協議的 開放性，計算機病毒的傳播也越來越成為人們的困擾，網絡安全問題迫在眉睫。 網絡空間的信息傳輸和信息交互式以網絡流量為載體的，流量數據中包含著大 量有價值的信息。通過分析網絡流量來判斷網絡狀態，對有效地預防網絡攻擊 行為、維護網絡空間安全具有重要意義。作為一種網絡態勢感知的重要技術支 持，網絡流量的異常檢測近年來受到越來越多的關注。網絡流量異常是指對網 絡正常使用造成不良影響的網絡流量模式，流量異常主要由兩種原因構成，一 是性能原因，二是安全原因。迄今為止，針對安全原因引起的異常，網絡流量 異常檢測的方法可分為以下四類：基于統計、基于聚類、基于信息論、基于分 類。

基于統計類的網絡流量分類，基本思想是不同種類的應用產生的流量特性 有所區別。一般的流量特征可以分為兩類，一類是網絡流特征，另一類是數據 包特征，也有綜合兩者，即從原始的流量數據中提取出需要使用的特征數據。 例如思科公司的NetFlow，Juniper公司的J-Flow，Waikato大學開發的Maji， CERT網絡態勢感知研究組開發的YAF等；基于行為的方法使用的流量特征 是主機通信的行為信息，基本思想是不同的應用產生不同的行為模式；基于聚 類的網絡流量異常檢測是一種無監督的檢測方法，最大的優勢是無需數據標注， 因為標注數據在實際中很難獲取；信息論中的許多概念可以解釋網絡流量數據 集特征，例如熵、條件熵、相對熵、信息增益等，所以利用信息論的方法也可 以構建相應的異常檢測模型。

基于網絡流量分類的方法是一種很重要的網絡異常檢測方法。傳統流量分 類可以分為基于端口、基于DPI、基于統計、基于行為四類，從人工智能發展 的角度分析，前兩者是基于規則的傳統方法，但基于端口的方法在當前的復雜 流量面前準確性較低，基于DPI的方法無法處理加密流量且計算復雜，所以 當前采用的主要是后兩者，基于傳統機器學習思路進行網絡流量分類和異常檢 測，主要包括支持向量機SVM模型，貝葉斯網絡和神經網絡模型。例如Gao 等在2015年提出的一個使用深層信念網絡DBN的入侵檢測模型等。

近年來，隨著神經網絡和深度學習的發展，人們嘗試將深度學習的方法應 用到網絡流量分類和異常檢測上，提出基于表征學習思想的深度學習分類方法， 避免設計復雜的流量特征集。最典型的深度學習網絡包括卷積神經網絡CNN 和循環神經網絡RNN。Wang等人在2016年使用卷積神經網絡學習流量空間 特征，使用圖像分類技術進行惡意流量識別，取得了較高的精度。Torres等在 2016年將流量特征轉化成字符，使用循環神經網絡學習時序特征。這些都是 選取單一的空間或者時間特征進行學習的。后來，學者又綜合兩個特征，提出 了基于層次化時空特征學習的網絡流量檢測系統HAST-NAD，該系統能夠自 動學習網絡流量特征，從而省去人工設計流量特征的復雜度和不定性。TCP/IP 協議基礎上的網絡流量通信的方式是分組交換，此時網絡流量在網絡層被分組， 封裝成多個數據包，每個數據包又是由等長的字節組成。HAST-NAD系統就 是在單個和多個連續數據包的基礎上進行學習的，它將數據包里的數據通過獨 熱編碼整理成二維圖像格式，使用卷積神經網絡CNN學習空間特征，然后通 過循環神經網絡RNN在網絡流層次來學習時間特征。