[發明專利]一種網絡異常檢測方法、系統、終端以及存儲介質有效
| 申請號: | 202010680957.0 | 申請日: | 2020-07-15 |
| 公開(公告)號: | CN111885035B | 公開(公告)日: | 2022-02-22 |
| 發明(設計)人: | 葉可江;林鵬;須成忠 | 申請(專利權)人: | 中國科學院深圳先進技術研究院 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 深圳市科進知識產權代理事務所(普通合伙) 44316 | 代理人: | 魏毅宏 |
| 地址: | 518055 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 網絡 異常 檢測 方法 系統 終端 以及 存儲 介質 | ||
1.一種網絡異常檢測方法,其特征在于,包括以下步驟:
采用n-gram模型對網絡流量進行向量轉換,得到所述網絡流量的向量矩陣;
采用長短時記憶網絡及雙向門控循環單元對所述網絡流量的向量矩陣進行時空特征提取,得到所述網絡流量的隱狀態;
通過人工特征提取器提取所述網絡流量的人工特征,并對所述人工特征進行時空特征提取,得到所述人工特征的隱狀態;
將所述網絡流量的隱狀態與所述人工特征的隱狀態進行拼接后,輸入深度神經網絡進行所述網絡流量的分類預測,根據預測結果判定所述網絡流量是否異常。
2.根據權利要求1所述的網絡異常檢測方法,其特征在于,所述采用n-gram模型對網絡流量數據進行向量轉換前還包括:
將所述網絡流量轉換成標準輸入形式的網絡流量數據包;具體為:
將所述網絡流量按照五元組<源IP,目標IP,源端口,目標端口,傳輸協議分成m個組,每一組代表一個雙向通信流;
取每個組中的前p個數據包,得到m*p個數據包;
取每個數據包的前q個字節,得到m*p*q個字節;
將m個組中前p個數據包的前q字節進行拼接,形成一個m*p*q的張量。
3.根據權利要求2所述的網絡異常檢測方法,其特征在于,所述采用n-gram模型對網絡流量進行向量轉換包括:
設置長度為256的1-gram哈希字節表,并設置長度為l1的2-gram哈希字節表和長度為l2的3-gram哈希字節表;
將每個2-gram和3-gram的字節組合分別映射到2-gram哈希字節表和3-gram哈希字節表中,相同位置的組合使用共享的嵌入表示;
對所述1-gram、2-gram、3gram哈希字節表中的每項元素分別設置一個對應的d維向量;
將所述m*p*q的張量中的q個字節分別經過所述1-gram、2-gram、3gram哈希字節表進行向量轉換,得到v1,v1,v3,并將v1,v1,v3進行拼接,得到輸出維度為m*p*n*3d的張量,其中n=p+p/2+p/3。
4.根據權利要求3所述的網絡異常檢測方法,其特征在于,所述采用長短時記憶網絡及雙向門控循環單元對所述網絡流量的向量矩陣進行時空特征提取,得到所述網絡流量的隱狀態包括:
對所述m*p個網絡流量數據包的向量矩陣分別進行一維卷積操作,得到各個網絡流量數據包的第一隱狀態h1;
對所述m*p個網絡流量數據包的第一隱狀態h1分別進行時空特征提取,得到各個網絡流量數據包的第二隱狀態h2。
5.根據權利要求4所述的網絡異常檢測方法,其特征在于,所述對所述m*p個網絡流量數據包的向量矩陣分別進行一維卷積操作包括:
分別設置尺寸為3*3d、4*3d和5*3d的卷積核,每種卷積核使用的數量為r,所述卷積核總數為3r;
對第i個(0<i≤p)網絡流量數據包進行行方向的一維卷積操作,得到3r個特征圖;
對所述3r個特征圖分別進行最大池化操作,得到3r個值,將所述3r個值進行拼接,得到第i個網絡流量數據包的第一隱狀態hi1。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院深圳先進技術研究院,未經中國科學院深圳先進技術研究院許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010680957.0/1.html,轉載請聲明來源鉆瓜專利網。
