本公開提供了一種跨域異常流量檢測(cè)方法，包括：將源域流量集與目標(biāo)域流量集分別轉(zhuǎn)換為流量圖片；對(duì)流量圖片進(jìn)行特征提取分別得到共有特征與特有特征；根據(jù)共有特征與特有特征分別得到源域特征和目標(biāo)域特征，并計(jì)算源域特征與目標(biāo)域特征的相似度，分別得到全連接層的特征距離；判斷全連接層的特征距離與損失函數(shù)數(shù)值之和是否大于等于一閾值，并根據(jù)閾值調(diào)整卷積層及全連接層的權(quán)值，直至ALexNet神經(jīng)網(wǎng)絡(luò)的周期性訓(xùn)練結(jié)束；采用源域流量圖片對(duì)ALexNet神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，并利用訓(xùn)練后的ALexNet神經(jīng)網(wǎng)絡(luò)對(duì)目標(biāo)域流量進(jìn)行分類，得到異常流量。本公開還提供了一種的跨域異常流量檢測(cè)系統(tǒng)、入侵檢測(cè)電子設(shè)備以及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

技術(shù)領(lǐng)域

本公開涉及跨域異常流量檢測(cè)方法、系統(tǒng)、電子設(shè)備和存儲(chǔ)介質(zhì)。

背景技術(shù)

近年來，隨著信息網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題逐漸受到越來越多人的關(guān)注。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心2020年7月發(fā)布的《網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)》可知，第四周境內(nèi)被木馬或僵尸程序控制的主機(jī)約45.5 萬個(gè)，給用戶的隱私和經(jīng)濟(jì)安全帶來了巨大的挑戰(zhàn)。為了保護(hù)網(wǎng)絡(luò)用戶的信息安全，對(duì)網(wǎng)絡(luò)流量進(jìn)行異常檢測(cè)變得尤為重要。

常規(guī)的異常流量檢測(cè)任務(wù)往往基于網(wǎng)絡(luò)流量的統(tǒng)計(jì)特征進(jìn)行檢測(cè)分類，因此特征的提取在任務(wù)中起到了關(guān)鍵作用。近些年機(jī)器學(xué)習(xí)方法因其在學(xué)習(xí)特征表示方面的優(yōu)勢(shì)在異常檢測(cè)領(lǐng)域大放異彩，諸如支持向量機(jī)、隨機(jī)森林等機(jī)器學(xué)習(xí)方法在異常流量檢測(cè)任務(wù)中均取得了較好的效果。例如，有的研究者使用基于分類回歸樹的遞歸式特征消除對(duì)網(wǎng)絡(luò)異常流量數(shù)據(jù)集進(jìn)行特征提取，以減少數(shù)據(jù)集中的冗余以及無效特征，進(jìn)而提升檢測(cè)準(zhǔn)確率以及縮短訓(xùn)練時(shí)間，此外通過參考特征提取后保留的特征，可以在收集流量數(shù)據(jù)時(shí)減少所需的特征。但是，由于部分流量特征具有多樣性，且維度高、計(jì)算復(fù)雜度大，機(jī)器學(xué)習(xí)方法并不總能取得令人滿意的效果。因此，深度學(xué)習(xí)方法逐漸被引入了異常流量檢測(cè)任務(wù)。深度學(xué)習(xí)模型通過不斷自主學(xué)習(xí)，調(diào)整自身各層神經(jīng)元之間的權(quán)值，以實(shí)現(xiàn)對(duì)隱性特征的學(xué)習(xí)并完成相應(yīng)檢測(cè)任務(wù)。相關(guān)研究者曾提出一種使用深度生成模型的半監(jiān)督網(wǎng)絡(luò)流量檢測(cè)方案，通過特征提取器模塊提取低維特征空間中原始流量數(shù)據(jù)的表示特征，并由半監(jiān)督模塊進(jìn)行檢測(cè)，該方法在三種不同的數(shù)據(jù)集上均有良好的表現(xiàn)。相較于其他方法，深度學(xué)習(xí)在處理大數(shù)據(jù)任務(wù)中不僅表現(xiàn)出了較高的準(zhǔn)確率，且同時(shí)大幅度提升了檢測(cè)速度。

盡管深度學(xué)習(xí)方法在異常檢測(cè)領(lǐng)域備受青睞，但以往的深度學(xué)習(xí)方法均建立在假設(shè)訓(xùn)練流量與實(shí)際應(yīng)用場(chǎng)景流量具有相同分布的基礎(chǔ)上，而現(xiàn)實(shí)中的流量隨著時(shí)間地點(diǎn)等因素的變化，其特征分布也在不斷改變。常規(guī)深度模型只建立在源域特征分布的基礎(chǔ)上，因此無法應(yīng)用于與源域特征分布存在差異的目標(biāo)域數(shù)據(jù)中。為了解決這個(gè)問題，遷移學(xué)習(xí)的思想被引入到異常流量檢測(cè)任務(wù)中。

本發(fā)明提出一種跨域異常流量檢測(cè)方法，該方法解決了上述由于域偏移而導(dǎo)致的檢測(cè)準(zhǔn)確率下降的問題，在降低流量獲取成本的同時(shí)提高了跨域異常流量檢測(cè)準(zhǔn)確率。

發(fā)明內(nèi)容

本公開的一個(gè)方面提供了一種跨域異常流量檢測(cè)方法，其基于 ALexNet神經(jīng)網(wǎng)絡(luò)基礎(chǔ)對(duì)源域與目標(biāo)域流量特征進(jìn)行遷移，包括以下步驟：

S1，將源域流量集與目標(biāo)域流量集分別轉(zhuǎn)換為圖像流量，得到源域流量及目標(biāo)域流量；

S2，采用第一數(shù)量的卷積層對(duì)源域流量及目標(biāo)域流量進(jìn)行特征提取，得到源域流量與目標(biāo)域流量之間的共有特征；

S3，采用第二數(shù)量的卷積層對(duì)源域流量及目標(biāo)域流量進(jìn)行特征提取，得到源域流量與目標(biāo)域流量之間的特有特征，特有特征包括屬于源域流量的第一特有特征以及屬于目標(biāo)域流量的第二特有特征；

S4，將共有特征及第一特有特征作為源域特征，將共有特征及第二特有特征作為目標(biāo)域特征，采用第三數(shù)量的全連接層分別計(jì)算源域特征與目標(biāo)域特征之間的相似度，分別得到第三數(shù)量的特征距離；