[發(fā)明專利]分布式自學(xué)習(xí)異常流量協(xié)同檢測方法及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202011132314.9 | 申請日: | 2020-10-21 |
| 公開(公告)號: | CN112367303B | 公開(公告)日: | 2023-05-02 |
| 發(fā)明(設(shè)計(jì))人: | 張欣怡;劉蔚棣;郭喬進(jìn);梁中巖;胡杰;宮世杰;時高山;楊沖昊;汪義飛;李長軍 | 申請(專利權(quán))人: | 中國電子科技集團(tuán)公司第二十八研究所 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L41/16;G06N3/09;H04L41/14;G06N20/20;G06N3/0464;H04L41/0631 |
| 代理公司: | 江蘇圣典律師事務(wù)所 32237 | 代理人: | 胡建華 |
| 地址: | 210000 江*** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 分布式 自學(xué)習(xí) 異常 流量 協(xié)同 檢測 方法 系統(tǒng) | ||
1.一種分布式自學(xué)習(xí)異常流量協(xié)同檢測方法,其特征在于,包括:
分析節(jié)點(diǎn)通過流量分類器對輸入的流量進(jìn)行分類,并篩選出惡意流量;
分析節(jié)點(diǎn)將惡意流量上傳至綜合管理模塊,其中,所述惡意流量至少包括:觸發(fā)告警的異常流量和假陽性流量;
所述綜合管理模塊對分析節(jié)點(diǎn)上報(bào)的惡意流量進(jìn)行標(biāo)注,得到惡意流量樣本,其中,標(biāo)注的特征至少包括:惡意流量的時間戳、上報(bào)節(jié)點(diǎn)、流量樣本和流量類型;
所述綜合管理模塊將惡意流量樣本歸入系統(tǒng)樣本庫,并將所述惡意流量樣本下發(fā)至指定的分析節(jié)點(diǎn);
所述指定的分析節(jié)點(diǎn),根據(jù)所述綜合管理模塊下發(fā)的惡意流量樣本,更新所述指定的分析節(jié)點(diǎn)對應(yīng)的節(jié)點(diǎn)樣本庫;
所述指定的分析節(jié)點(diǎn),通過權(quán)重訓(xùn)練模塊,根據(jù)更新后的節(jié)點(diǎn)樣本庫訓(xùn)練權(quán)重模型,得到更新后的權(quán)重,并將更新后的權(quán)重導(dǎo)入流量分類器。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述綜合管理模塊將惡意流量樣本歸入系統(tǒng)樣本庫,包括:
所述綜合管理模塊將標(biāo)注后的惡意流量依據(jù)特征、節(jié)點(diǎn)類型和威脅等級歸入系統(tǒng)樣本庫。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,分析節(jié)點(diǎn)的數(shù)量小于或等于節(jié)點(diǎn)總數(shù)量;
每一個分析節(jié)點(diǎn)上,都部署有流量分析模塊、流量分享模塊和流量分類器,分析節(jié)點(diǎn)的流量分析模塊對輸入分析節(jié)點(diǎn)的流量進(jìn)行分類,分析節(jié)點(diǎn)的流量分享模塊將惡意流量上傳至所述綜合管理模塊。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述分析節(jié)點(diǎn)通過流量分類器對輸入的流量進(jìn)行分類,包括:
分析節(jié)點(diǎn)對節(jié)點(diǎn)樣本庫中的流量樣本,進(jìn)行預(yù)處理轉(zhuǎn)換為二維流量圖像;
二維流量圖像作為數(shù)據(jù)集交叉驗(yàn)證的輸入,交叉驗(yàn)證后輸出訓(xùn)練集,其中,采用K-fold交叉驗(yàn)證;
訓(xùn)練集輸入CNN網(wǎng)絡(luò)進(jìn)行特征提取處理;
依據(jù)提取的特征,通過softmax分類器對訓(xùn)練集中的樣本進(jìn)行分類。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述進(jìn)行預(yù)處理轉(zhuǎn)換為二維流量圖像,包括:
對應(yīng)一個byte的取值范圍,n字節(jié)流量的二維圖像編碼結(jié)果為:
其中,為一個n字節(jié)流量中第i個字節(jié)的m維特征向量,m=256,為級聯(lián)算子,x1:n為x1,x2,……,xn的級聯(lián)結(jié)果,為i和n都為正整數(shù);
通過卷積濾波器計(jì)算特征值,其中,卷積算子為濾波器卷積算子作用于h長度的流量字節(jié)并用于計(jì)算新的特征值ci,ci=f(w·xi:i+h+1+b),其中,b為偏差向,f為ReLu函數(shù);
并且,所述卷積濾波器作用于全部窗口{x1:h,x2:h+1,…,xn-h+1:n},得到特征映射向量c=[C1,c2,…,cn-h+1];
之后,對所得的特征映射向量執(zhí)行MaxPooling?Over?Time操作,提取其中得分最大的特征值。
6.根據(jù)權(quán)利要求4或5所述的方法,其特征在于,還包括:
在對訓(xùn)練集中的樣本進(jìn)行分類之后,利用驗(yàn)證集評估交叉驗(yàn)證的結(jié)果。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,訓(xùn)練權(quán)重模型的過程中,包括:
每次迭代的對象包括:一個訓(xùn)練樣例x(i)和一個標(biāo)簽y(i),迭代方式包括:
其中,h(x)為對線性模型,J(θ)為代價(jià)函數(shù),θ為計(jì)算參數(shù),x為訓(xùn)練樣例,y為樣本標(biāo)簽,n是維特征向量的維度數(shù)量,m為訓(xùn)練集記錄條數(shù),i和j為正整數(shù),θj表示計(jì)算參數(shù)向量中第j個參數(shù),α表示學(xué)習(xí)率,hθ表示使用計(jì)算參數(shù)θ的對線性模型。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國電子科技集團(tuán)公司第二十八研究所,未經(jīng)中國電子科技集團(tuán)公司第二十八研究所許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011132314.9/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種低成本自學(xué)習(xí)溫控器及其方法
- 一種改善換規(guī)格首塊帶鋼板形質(zhì)量的自學(xué)習(xí)方法
- AMT系統(tǒng)擋位判別基準(zhǔn)的自學(xué)習(xí)及自適應(yīng)控制方法和系統(tǒng)
- 矢量型變頻器自學(xué)習(xí)方法
- EMS系統(tǒng)油品自學(xué)習(xí)值的修正方法
- 一種變速箱復(fù)位自學(xué)習(xí)方法及相關(guān)裝置
- 基于單邊驅(qū)動的EGR閥自學(xué)習(xí)方法
- 一種基于插值計(jì)算的電噴系統(tǒng)閉環(huán)自學(xué)習(xí)控制方法
- 一種ECU自學(xué)習(xí)數(shù)據(jù)備份方法及系統(tǒng)
- 一種可變氣門正時系統(tǒng)的自學(xué)習(xí)控制方法、系統(tǒng)及車輛
