[發明專利]一種時空感知的網絡流量異常行為檢測方法及電子裝置有效
| 申請號: | 202011341722.5 | 申請日: | 2020-11-25 |
| 公開(公告)號: | CN112651422B | 公開(公告)日: | 2023-10-10 |
| 發明(設計)人: | 姜波;韓雪瑩;張辰;杜丹;韓冬旭;盧志剛 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | G06F18/241 | 分類號: | G06F18/241;G06N3/0442;G06N3/049;H04L9/40 |
| 代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 俞達成 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 時空 感知 網絡流量 異常 行為 檢測 方法 電子 裝置 | ||
1.一種時空感知的網絡流量異常行為檢測方法,其步驟包括:
1)提取網絡流量的流特征、長度特征與時間特征,并依據所述流特征,得到空間特征;
2)根據空間特征、長度特征與時間特征,獲取分類特征;
3)依據分類特征對網絡流量進行分類,得到所述網絡流量的異常行為檢測結果。
2.如權利要求1所述的方法,其特征在于,提取網絡流量的流特征、長度特征與時間特征之前,對網絡流量進行預處理;所述預處理包括:將原始文件分割為<源IP地址,源端口號,目的IP地址,目的端口號,協議的五元組和去除無效數據,其中原始文件是由所述網絡流量的數據包組成;分割原始文件的方法包括:使用SplitCap;無效數據包括:以太網頭部的MAC地址、類型和IP頭部的版本和區分服務字段。
3.如權利要求1所述的方法,其特征在于,得到空間特征的方法包括:將所述流特征輸入一個由兩個卷積層、兩個池化層與一個全連接層組成的一維卷積神經網絡。
4.如權利要求3所述的方法,其特征在于,所述一維卷積神經網絡的激活函數包括:ReLU;防止所述一維卷積神經網絡過擬合的方法包括:使用dropout操作;所述池化層包括:最大池化層。
5.如權利要求1所述的方法,其特征在于,所述長度特征的每一維度包括:當前數據包的長度。
6.如權利要求1所述的方法,其特征在于,所述時間特征的每一維度包括:當前數據包與前一個數據包之間的時間間隔,其中第一個數據包與前一個數據包之間的間隔為0。
7.如權利要求1所述的方法,其特征在于,獲取分類特征的方法包括:將空間特征、長度特征與時間特征輸入一個改進的LSTM網絡,其中通過使用門控結構控制細胞狀態和細胞隱藏狀態對LSTM網絡進行改進,其步驟包括:
1)根據t-1時刻的細胞狀態Ct-1與時間間隔Δt,得到調整后細胞狀態其中時間間隔Δt為t時刻數據包與t-1時刻數據包的時間間隔,Tt(·)為時間感知函數,Wd與bd為LSTM網絡參數;
2)創建候選細胞狀態其中xt為t時刻細胞的輸入,ht-1為t-1時刻的細胞隱藏狀態,Lt(·)為長度感知函數,Wc與Uc為LSTM網絡參數;
3)依據調整后細胞狀態與候選細胞狀態共同更新,得到t時刻的細胞狀態其中ft為遺忘門輸入,it為輸入門輸入;
4)根據細胞狀態Ct,計算t時刻的細胞隱藏狀態ht=ot*tanh(Ct),其中ot為輸出門輸出。
8.如權利要求1所述的方法,其特征在于,依據分類特征對網絡流量進行分類的方法包括:使用Softmax分類器。
9.一種存儲介質,所述存儲介質中存儲有計算機程序,其中,所述計算機程序被設置為運行時執行權利要求1-8中任一所述方法。
10.一種電子裝置,包括存儲器和處理器,所述存儲器中存儲有計算機程序,所述處理器被設置為運行所述計算機程序以執行如權利要求1-8中任一所述方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011341722.5/1.html,轉載請聲明來源鉆瓜專利網。
