本發明公開了一種時空感知的網絡流量異常行為檢測方法及電子裝置，包括提取網絡流量的流特征、長度特征與時間特征，并依據所述流特征，得到空間特征；根據空間特征、長度特征與時間特征，獲取分類特征；依據分類特征對網絡流量進行分類，得到所述網絡流量的異常行為檢測結果。本發明在性能方面優于決策樹、隨機森林等現有的基線識別方法，并且優于單一使用CNN和LSTM的對照方法，能夠更好地提升入侵檢測的效率和準確性。

技術領域

本發明屬于機器學習與信息安全結合的交叉技術領域，尤其涉及一種時空感知的網絡流量異常行為檢測方法及電子裝置。

背景技術

網絡技術的不斷發展在給人類生活帶來巨大變革的同時也存在相當大的隱患。網絡空間中存在大量攻擊行為，威脅人們信息和財產安全以及國家安全。入侵檢測是維護網絡空間安全的一種重要方法，能夠監測系統或網絡從而發現惡意或違反政策的行為，有效檢測并抵御網絡攻擊。

入侵檢測系統(IDS)距今已有40年的歷史，基于檢測方法分類可以分為基于簽名的IDS和基于異常的IDS。基于簽名的IDS通過已知攻擊定義惡意網絡活動的模式，再將傳入的流量與定義好的模式進行匹配從而發現攻擊，這種方法的誤報率較低，但是僅能檢測已知網絡攻擊。基于異常的IDS建立正常流量行為的模式，與正常行為的偏差超過閾值的行為被視作異常。它可以檢測出未知的攻擊，但誤報率較高。研究者們提出了多種不同的方法以適應不同的應用場景，降低誤報率。基于異常的入侵檢測等同于網絡流量異常檢測，其使用的方法有統計學習方法、傳統機器學習方法和深度學習方法。傳統機器學習方法包括支持向量機、樸素貝葉斯、K近鄰、決策樹和層次聚類等。這些方法依賴于人工設計的特征，特征設計需要有很強的專業知識，并且在特征提取過程中會丟失或更改某些重要信息，且此類方法的性能逐漸達到瓶頸。

近年來，深度學習由于具有無需人為干預、可以自主學習，有效地處理高維數據，自動提取有用信息這些優點，潛力巨大，被諸多學者所研究使用。在網絡流量異常檢測這一領域中，不同于傳統機器學習依賴于復雜的特征工程，深度學習技術可以自動從流量中提取深層次的特征并進行分類。常用到的方法有多層感知機、卷積神經網絡(CNN)、循環神經網絡(RNN)和自動編碼器。CNN具有很強的泛化能力，處理圖像的效果很好。在網絡流量異常檢測中，常將網絡流量轉化為灰度圖作為CNN的輸入，用于提取流量的空間特征。RNN是一種用于處理序列數據的網絡，常常被用于提取網絡流在時序上的特征。當需要從不同角度提取特征時，研究人員們也將多種結構結合在一起，例如CNN和RNN。然而，在處理網絡流量問題中直接使用這些深度學習方法仍存在一些問題。

例如，網絡流量中的數據包按照一定順序依次到達，RNN及其變體被用于提取數據包之間的時序特征。然而，RNN設計的前提是序列中元素之間的時間間隔是均勻分布的或元素之間不存在時間間隔，比如語音和文本。很顯然，一條網絡流量中數據包到達的速度并不相同，甚至對于不同類型的攻擊，數據包到達的速度會有明顯區別。這意味著數據包之間的時間間隔并不相同，不符合RNN及其變體的設定。也就是說，使用RNN及其變體只提取到了數據包之間的序列特征，而沒有考慮時間特征(數據包達到的頻率)。

例如下述現有技術都存在著類似的問題：中國專利申請CN111428789A公開了一種基于深度學習的網絡流量異常檢測方法，其結合深度學習中的長短期記憶網絡和卷積神經網絡來學習網絡流量的時空特征，實現網絡流量的異常檢測，但該方法沒有考慮數據包之間的時間間隔，導致準確率不高；中國專利申請CN108900546A公開了一種基于LSTM的時間序列網絡異常檢測方法，其使用LSTM預測網絡流量的值并與實際測量值對比，從而檢測異常，該方法未考慮流量的空間特征，并且僅考慮了時序特征，沒有考慮數據包之間的時間間隔，導致準確率不高。中國專利申請CN108494746A公開了一種網絡端口流量異常檢測方法，其使用LSTM預測端口流量值不能過于實際測量值對比來檢測異常，同樣未考慮空間特征以及數據包之間的時間間隔。

發明內容