本發明公開了一種基于小樣本學習的服務器運行網絡流量異常數據檢測方法，該方法首先通過對網絡流量出現的頻次篩選切分出小樣本訓練數據，然后對小樣本訓練數據添加異常類型標記；帶有標記的異常網絡瀏覽數據采用CNN方法進行學習獲得小樣本異常元素；最后對小樣本異常元素進行相似度和流量概率計算以此表征出樣本是否為異常。采用網絡流量出現頻次的篩選方式用來解決服務器運行期間出現的異常網絡流量數據與正常網絡流量數據相差巨大的問題。本發明異常檢測方法可以更好地應用于復雜多變的服務器所處的網絡服務環境。

技術領域

本發明涉及服務器網絡服務環境的異常檢測，更特別地說，涉及樣本量不平衡的網絡服務環境下的基于小樣本學習的服務器運行網絡流量異常數據檢測方法。在本發明中，將異常網絡流量數據采用小樣本的學習訓練過程稱為構建ADMSS模型。

背景技術

隨著云計算、大數據技術的快速發展，網絡安全已經逐漸成為人們越來越關心的問題。網絡異常檢測作為重要的防護手段，是網絡服務管理研究中的熱點之一，也越來越受廣大學者和工程人員的重視。如圖1所示的一種網絡入侵環境，攻擊者通過僵尸主機向目標主機進行攻擊。對于目標主機可以通過查詢網絡流量(network flow)來提取日志，從而判斷出哪些網絡流量數據(network traffic data)是存在風險的。

服務器，也稱伺服器，是提供計算服務的設備。由于服務器需要響應服務請求，并進行處理，因此一般來說服務器應具備承擔服務并且保障服務的能力。在網絡環境下，根據服務器提供的服務類型不同，分為文件服務器，數據庫服務器，應用程序服務器，WEB服務器等。

機器學習技術被廣泛地應用于異常檢測領域。該技術主要以監督學習為主，通過訓練機器學習模型，完成對網絡入侵的檢測。模型通過足夠多的異常數據，完成對異常特征的抽取，根據抽取到的所述異常特征對異常情況進行分類。在機器學習模型訓練過程中，需要足夠多有標注的數據，當數據不足時，模型很難得到有效的訓練。常見的網絡異常檢測模型有樸素貝葉斯模型、支持向量機模型，在近期的研究中，越來越多的神經網絡模型被應用到網絡異常檢測領域。

傳統的機器學習模型需要足夠多的異常數據進行訓練，當新的網絡入侵環境出現時，很難提供足夠多的異常標注數據。同時在新的網絡環境中，往往也會產生分布不同的網絡攻擊，甚至會產生未知類型的網絡攻擊，傳統的機器學習模型面對的網絡環境，往往不能達到預期目標。

發明內容

為了解決服務器在面對新型的、異常的、小樣本網絡流量數據信息出現時，無法通過已有的檢測模型來保障網絡安全，從而造成服務器成為了被攻擊目標的技術問題，本發明提出了一種基于小樣本學習的服務器運行網絡流量異常數據檢測方法。

本發明提出的一種基于小樣本學習的服務器運行網絡流量異常數據檢測方法，該方法應用于網絡服務器中的異常檢測。當服務器網絡流量數據新出現或較少出現的情況時，在這些網絡流量數據中往往會存在異常的網絡流量，已有的服務器網絡流量數據的異常檢測方法將不能檢測這些異常數據。本發明第一方面用出現頻次切分來解決服務器運行期間出現的異常網絡流量數據與正常網絡流量數據在數據量相差巨大的問題；該頻次切分能夠有效的幫助ADMSS模型從帶有標記為異常的網絡流量數據中學習更多新的服務器網絡服務環境的特征；第二方面通過服務器運行管理人員(server manager)給新出現的服務器網絡流量異常數據添加標簽，然后對標簽后的異常網絡流量數據進行小樣本訓練；第三方面應用本發明方法能夠在新出現的服務器網絡流量異常的環境下有效檢測服務器異常。本發明所構建的小樣本網絡流量數據的異常檢測方法，能夠更好地應用于復雜多變的服務器所處的網絡服務環境。

本發明的一種基于小樣本學習的服務器運行網絡流量異常數據檢測方法，其特征在于包括有下列步驟：

步驟一，使用WireShark工具獲取流量發生器的網絡流量數據；