本發明涉及一種基于SRU網絡異常流量的檢測方法及系統。通過對流量數據進行屬性映射，使待檢測數據符合模型數據格式需求；通過對流量數據進行編碼轉換、降維處理并通過使用SRU網絡進行特征學習，并訓練分類器實現異常流量分類。本發明解決現有的現有基于深度學習的異常流量檢測算法訓練速度慢的問題。

技術領域

本發明涉及流量分析和深度學習技術，具體涉及一種基于SRU網絡異常流量的檢測方法及系統。

背景技術

隨著移動互聯網、物聯網在各領域的深入應用與快速發展，信息承載形式和工具更加豐富，互聯網應用更加深入到人們生活的方方面面。隨著信息化程度的深入，人們的安全意識也不斷提高，信息與網絡安全越來越受到廣泛關注。處于各種不良動機所產生的異常流量，影響著各類應用的正常運行，用戶面臨著更多的新安全問題，更進一步甚至影響人們的日常工作。傳統預防性網絡安全技術有防火墻、病毒查殺[1]等，但對于一些新的入侵形式較難判斷。隨著應用場景越來越豐富，異常流量變得比以往更加復雜，傳統預防技術只能在一定程度上有效。傳統異常流量檢測方多為靜態方式[1]，在復雜動態的網絡中較難校測異常和新的攻擊類型，且傳統方法特征提取不高、檢測效率不高。文獻[2]中提出了基于RNN變種LTSM的異常檢測模型，但其訓練速度仍存在限制，文獻[3]中提出了基于GRU的異常檢測機制，并證明比LSTM更適合作為RNN的記憶單元，并證明它是LSTM的有效簡化和改進，但同樣模型訓練時間花費較高。SRU在網絡結構上進行了優化，主要由遺忘門、重置門和記憶單元三部分組成。其計算方法為：

其中g(.)為激活函數。

RNN網絡比較適合時間序列問題，但其結構限制了模型的訓練速度，并且與CNN相比較，RNN也不能進行并行化處理。SRU網絡結構的提出就是為了解決這個問題，SRU(simplerecurrent units)將大部分運算放到進行并行處理，只將有小量運算的步驟進行串行。LSTM和GRU等，都使用神經門（neural gate）控制信息流，緩解梯度消失（或爆炸）的問題。相比較，SRU中增加了在循環層之間增加了highway連接；在將RNN正則化時，SRU在標準的dropout外，增加了變分dropout，變分dropout在時間步長t與dropout使用相同的mask。

[1] 鮑捷, 牛頡, 張勇,等. 物聯網異常流量檢測算法研究[J]. 信息技術與網絡安全, 2019(2).

[2] 王偉. 基于深度學習的網絡流量分類及異常檢測方法研究[D]. 2018.

[3] 唐睿，李祺. 基于深度學習的網絡流量異常檢測[EB/OL]. 北京：中國科技論文在線 [2020-03-30]. http://www.paper.edu.cn/releasepaper/content/202003-317.。

發明內容

本發明的目的在于提供一種基于SRU網絡異常流量的檢測方法及系統，解決現有的現有基于深度學習的異常流量檢測算法訓練速度慢的問題。

為實現上述目的，本發明的技術方案是：一種基于SRU網絡異常流量的檢測方法，包括：

數據采集：根據實際應用場景采集數據網絡流量數據；

數據預處理：將采集的數據網絡流量數據進行預處理；

SRU網絡模型構建與訓練：基于預處理數據，構建SRU網絡模型，訓練網絡，提取并分析特征，對訓練數據集進模型訓練；

異常檢測：SRU網絡模型調用，異常檢測輸出。

在本發明一實施例中，所述數據預處理包括：將預處理數據整理成數據集；屬性轉換，將各類非數值型數據進行數值編碼；屬性歸一化處理，將數據采用最小最大規范化方法歸一化至[0,1]區間；優化不平衡數據。

在本發明一實施例中，所述SRU網絡模型，包括：使用OHE獨熱編碼對流量數據進行轉換；對特征向量進行降維處理；使用SRU網絡進行特征學習；訓練進行異常檢測的softmax分類器。