[发明专利]一种检测网络异常流量的方法及其系统有效
申请号: | 201811536096.8 | 申请日: | 2018-12-14 |
公开(公告)号: | CN109714322B | 公开(公告)日: | 2020-04-24 |
发明(设计)人: | 宋磊;韩陆超 | 申请(专利权)人: | 中国科学院声学研究所;北京中科视云科技有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N3/04 |
代理公司: | 北京方安思达知识产权代理有限公司 11472 | 代理人: | 陈琳琳;王宇杨 |
地址: | 100190 *** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 检测 网络 异常 流量 方法 及其 系统 | ||
本发明涉及一种检测网络异常流量的方法,其包括;步骤1)采集已知网络流量,并进行预处理,获得预处理后的网络流量;步骤2)建立LSTM神经网络模型;将步骤1)获得的预处理后的网络流量作为输入数据,对LSTM神经网络模型进行训练,获得训练完的LSTM神经网络模型;步骤3)捕获未知网络流量,并对未知网络流量进行预处理,获得预处理后的未知网络流量;步骤4)将步骤3)获得的预处理后的未知网络流量作为输入数据,将其输入至步骤2)获得的训练完的LSTM神经网络模型中,对预处理后的未知网络流量进行识别,输出识别结果;步骤5)根据步骤4)获得的识别结果进行响应;如果识别出未知网络流量为入侵流量,则切断带有入侵流量的网络。
技术领域
本发明属于网络安全和机器学习技术领域,具体涉及一种检测网络异常流量的方法及其系统。
背景技术
随着网络安全需求的不断增大,入侵检测系统(Intrusion Detection System,简称:IDS)在网络中的应用越来越广泛。入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测是为了防止计算机误用的一门技术,主要作用是检测、响应、损失评估、预测攻击和证据支持;能够将硬件和软件搭配使用的组合就是入侵检测系统,入侵检测系统是网络信息安全的重要构成部分,能够通过发现和识别入侵行为,给出入侵警报,以便网络管理员进行填补漏洞。入侵检测系统是一种网络安全主动防御工具,已经成为网络安全领域中十分重要的一项技术。
然而,目前的入侵检测系统大都需要人工提取入侵流量特征,工作量巨大,并且更新缓慢,不能适应快速变化的网络环境。近年来,深度学习(Deep Learning,简写DL)在计算机等各个领域取得了巨大的成功,比如,图像处理,语音识别和自然语言处理;只是深度神经网络关于入侵检测系统方面的应用相关的研究还很少。目前在深度学习领域,有研究人员提出了Attention机制,结合长短期记忆网络(Long Short-Term Memory,LSTM)或者循环神经网络(Recurrent Neural Network,RNN)可以有效提升翻译和文本分类的准确率。但是,这种方法通过模拟人脑的注意力机制,给编码生成的隐变量赋予权重,用权重高低来模拟注意力强弱。
另外,入侵流量特征隐藏在整条TCP流中,而如果把一整条TCP流一次性处理,那么通用RNN模型要一次性处理所有流量中的数据,而在这些数据中只有少数特征是有用的,这就会导致通用RNN模型长时间训练,也无法训练完成。
发明内容
本发明的目的在于,为解决现有的检测方法存在上述缺陷,本发明提出了一种检测网络异常流量的方法,结合了LSTM神经网络模型以及Attention机制,省去人工提取流量特征和设置判断器阈值的步骤,并且可以显著提升识别异常流量的准确率;有效解决目前网络异常流量检测方法中需要人工提取流量特征、只能对流量包识别而无法对整路TCP流识别的问题。
为了实现上述目的,本发明提供了一种检测网络异常流量的方法,其包括;
步骤1)采集已知网络流量,并进行预处理,获得预处理后的网络流量;所采集的已知网络流量包括:网络正常流量和网络异常流量,是按照识别需求采集已知不同类型的网络流量;
步骤2)建立LSTM神经网络模型;将步骤1)获得的预处理后的网络流量作为输入数据,对LSTM神经网络模型进行训练,获得训练完的LSTM神经网络模型;训练完的LSTM神经网络模型不需要人工提取流量特征,生成可识别整路TCP流中入侵流量的分类器,从而获得流量特征;训练完成的LSTM神经网络模型可以直接输入预处理后的网络流量中的流量数据包,不需要设置阈值。其中,所述LSTM神经网络模型是采用Attention机制搭建的网络模型;
步骤3)捕获未知网络流量,并对未知网络流量进行预处理,获得预处理后的未知网络流量;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院声学研究所;北京中科视云科技有限公司,未经中国科学院声学研究所;北京中科视云科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811536096.8/2.html,转载请声明来源钻瓜专利网。
- 上一篇:动态flag处理方法及装置
- 下一篇:一种全网危险感知平台及其工作方法