[发明专利]一种基于GBR图像的异常流量检测方法

说明书

本发明公开了一种基于GBR图像的异常流量检测方法，包括以下步骤：S1：将流量数据转换为可视化的GBR图像；S2：将GBR图像数据存储在分布式文件系统中；S3：基于分布式文件系统，利用Apache Spark框架对GBR图像数据的各个数据块分别训练子卷积神经网络模型，完成异常流量的检测。本发明的异常流量检测方法将原始网络流量转换成灰度图像，保留流量信息，再选取两个特征向量组成GBR图像，降低了检测误报率。使用分布式文件系统和子卷积神经网络模型，避免了检测方法计算庞大和收敛慢的问题，具有检测未知攻击的能力，检测精准率高。

技术领域

本发明属于网络流量检测技术领域，具体涉及一种基于GBR图像的异常流量检测方法。

背景技术

近年来，随着人工智能概念的兴起，越来越多的机器学习被应用于异常流量检测系统的构建，产生了许多有价值的网络安全技术。而这些系统的构建大多先对网络流量进行收集，进行特征提取，然后利用数据挖掘技术，进行模式匹配，从而以离线的方式对目前已知的攻击进行识别。这些异常流量检测系统在网络安全领域的推广有着很高的价值，但存在着建立系统的速度慢、特征提取复杂和资源占用率代价高等不足。基于以上情况，本发明提出来一种基于GBR图像的异常流量检测方法。

发明内容

本发明的目的是为了解决网络中异常流量检测的问题，提出了一种基于GBR图像的异常流量检测方法。

本发明的技术方案是：一种基于GBR图像的异常流量检测方法，包括以下步骤：

S1：将流量数据转换为可视化的GBR图像；

S2：将GBR图像数据存储在分布式文件系统中；

S3：基于分布式文件系统，利用Apache Spark框架对GBR图像数据的各个数据块分别训练子卷积神经网络模型，完成异常流量的检测。

本发明的有益效果是：本发明的异常流量检测方法将原始网络流量转换成灰度图像，保留流量信息，再选取两个特征向量组成GBR图像，降低了检测误报率。使用分布式文件系统和子卷积神经网络模型，避免了检测方法计算庞大和收敛慢的问题，具有检测未知攻击的能力，检测精准率高。

进一步地，步骤S1包括以下子步骤：

S11：将流量数据中的原始流量转换为灰度图，并将灰度图作为GBR图像的G通道；

S12：基于GBR图像的G通道，采用weka特征提取法提取流量数据中的两个特征；

S13：采用OneHot编码分别对两个特征进行编码，得到编码后的两个特征向量；

S14：对编码后的两个特征向量分别进行归一化处理，其归一化公式为：

其中，为第i个特征向量归一化后的值，x_i为第i个特征向量归一化前的值，max(X(i))为第i个特征向量的最大值，min(X(i))为第i个特征向量的最小值，i＝1，2；

S15：对归一化后的两个特征向量分别进行标准化处理；

S16：将标准化处理后的两个特征向量分别作为GBR图像的B通道和R通道；

S17：根据GBR图像的G通道、B通道和R通道确定GBR图像，完成GBR图像的可视化处理。

上述进一步方案的有益效果是：在本发明中，将流量数据中的原始流量转换为灰度图，实现流量处理的可视化，最终形成GBR图像可以弥补灰度图误报值过高的问题。

进一步地，步骤S15中的标准化处理为：将归一化后的两个特征向量值分别乘以255，将其流量值限定在[0，255]之间。