[发明专利]一种基于网络时空特征的网络攻击检测方法

说明书

本发明涉及一种基于网络时空特征的网络攻击检测方法，属于网络安全和机器学习领域领域。本发明利用主算法、一维卷积网络、双向长短时记忆网络和注意力机制提出一种基于时空特征的网络攻击检测方法。通过贪婪主成分方法提取网络流量的强相关特征，通过卷积神经网络和双向长短时记忆网络充分学习网络流量的空间特征和时序特征，本方法能够较好的分离混淆数据，实现稳定的检测模型，本发明能够自动化提取网络流量特征，自动实现较好的分类效果，而且本发明能够提高针对网络恶意流量的分类精度。

技术领域

本发明涉及一种基于网络时空特征的网络攻击检测方法，属于网络安全和机器学习领域领域。

背景技术

网络已成为支撑电网自动化运营、智能化发展的关键，同时也是整个社会有序运行的保障，然而受网络架构开放性的限制以及其自身难以根治的漏洞隐患，多年来，网络已经成为新形势下隐蔽破坏的温床，不仅导致信息泄露和巨额经济损失，也对国家与民众安全造成极大威胁，提升网络面对网络攻击的检测能力，防范和遏制不断升级的网络恶意行为和攻击是保障电力设施安全运行，维护社会设施有序运转亟需解决的问题。

网络数据流量从传输形式和传输过程看，流量数据自上而下由报文、数据报、数据包、帧和比特构成，呈现出显著的层次型空间结构特征；从网络流量采集的时间过程看，流量是严格按时间序列汇聚而成的据列，具有鲜明的时序特征。针对目前网络攻击行为检测中主要基于网络行为规则的分析和挖掘，网络结构特征挖掘不充分等问题带来的网络攻击检测精度低、未知网络攻击检测困难等问题，本发明通过提取网络流量的空间结构和时序特征，在充分挖掘网络流量非易变性特征的基础上结合卷积神经网络、注意力机制和双向长短时记忆网络在摒弃梯度爆炸和梯度消失等影响检测精度的问题的同时，充分利用网络流量的历史和未来信息特征，有效检测网络攻击行为。

发明内容

本发明为解决上述现有技术中存在的问题，提供了一种基于网络时空特征的网络攻击检测方法，本方法能够较好的分离混淆数据，实现稳定的检测模型，本发明能够自动化提取网络流量特征，自动实现较好的分类效果，而且本发明能够提高针对网络恶意流量的分类精度。

为实现上述目的，本发明提供的技术方案为：一种基于网络时空特征的网络攻击检测方法，至少包括以下步骤：

1)构建原始流量数据集D_i：通过部署在网络中的流量采集器持续采集被监测网络的流量数据，将采集到的数据构建成网络原始流量数据集D_i；

2)构建可分析数据集D_p：根据TCP/IP协议簇的标准对原始流量数据集D_i进行解码，从原始流量数据集D_i中提取并构成可供本发明分类器使用的可分析数据集D_p；

3)构建网络流量特征数据集D_f：通过对可分析数据集D_p中的特征集进行获取并统计，构建用于本方法分类器模型使用的网络流量特征数据集D_f；

4)构建标注数据集D_fl：参照预设的黑名单和白名单特征库对网络流量特征数据集D_f中正常流量和攻击流量进行类别标注，构成攻击类型标注数据集D_fl；

5)对攻击类型标注数据集D_fl中数据进行预处理：首先对攻击类型标注数据集D_fl中的缺失值进行删除，对攻击类型标注数据集D_fl中的重复值进行剔除，以保证数据唯一性，保证模型识别准确性；通过使用二值转换完成字符型数据到数值型数据的转换，使用归一化进行数据处理；通过One-Hot编码将归一化处理后的标注类别转换成易于机器学习的二位比特位数据，将D_fl进一步形成标准化数据集D_s；