[发明专利]一种基于LSTM的网络行为异常检测方法在审
| 申请号: | 201910566453.3 | 申请日: | 2019-06-27 |
| 公开(公告)号: | CN110287439A | 公开(公告)日: | 2019-09-27 |
| 发明(设计)人: | 邵俊明;刘洋;杨勤丽 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | G06F16/958 | 分类号: | G06F16/958;G06F16/215;G06F16/2458;G06F11/34;H04L12/24;H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于LSTM的网络行为异常检测方法,首先收集网络流量数据并根据用户行为的定义将其转换为用户行为序列,然后考虑到网络用户主体行为模式之间的差异性,因此本发明根据k‑中心点算法对用户行为序列进行分类。接着,将分类后的行为序列数据作为LSTM长短期记忆网络的输入,结合Attention机制对神经网络模型进行训练。最后通过训练完成的模型对待检测行为序列进行预测以确定其异常程度。本发明从行为的角度出发对网络流量数据进行处理,能够充分考虑内部因素之间的关联关系,并建立网络行为模式将用户的行为区分开来,然后突破传统网络异常检测采用人工提取特征的方法,结合LSTM长短期记忆网络对大规模网络行为序列数据流的发展拟合效果来区分异常信息,显著提高了网络异常检测的精度和效率。 | ||
| 搜索关键词: | 行为序列 异常检测 用户行为 网络流量数据 记忆网络 网络行为 神经网络模型 网络行为模式 网络异常检测 大规模网络 数据流 传统网络 关联关系 提取特征 网络用户 异常信息 主体行为 差异性 中心点 分类 拟合 算法 转换 检测 预测 | ||
【主权项】:
1.一种基于LSTM的网络行为异常检测方法,其特征在于,包括以下步骤:(1)、网络流量数据收集及清洗整理;通过部署在各主机终端的分布式代理收集网络流量数据,根据分析需求对收集的流量数据进行清洗,然后再针对当前的网络数据,明确在网络中用户行为的定义,并对网络数据中的每个用户抓取转换为用户行为序列;(2)、行为序列分类;对于所有用户的行为轨迹序列,按照k‑中心点算法进行聚类,将其分为k个不同类别的行为序列,对于需要进行网络行为异常检测的用户即待检测用户,将其行为序列与k个不同类别的行为序列的簇中心点进行相似性度量,取其最相似的一类作为待检测用户行为序列的类别;(3)、建立LSTM神经网络模型;将步骤二中得到的k类行为序列数据作为k个LSTM神经网络的输入数据,结合Attention机制对LSTM神经网络进行训练,得到训练完成的k个LSTM神经网络模型,其中,每个神经网络模型对应于一种用户行为类别;(4)、网络行为异常检测;对待检测用户,将其行为序列作为对应类别的LSTM神经网络模型的输入,并将模型的行为预测与真实的行为之间的差异作为网络行为的异常程度。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910566453.3/,转载请声明来源钻瓜专利网。
