[发明专利]一种基于深度学习的异常网络连接检测方法

说明书

本发明涉及一种基于深度学习的异常网络连接检测方法，对每个网络流记录提取网络连接标识字段，并根据网络连接标识字段，对所有网络流记录进行聚合；构建一个基于深度神经网络的网络连接模型；构建一个异常网络连接检测器，使用网络连接模型的输出作为输入，与网络连接模型同步进行训练，得到对网络连接的检测结果；使用数据集对网络连接模型和异常网络连接检测器进行调参优化与误报控制，如果达到预期效果则训练结束并保存网络参数及结构；将待检测网络连接记录输入训练完成的网络连接模型和异常网络连接检测器的组合模型，输出异常网络连接记录。本发明能发现异常网络连接，且不依赖于人工建立的网络连接模型。

技术领域

本发明涉及一种基于深度学习的异常网络连接检测方法，属于网络安全技术领域。

背景技术

随着计算机技术和互联网的迅速发展，互联网越来越成为一种人们日常生活工作中不可或缺的工具，其正在深刻影响着人类社会的方方面面。与此同时，互联网面临的网络安全问题也是前所未有的，各种攻击事件也愈发频繁和严重，人们在使用互联网过程中的异常网络连接也变得越来越常见。这些异常网络连接会导致诸如网页打开速度缓慢、网页异常跳转甚至个人信息泄露等严重信息安全问题。因此对异常网络连接进行快速有效地检测显得尤为重要。

对异常网络连接进行检测方法的主要流程一般包括收集相关网络连接数据并构建训练数据集，人工建立相关行为模型或提取特征组，训练检测模型，最后利用训练好的检测模型进行异常网络连接的检测。经过对现有技术的检索发现，中国专利文献号CN106452955A公开(公告)日2017.02.22，公开了一种异常网络连接检测方法：具体包括基于信息系统网络连接样本建立信息系统业务访问模型；所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型；基于所述信息系统业务访问模型检测异常网络连接。但该方法需要人工建立三个访问模型，这对安全研究人员具有很高的要求，这些行为模型是完全基于安全人员工程经验的，过程十分麻烦，并且模型只适用于该场景，一旦场景发生变化模型效果就会大打折扣。

中国专利文献号CN103944757A公开(公告)日2014.07.23，公开了一种网络异常检测的方法和装置，该方法包括：获取多个检测项，其中，多个检测项包括浏览器的动态链接库文件，且多个检测项还包括网络连接状态信息、网络配置信息、浏览器配置信息中的一种或多种；分别提取多个检测项的特征信息；以及根据多个检测项分别对应的特征信息对多个检测项进行检测以获取至少一个异常项。该方法虽然能够检测和分析网络异常，但是需要获取多个检测项，并且同时需要人工提取多个检测项的特征信息，这是非常耗时且麻烦的，而且提取的特征直接影响最终的检测效果，方法的鲁棒性也不够好。

总之，现有方法普遍需要人工特征抽取或建立复杂模型，该过程麻烦且耗时，而且所构建的模型鲁棒性不够好，应用场景的局限性较强，可移植性较低。

由于深度学习模型强大的特征抽取和建模能力，和人工建模或特征抽取相比具有极大的优势，因此针对异常网络连接检测，提出一种基于深度学习的异常网络连接检测方法。

发明内容

本发明技术解决问题：解决现有技术中异常网络连接检测中的不足，提供一种基于深度学习的异常网络连接检测方法，采用深度学习方法作为异常网络连接检测方法，直接基于网络流历史数据对网络连接模式进行建模，能够在保证模型训练和检测效果的前提下，具有不用人工对行为模式进行建模、鲁棒性好、易于更新等优点。

为实现上述目的，本发明采取以下技术方案：

(1)数据清洗与分割。对具有标签的输入网络流记录(Flow)数据进行数据清洗，得到可用的网络流记录数据集，并将数据集拆分为训练数据集和验证数据集；

(2)特征向量生成。对所有网络流记录进行特征抽取，并对特征进行标准化处理，对每个网络流记录生成一个特征向量；