[发明专利]基于小样本学习的服务器运行网络流量异常数据检测方法有效
| 申请号: | 202011569465.0 | 申请日: | 2020-12-26 |
| 公开(公告)号: | CN112565301B | 公开(公告)日: | 2021-08-31 |
| 发明(设计)人: | 栾钟治;黄绍晗;刘轶;杨海龙 | 申请(专利权)人: | 北京航空航天大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N3/04;G06K9/62 |
| 代理公司: | 北京永创新实专利事务所 11121 | 代理人: | 冀学军 |
| 地址: | 100191*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 样本 学习 服务器 运行 网络流量 异常 数据 检测 方法 | ||
1.一种基于小样本学习的服务器运行网络流量异常数据检测方法,其特征在于包括有下列步骤:
步骤一,使用WireShark工具获取流量发生器的网络流量数据;
使用WireShark过滤器过滤由流量发生器产生的多个网络流量数据,得到正常的网络流量数据集合,记为正常-流集合FW,且FW={fw1,fw2,…,fwa,…,fwA};
fw1表示第一个正常网络流量数据;所述fw1携带的网络数据包,记为
fw2表示第二个正常网络流量数据;所述fw2携带的网络数据包,记为
fwa表示任意一个正常网络流量数据;下角标a表示正常网络流量数据的标识号;所述fwa携带的网络数据包,记为
fwA表示最后一个正常网络流量数据;下角标A表示正常网络流量数据的总条数,a∈A;所述fwA携带的网络数据包,记为
步骤二,使用WireShark工具获取攻击主机的网络流量数据;
使用WireShark过滤器过滤由攻击主机产生的多个网络流量数据,得到异常的网络流量数据集合,记为异常-流集合HW,且HW={hw1,hw2,…,hwb,…,hwB};
hw1表示第一个异常网络流量数据;所述hw1携带的网络数据包,记为
hw2表示第二个异常网络流量数据;所述hw2携带的网络数据包,记为
hwb表示任意一个异常网络流量数据;下角标b表示异常网络流量数据的标识号;所述hwb携带的网络数据包,记为
hwB表示最后一个异常网络流量数据;下角标B表示异常网络流量数据的总条数,b∈B;所述hwB携带的网络数据包,记为
步骤三,网络流量数据中正常-特征提取;
服务器的WireShark过滤器中是存在有多个特征向量的,为了实现对网络流量数据包中信息的提取,选取WireShark过滤器中已有的41个特征来对正常-流集合FW={fw1,fw2,…,fwa,…,fwA}和异常-流集合HW={hw1,hw2,…,hwb,…,hwB}进行特征提取;
所述的41个特征构成一个一维特征向量;
步骤31,将步骤一得到的正常-流集合FW={fw1,fw2,…,fwa,…,fwA}中的网络数据包提取出,得到正常-数据包集合DPFW,且
步骤32,依据一维特征向量提取所述中特征,记为正常-特征集合,记为FV,且
表示属于的正常-特征;
表示属于的正常-特征;
表示属于的正常-特征;
表示属于的正常-特征;
步骤四,网络流量数据中异常-特征提取;
步骤41,将步骤二得到的异常-流集合HW={hw1,hw2,…,hwb,…,hwB}中的网络数据包提取出,得到异常-数据包集合DPHW,且
步骤42,依据一维特征向量提取所述中特征,记为异常-特征集合,记为HV,且
表示属于的异常-特征;
表示属于的异常-特征;
表示属于的异常-特征;
表示属于的异常-特征;
步骤五,记录下所有网络流量数据的特征;
将步骤三得到的FV与步骤四得到的HV进行求并集,得到全特征集合VFH=FV∪HV;则
步骤六,小样本集合与多样本集合的划分;
步骤61,异常类型标记;
设置的异常类型标记集合,记为ANO,且ANO={ano1,ano2,…,anoc,…,anoC};
ano1表示第一种异常类型标记;
ano2表示第二种异常类型标记;
anoc表示任意一种异常类型标记;下角标c是异常类型的标识号;
anoC表示最后一种异常类型标记;下角标C是异常类型的总类型数,c∈C;
步骤62,建立支持样本;
从步骤四得到的异常-特征集合中随机选取D,且D<B个异常-特征,得到支持样本集合,记为SS,且
表示从异常-特征集合HV中选取的第一个支持样本;
表示从异常-特征集合HV中选取的第二个支持样本;
表示从异常-特征集合HV中选取的任意一个支持样本;下角标d是异常-特征集合HV中选取的支持样本的标识号;
表示从异常-特征集合HV中选取的最后一个支持样本;下角标D是从异常-特征集合HV中选取的支持样本的总数,d∈D;
步骤63,支持样本异常划分;
依据步骤61得到的ANO={ano1,ano2,…,anoc,…,anoC}对步骤62得到的支持样本集合进行异常类型划分,得到类型-支持样本集合,记为MSS,且
表示属于ano1的支持样本集合,且表示属于ano1的第一个支持样本,表示属于ano1的第二个支持样本,表示属于ano1的任意一个支持样本,表示属于ano1的最后一个支持样本;
表示属于ano2的支持样本集合,且表示属于ano2的第一个支持样本,表示属于ano2的第二个支持样本,表示属于ano2的任意一个支持样本,表示属于ano2的最后一个支持样本;
表示属于anoc的支持样本集合,且表示属于anoc的第一个支持样本,表示属于anoc的第二个支持样本,表示属于anoc的任意一个支持样本,表示属于anoc的最后一个支持样本;
表示属于anoC的支持样本集合,且表示属于anoC的第一个支持样本,表示属于anoC的第二个支持样本,表示属于anoC的任意一个支持样本,表示属于anoC的最后一个支持样本;
步骤64,选取小样本异常元素;
若将类型-支持样本集合中的任意一个支持样本集合作为小样本异常元素,记为MSS小样本;则属于中的其他支持样本集合将作为多样本异常元素,记为MSS多样本;
步骤七,训练相似度、流量概率;
步骤71,采用卷积神经网络CNN进行样本编码;
使用卷积神经网络CNN对属于ano1的支持样本集合中的各个支持样本进行编码,分别得到小样本异常编码结果
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
使用卷积神经网络CNN对属于ano2的支持样本集合中的各个支持样本进行编码,分别得到小样本异常编码结果
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
使用卷积神经网络CNN对属于anoc的支持样本集合中的各个支持样本进行编码,分别得到小样本异常编码结果
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
使用卷积神经网络CNN对属于anoC的支持样本集合中的各个支持样本进行编码,分别得到小样本异常编码结果
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
表示使用卷积神经网络CNN对的编码结果;
步骤72,训练样本选取;
从步骤五中得到的中任意选取一个元素作为训练样本,记为tsVFH;
步骤73,训练样本编码;
使用卷积神经网络CNN对训练样本tsVFH进行编码,得到编码结果fθ(tsVFH),下角标θ表示卷积神经网络CNN的学习参数;
步骤74,求取小样本相似度;
基于小样本的相似度为
simu表示小样本相似度;
simu(x,xi)中的x表示从中任意选取的一个元素;xi表示中的任意一个元素;
为元素x与元素xi这两个样本之间的指数,e为自然对数的底,取值2.71828;下角标θ表示卷积神经网络CNN的学习参数;fθ(x)表示属于x的编码,fθ(xi)表示属于xi的编码;
xj表示从中任意选取的一个元素;
fθ(xj)表示属于xj的编码;
步骤75,求取多样本相似度;
多样本的相似度为
simk表示多样本相似度;
simk(x,xi)中的x表示从中任意选取的一个元素;xi表示中的任意一个元素;
xg表示从MSS多样本中任意选取的一个元素;
fθ(x)表示属于x的编码,fθ(xg)表示属于xg的编码;
步骤76,求取网络流量数据异常的概率;
计算元素x为异常网络流量的概率,记为y,且y=sigmoid(W·fθ(x))⊙[simu(x,xi),simk(x,xi)];sigmoid为Sigmoid函数;W为频次学习参数。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京航空航天大学,未经北京航空航天大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011569465.0/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种新型膨胀螺栓
- 下一篇:一种减震型机械设备用转运底座及使用方法
