[发明专利]基于小样本学习的服务器运行网络流量异常数据检测方法

说明书

本发明公开了一种基于小样本学习的服务器运行网络流量异常数据检测方法，该方法首先通过对网络流量出现的频次筛选切分出小样本训练数据，然后对小样本训练数据添加异常类型标记；带有标记的异常网络浏览数据采用CNN方法进行学习获得小样本异常元素；最后对小样本异常元素进行相似度和流量概率计算以此表征出样本是否为异常。采用网络流量出现频次的筛选方式用来解决服务器运行期间出现的异常网络流量数据与正常网络流量数据相差巨大的问题。本发明异常检测方法可以更好地应用于复杂多变的服务器所处的网络服务环境。

技术领域

本发明涉及服务器网络服务环境的异常检测，更特别地说，涉及样本量不平衡的网络服务环境下的基于小样本学习的服务器运行网络流量异常数据检测方法。在本发明中，将异常网络流量数据采用小样本的学习训练过程称为构建ADMSS模型。

背景技术

随着云计算、大数据技术的快速发展，网络安全已经逐渐成为人们越来越关心的问题。网络异常检测作为重要的防护手段，是网络服务管理研究中的热点之一，也越来越受广大学者和工程人员的重视。如图1所示的一种网络入侵环境，攻击者通过僵尸主机向目标主机进行攻击。对于目标主机可以通过查询网络流量(network flow)来提取日志，从而判断出哪些网络流量数据(network traffic data)是存在风险的。

服务器，也称伺服器，是提供计算服务的设备。由于服务器需要响应服务请求，并进行处理，因此一般来说服务器应具备承担服务并且保障服务的能力。在网络环境下，根据服务器提供的服务类型不同，分为文件服务器，数据库服务器，应用程序服务器，WEB服务器等。

机器学习技术被广泛地应用于异常检测领域。该技术主要以监督学习为主，通过训练机器学习模型，完成对网络入侵的检测。模型通过足够多的异常数据，完成对异常特征的抽取，根据抽取到的所述异常特征对异常情况进行分类。在机器学习模型训练过程中，需要足够多有标注的数据，当数据不足时，模型很难得到有效的训练。常见的网络异常检测模型有朴素贝叶斯模型、支持向量机模型，在近期的研究中，越来越多的神经网络模型被应用到网络异常检测领域。

传统的机器学习模型需要足够多的异常数据进行训练，当新的网络入侵环境出现时，很难提供足够多的异常标注数据。同时在新的网络环境中，往往也会产生分布不同的网络攻击，甚至会产生未知类型的网络攻击，传统的机器学习模型面对的网络环境，往往不能达到预期目标。

发明内容

为了解决服务器在面对新型的、异常的、小样本网络流量数据信息出现时，无法通过已有的检测模型来保障网络安全，从而造成服务器成为了被攻击目标的技术问题，本发明提出了一种基于小样本学习的服务器运行网络流量异常数据检测方法。

本发明提出的一种基于小样本学习的服务器运行网络流量异常数据检测方法，该方法应用于网络服务器中的异常检测。当服务器网络流量数据新出现或较少出现的情况时，在这些网络流量数据中往往会存在异常的网络流量，已有的服务器网络流量数据的异常检测方法将不能检测这些异常数据。本发明第一方面用出现频次切分来解决服务器运行期间出现的异常网络流量数据与正常网络流量数据在数据量相差巨大的问题；该频次切分能够有效的帮助ADMSS模型从带有标记为异常的网络流量数据中学习更多新的服务器网络服务环境的特征；第二方面通过服务器运行管理人员(server manager)给新出现的服务器网络流量异常数据添加标签，然后对标签后的异常网络流量数据进行小样本训练；第三方面应用本发明方法能够在新出现的服务器网络流量异常的环境下有效检测服务器异常。本发明所构建的小样本网络流量数据的异常检测方法，能够更好地应用于复杂多变的服务器所处的网络服务环境。

本发明的一种基于小样本学习的服务器运行网络流量异常数据检测方法，其特征在于包括有下列步骤：

步骤一，使用WireShark工具获取流量发生器的网络流量数据；