[发明专利]一种基于重采样的网络异常流量检测方法

说明书

本发明提供一种基于重采样的网络异常流量检测方法。首先，结合条件生成对抗网络和基于Wasserstein距离的生成对抗网络，搭建基于Wasserstein距离的条件生成对抗网络模型，使用训练完成的生成器进行少数类别重采样；然后，搭建堆叠去噪自编码器，训练自编码器模型使得重构误差最小化以重构数据；最后，通过自编码器的编码器网络结合Softmax网络对网络流量数据进行异常检测；本发明解决了网络流量数据类别不平衡问题，使得少数类别的识别率得到了显著提升，同时整体识别率也得到了提升。

技术领域

本发明涉及网络信息领域，具体涉及网络安全技术。

背景技术

近些年来，计算机网络被攻击的次数日益增多，网络安全也在中国互联网发展体系中占据了至关重要的位置。网络攻击通常包括拒绝服务攻击、僵尸网络、蠕虫等，这些攻击手段对计算机系统或网络产生了恶劣的影响，破坏了计算机系统或网络的可用性、完整性或机密性。异常网络流量便是由各种网络攻击引起，它可以影响网络的性能。因此，随着网络流量趋于海量、复杂化，监测和分析网络流量已经成为网络安全领域重要的挑战和研究。由于网络流量数据类别不平衡的特点，导致了异常检测过程中少数异常类别检出率低。专利“基于联合特征选择的网络流量异常检测方法，2021，CN 113505826 A”公开了一种异常流量检测方法，该方法通过对网络流量数据进行特征选择，并进行特征集成，然后使用随机森林分类模型进行异常检测。该专利所述的方法仅提高了网络流量数据的整体检测率，并未解决原始数据集类别不平衡问题，少数类别依然存在检测率低的问题。

发明内容

为了克服现有的网络流量异常检测方法对少数异常类别检测率低的不足，本发明提出了一种基于重采样的网络异常流量检测方法，该方法基于生成对抗网络模型进行少数类别重采样、基于自编码器网络进行数据重构以及基于自编码器的编码器网络结合Softmax网络进行网络流量数据异常检测。

本发明解决其技术问题所采用的技术方案：一种基于重采样的网络异常流量检测方法，其特点是包括下述步骤：

(a)网络流量数据预处理。

原始网络流量数据中包含字符类型的特征和数值类型的特征。首先，采用独热化编码将字符类型特征转化为数值类型特征，即离散型的特征转化为连续型的特征；然后，删除或替换数值类型的特征中的非法数值；最后，将处理后的数值类型的特征进行标准化、归一化。

(b)数据重采样。

首先，构建基于Wasserstein的条件生成对抗网络模型WBCGAN，生成器G模型为三层隐层的神经网络结构，判别器D模型同样为三层隐层的神经网络结构，生成器G的输入根据不同网络流量数据的特征进行变化，生成器G的输出根据不同网络流量数据的攻击类型进行变化。

提出的基于Wasserstein的条件生成对抗网络模型的目标函数为：

式中，z是输入的噪声变量，p_z(z)是输入噪声变量的先验分布，p_r(x)是生成器G在真实数据x上的分布，p_d(x)是生成器G生成样本的分布，G(z)为生成器G生成的伪数据，||||₂代表2范数，随机插值采样得到计算公式为ε在[0,1]上服从均匀分布。

然后，输入随机噪声向量和类别标签作为生成器G的输入，训练生成器G以输出伪造样本；固定生成器，输入伪造样本和真实样本作为判别器D的输入，训练判别器D以输出样本分类概率；通过生成器G和判别器D之间依次训练，使得生成器G的目标函数最小化、判别器D的目标函数最大化；使用训练完成的生成器G生成特定类别标签的少数类别样本，并将生成的少数类别样本加入原始数据的训练集中，组成新的训练集。

(c)数据重构以及异常检测