[发明专利]一种基于多尺度特征融合的多源网络流量分类方法及装置

说明书

本发明属于网络安全领域，具体涉及一种基于多尺度特征融合的多源网络流量分类方法及装置；解决了传统的基于网络行为规则的恶意流量监测和网络入侵检测已难以适应目前网络变种持续迭代的问题。所述方法包括：数据采集、特征构建和数据标准化、特征重要度评估与特征选择、数据分组、模型训练和模型测试；所述装置包括，数据采集模块、特征构建模块、数据标准化模块、特征重要度评估与特征选择模块和模型训练模块。本发明通过模型优化，提高了网络流量数据可用性，实现了模型持续迭代和不断演进，进而提高模型分类的精度和准确率。

技术领域

本发明属于网络的技术安全领域，具体涉及一种基于多尺度特征融合的多源网络恶意流量分类方法及装置。

背景技术

网络攻击形式和攻击手段的不断变化对网络依赖不断加深的社会网络基础设施、国家安全和民众生活带来日益严峻的挑战。构建一个有效的针对恶意网络行为的检测装置，防范网络攻击，成为当前网络安全领域亟需解决的问题。

恶意网络流量是一个动态持续演变的过程，传统的基于网络行为规则的恶意流量监测和网络入侵检测已难以适应目前网络变种持续迭代，攻击目的明确和定制化攻击的新型网络恶意流量，如何利用网络流量的多层次属性挖掘网络流量的多尺度特征实现对网络恶意与正常流量的可靠分类，同时实现检测模型的快速迭代更新使监测模型能够快速响应网络特征变化成为一项亟待解决的问题。

发明内容

本发明是为了解决上述背景技术中存在的不足之处，提出一种基于多尺度特征融合的多源网络流量分类方法及装置。

本发明解决其技术问题所采用的技术方案是：

一种基于多尺度特征融合的多源网络流量分类方法，包括以下步骤：

步骤1、数据采集，采集多路网络流量数据构成本地网络流数据样本D_ls；

步骤2、特征构建及数据标准化，统计本地网络流数据样本D_ls的统计特征，构成样本特征数据集D_fs；

为D_fs打标签；为D_fs打标签，在数据集D_fs创建一列新的标签列，在标签列中将正常数据行标签标注为“0”，将带有网络攻击/入侵特征得的数据行标签标注为“1”；

步骤3、特征重要度评估与特征选择，利用互信息理论样本特征数据集D_fs中各特征与标签列的互信息值，互信息值大小标识各特征与网络行为攻击强度的相关性，将样本特征数据集D_fs按照特征互信息值大小进行降序排列，取前若干列予以保留，构造为样本特征数据集 D_ss；

步骤4、数据分组，将样本特征数据集D_ss的数据进行随机分组，抽取部分为训练数据集D_{ss_tr}，剩余部分作为测试数据集D_{ss_t}；

步骤5、模型训练，构建融合局部和全局特征的网络行为分类模型，首先进行局部特征增强，抽取训练数据集D_{ss_tr}中的不规则特征区域并循环重复得到局部特征集；将局部全局特征融合，对训练数据集D_{ss_tr}中的局部和全局特征进行建模，将局部和全局特征进行多尺度融合得到局部-全局特征F_cou，局部-全局特征F_cou通过特征降维迭代得到行为表示矩阵D，为多源网络流量分类结果。

进一步的，所述的步骤5中局部特征增强包括：

步骤5.1、对所述的训练数据集D_{ss_tr}根据式(1)进行卷积操作得到网络行为的初始特征集n′表示卷积操作中网络层数，其取值范围为1≤n′≤N′，