[发明专利]一种基于多路特征感知长短期记忆的异常流量检测方法

说明书

本发明公开一种基于多路特征感知长短期记忆的异常流量检测方法，应用于网络安全领域，针对现有的异常流量检测准确率低的问题，本发明对传统的长短期记忆网络模型进行改进，根据输入的流量数据特征维度n，在多路特征感知长短期网络内部构造n个LSTM单元，作为特征单元，各个特征单元接受一类特征的输入，对该类特征的数据进行学习训练；本发明的方法有效利用网络流量特征信息及流量数据的序列化特点，引导模型学习输入的各特征对输出结果的影响程度以及各路特征自身的前后时间关联性，从而提高异常流量检测的准确率。

技术领域

本发明属于网络安全领域，特别涉及一种异常流量检测技术。

背景技术

随着网络技术的迅速发展和网络应用的日益广泛，网络安全问题也日益突出，网络异常流量检测作为保护网络安全的重要手段，其检测方法也逐渐受到人们的重视。传统的网络流量检测方法主要分为四类：基于端口的方法、基于DPI(深度报文检测)的方法、基于统计的方法和基于行为的方法。其中基于端口的方法识别准确率很低；基于DPI的方法则计算复杂度高，需要消耗大量计算机资源；基于统计的方法和基于行为的方法均属于传统机器学习领域，诸如朴素贝叶斯算法、SVM、随机森林算法等，其检测效果相较于前者更好，但是传统的机器学习无法很好地对输入的流量数据特性进行学习，需要人工设计反映流量特性的特征集，随着网络流量趋于多元化，其检测效果也并不理想。

深度学习解决了传统机器学习依赖特征设计的问题，是一种基于特征学习思想的机器学习技术。深度学习的深层神经网络结构使得其可以从杂乱的数据中自动学习流量数据的内在特征，从而有着更好的检测效果。在深度学习技术中，循环神经网络(RecurrentNeural Network，RNN)是一种用于处理序列数据的神经网络。相比一般的神经网络来说，RNN能够处理序列变化的数据，但其存在着长序列训练过程中的梯度消失和梯度爆炸问题。长短期记忆(Long short-term memory，LSTM)是一种特殊的RNN，解决了RNN存在的问题，相比于RNN，LSTM在长序列中有着更好的表现，在异常流量检测中具有很好的应用前景。

但是，在当前基于LSTM的异常流量检测方法中，网络流量中不同的特征(如源/目的地址、协议类型、端口号、报文长度等)被统一输入LSTM模型进行训练，这种方式所训练出的模型，在一定程度上失去了对各个特征自身在前后时间关联上的敏锐性。针对网络流量及其特征的独有特点，以LSTM为基础，设计更精准的异常流量检测方法，对于提高异常流量检测的效率，具有重要的意义。

发明内容

为解决上述技术问题，本发明提出一种基于多路特征感知长短期记忆的异常流量检测方法，在传统的长短期记忆网络模型的基础上对其进行了改良，以多路形式将流量数据输入模型；有效利用网络流量特征信息及流量数据的序列化特点，引导模型学习输入的各特征对输出结果的影响程度以及各路特征自身的前后时间关联性，从而提高异常流量检测的准确率。

本发明采用的技术方案为：一种基于多路特征感知长短期记忆的异常流量检测方法，包括：

S1、分别从正常网络环境和异常网络环境中获取一串时间序列的流量数据，整理为时间序列的流量数据集，提取所获取时间序列的流量数据的特征，并对时间序列的流量数据进行是否异常的标记；

S2、根据步骤S1提取的时间序列的流量数据的特征维度数量将时间序列的流量数据集均分成多维数据；

S3、构造多路特征感知长短期记忆模型，具体的：所述多路特征感知长短期记忆模型包括N个时间步长下的多路特征感知长短期记忆单元模型，单个多路特征感知长短期记忆单元模型中的LSTM单元的个数根据步骤S1提取的时间序列的流量数据的特征维度数量确定；

S4、将步骤S2的多维数据分别作为单个多路特征感知长短期记忆单元模型中的多个LSTM单元的输入，进行多路特征感知长短期记忆模型训练；具体的第一个多路特征感知长短期记忆单元模型的输入为初始时刻的流量数据，后续的多路特征感知长短期记忆单元模型的输入对应时刻的流量数据与前一个多路特征感知长短期记忆单元模型的输出；