[发明专利]一种基于生成对抗网络的异常流量检测方法

说明书

本发明涉及一种基于生成对抗网络的异常流量检测方法，用于通过学习正常流量样本来检测未知种类异常网络流量。其发明主要包括：(1)提出一种基于生成对抗网络的异常流量检测方法框架；(2)提出一种基于网络流量特征的预处理方法。与现有技术相比，本发明提供的一种基于生成对抗网络的异常流量检测方法，在面对未知种类的异常流量的情况下，仍能够实现其检测能力，可在统计和计算上提供更好的性能。本发明的方法可行且有效，训练好的模型能够达到很好的识别正确率和抗干扰能力。

技术领域

本发明涉及深度学习和异常检测领域，具体涉及一种基于生成对抗网络的异常流量检测方法。

背景技术

中国互联网络信息中心(CNNIC)发布的第46次《中国互联网络发展状况统计报告》显示，截至2020年6月，我国网民规模达9.40亿，较2020年3月增长3625万，互联网普及率达67.0％，我国互联网发展仍处于并将长期处于重要战略机遇期。然而人们在享受着互联网技术和互联网新业态带来的巨大便利的同时,也面临日益严峻的网络安全问题。计算机网络的发展极大地加剧了网络安全问题，尤其是现代网络环境和先进计算设备中的互联网安全问题。随着信息时代的到来，网络中异常流量激增，网络拥塞问题日益突显，通过异常流量检测减小网络流量负载，缓解网络拥塞问题是当前面临的迫切问题。异常流量检测是一种通过对保护系统信息收集和分析，从而发现异常的技术，主要是通过对计算机系统和网络进行实时监控，发现和识别网络流量中的异常流量，给出异常流量警报，可将异常流量检测看作是区分“正常”还是“异常”的二分类问题。

防火墙无法单独地应对全部网络安全问题,因此入侵检测系统(IDS),作为与防火墙协同工作的重要方式,成为了当今网络安全的热点研究方向之一。传统的异常流量检测是采用设置阈值、特征检测和统计等方法，而基于这些方法的专家系统和基于规则库的入侵检测系统存在很大的局限性,因此能够拟合复杂函数的机器学习技术成为了入侵检测系统优秀的解决方案。与此同时，机器学习虽已被广泛研究于网络异常检测，但是使用传统的机器学习技术在很大程度上受到限制从而导致检测精度没有显著提升，例如使用支持向量机(SupportVector Machine,SVM)，随机森林和Adaboosting等方法，在NSL-KDD数据集的评估中观察到的检测精度低于83％。随着计算机性能的提升和机器学习方法的兴起，深度学习作为机器学习方法的一个重要分支，也逐渐被应用到网络异常检测中，由于其表征学习的特性能够自动进行数据集的特征提取，极大简化了特征工程；同时，可以借鉴在数据分类与异常检测领域已有不错表现的图像、自然语言方面的深度学习应用方法。

生成对抗网络(GeneratorAdversarial Networks,GAN)是一种优秀的生成式模型，能够不依赖任何先验假设，学习到高维复杂的数据分布。通过对抗网络与生成器的相互博弈，促进生成器的训练，这一强大的性能使得它成为近年来研究的热点，并在诸多应用领域取得了显著的研究成果。

近年来生成对抗网络在异常检测领域也有一定的研究，出现了基于生成对抗网络技术的异常检测方法，为异常流量的检测提供了新思路，文章SchleglT,SeebckP,Waldstein S M,etal.Unsupervised Anomaly Detection with Generative AdversarialNetworks to Guide Marker Discovery[C]International Conference on InformationProcessing in Medical Imaging.Springer,Cham,2017.利用生成对抗网络的思想提出了一个框架，实现对异常图像的检测。

鉴于新兴攻击手段越来越复杂并且传统技术只能检测出已经存在的一些异常攻击行为(蠕虫、灰鸽子、木马、DDOS等)，不能检测出网络中未知的异常行为和最近出现的异常，或者当需要实时更新的特征库一旦发生历史数据过期的现象，就会对实时网络的判断就会出现巨大的误差。因此，要求在能检测到已知异常流量的前提下还应具备检测未知种类异常流量的能力。