[发明专利]基于卷积神经网络与LSTM结合的网络流量异常检测方法

说明书

本申请提出了基于卷积神经网络与LSTM结合的网络流量异常检测方法，所述方法包括：利用SCADA系统采集的网络数据，并对数据进行预处理，筛选得到符合实验要求的数据；将预处理的数据转化为对应灰度图像；建立CNN‑LSTM模型，通过交叉熵最小化的方式确定模型最优化参数；以准确率、真阳性率、假阳性率和F1‑score为指标对CNN‑LSTM模型进行训练，基于训练后的模型对检测分类效果进行评估。将两种方法结合在一起，成功的进行了检测，并且相较于传统的机器学习方法，取得了更优的检测效果。

技术领域

本发明涉及网络安全技术领域，尤其涉及基于卷积神经网络与LSTM结合的网络流量异常检测方法。

背景技术

在智能电网转变的数字化过程中，为实现变电站之间以及和远程调度中心之间的协同和信息共享引入先进的通信技术，使得智能网络以及智能变电站面临网络入侵等传统的网络目前正在面临的信息安全威胁。电网采用监控和数据采集系统(SCADA)进行控制和管理。集中控制器通过远程终端单元收集信息，并向电网中的执行器发出控制命令。电网组件的互联引入了网络攻击的风险。神经网络被广泛用于异常检测，以识别和分类网络层面的网络攻击。

传统的异常检测方法包括签名分析方法，统计分析方法和阈值分析方法。通过对以发现的恶意流量行为的总结设定参数，难以实现量化。

基于机器学习的异常检测方法主要分为两个步骤：特征的提取和选择以及分类。特征的提取和选择的方法主要有：主成分分析(PCA)、基于相关性的特征选择方法(CFS)等。而传统的分类模型有支持向量机(SVM)、神经网络、朴素贝叶斯和决策树等应用于网络攻击的分类。在KDD99、DARPA等其他数据集中取得良好的效果，但数据集包含的攻击数据已经过时，难以用来模拟现在复杂的网络环境。Eesa等人直接从流量原始数据中学习特征，利用改进的流量特征可以获得较高的检测率和较低的虚警率。

但上述现有技术并没有对于异常检测上起到明显精准预测的有益效果，为了能防范于未然，面对目前复杂的网络环境，亟需提供一种有效的进行异常检测的方法。

发明内容

为了克服现有的异常检测方法的检测精度较低的不足，本发明提出基于卷积神经网络与LSTM结合的网络流量异常检测方法，具体包括以下步骤：

利用SCADA系统采集的网络数据，并对数据进行预处理，筛选得到符合实验要求的数据；

将预处理的数据转化为对应灰度图像；

建立CNN-LSTM模型，通过交叉熵最小化的方式确定模型最优化参数；

以准确率、真阳性率、假阳性率和F1-score为指标对CNN-LSTM模型进行训练，基于训练后的模型对检测分类效果进行评估。

可选的，所述数据预处理包括以下过程：

步骤101，从原始PCAP文件中截取相应周期的PCAP文件；

步骤102，根据每个时间段对应的攻击主机和受害者主机的IP进行流量划分；

步骤103，使用pickle工具将流量保存为KPL文件，生产矩阵数据；

步骤104，为了有效地学习和分类模型，通过one_hot编码对数据进行处理，将定性特征转换为定量特征。

可选的，所述将预处理的数据转化为对应灰度图像包括以下过程：

步骤201，在对数据集特征进行数据预处理扩展后，进行降维操作以得到处理成n×n图像数据格式作为模型的输入，采用方差系数作为降维筛选依据，函数定义为

其中σ为标准差，μ为均值，方差系数越大，特征分布越集中，比较后去除方差系数较小的维度；