申请/专利权人：北京航空航天大学

申请日：2022-08-12

公开（公告）日：2024-06-28

公开（公告）号：CN115348074B

主分类号：H04L9/40

分类号：H04L9/40;G06N3/0464;G06N3/0442;G06N3/048;G06N3/08;G06F18/24

优先权：

专利状态码：有效-授权

法律状态：2024.06.28#授权;2022.12.02#实质审查的生效;2022.11.15#公开

摘要：本发明公开一种深度时空混合的云数据中心网络流量实时检测方法。该方法综合考虑了网络流量来源和分布均不同的影响，并且结合了基于时间特征的流量检测模型和基于空间特征的流量检测模型的优点。综合以上因素，构建了基于时空特征的改进的异常流量检测模型，提升了模型对于异常流量的检测能力，增强了对于攻击流量和正常流量的分类效果。本发明结合了融合时空特征的深度学习模型、时间卷积网络模型、注意力机制和随机失活方法，能够根据网络流量的特征进行实时检测，实现了对正常流量和异常流量的识别和分类。

主权项：1.一种深度时空混合的云数据中心网络流量实时检测方法，其特征在于，该检测方法的目标是建立异常流量检测模型，对网络流量数据进行正常和异常的判断与分类；异常流量检测模型使用含有正常和异常标签的网络流量数据集进行训练，输入待分类的网络流量窗口序列，经过神经网络更新网络权重值，输出该序列对应的标签值；重复进行有监督学习过程，不断迭代获得最优的网络参数，实现对于网络流量序列的高准确率分类；训练好的异常流量检测模型针对获得的未分类流量数据，根据其序列值进行正常和异常的分类，对大量原始数据进行标注，从而筛选出其中的异常流量；令X＝{x1,…,xt,…,xT}表示时间跨度为T的网络流量时间序列数据，表示经过检测模型处理后的时间跨度为T的网络流量序列，xi和分别表示第i个时刻网络流量的序列值和经过模型处理后的序列流量值，和lT分别表示时间跨度为T的窗口序列对应的分类标签值和真实标签值；对时间跨度为T的流量序列进行正常和异常的二分类；其学习的目标是通过最小化分类误差函数找到从输入序列到分类标签值的非线性映射，具体的数学过程表示如下： 其中，Classification表示学习得到的分类器函数；基于时空特征的异常流量检测模型采用卷积神经网络CNN和时间卷积网络TCN作为基础架构，并添加了新的中间层和模型结构；具体的数据输入和处理流程为：1将输入经过滑动窗口预处理得到网络流量数据；2将流量窗口中的空间特征通过CNN中的卷积层和池化层来提取；3将池化层的输出经过TCN层和Attention模块提取时间特征；4通过Dropout模块减少模型过拟合，使用Softmax分类器对数据进行分类；卷积层的操作具体为：令q＝q1,q2,…,qp是流量数据输入向量，p表示每个窗口的大小，其中每个qz值表示归一化后的流量数据，其中1≤z≤p；I表示该层流量数据输入向量维度，i表示特征值索引，其中1≤i≤I；J表示该层的卷积核个数，j表示每个流量窗口的特征图索引，其中1≤j≤J；卷积层的操作如下式所示： 其中L表示卷积层数；从第l个卷积层导出输出值其中1≤l≤L；表示对第l-1层的第i维中第j个特征映射进行操作后得到值，由使用来自上一层的流量值计算得到，如果是第一层，则是使用输入数据的值其中，表示第l-1层第i+m-1维中第j个特征映射的流量数据向量，表示第l-1层第j个特征映射的偏差，表示第l-1层第m维中第j个特征映射核的权重系数，M表示过滤器的大小，σ表示激活函数；池化层的操作如下式所示： 其中，表示第l-1层第i×L+r维中第j个特征映射的值；R表示池大小，R小于输入y的大小；L表示将池区域移动的步幅长度；pl表示在第l-1层的最大值；最大池通过在特征图上按照步长扫描，选择最大值输出至下一层；经过最大池后特征图的高度和宽度减半，通道数保持不变，实现了对特征图降维压缩的效果，从而减少了网络的参数数目和计算复杂度，同时防止出现过拟合问题；使用时间卷积网络TCN，增加感受野并减少梯度弥散和爆炸的问题，加强模型对于时空特征的提取；添加注意力机制Attention，提升模型捕获长序列历史信息依赖的效果，避免梯度消失问题并捕获长距离时间信息；具体地，TCN采用1维全连接层和扩张的因果卷积层组成残差模块，保证网络产生的输出与输入维持相同的长度，起到等效于时序模型的等长序列输入输出的效果；因果卷积CausalConvolution的输出仅来自于前一层和更早元素的卷积，保证了其对于时间顺序的严格性；扩张卷积DilatedConvolution通过在卷积隐藏层添加空洞的方式，以相同的参数个数获得更大的感受野，学习到更多的历史信息；具体地，扩张的因果卷积构成残差模块ResidualBlock，由两层扩张的因果卷积作为卷积层，采用激活函数作为非线性映射，采用权重归一化和Dropout进行正则化；输入模块中的序列会经过两轮卷积处理；而叠加残差模块构成的网络减少梯度消失问题；该全连接层作为输出方式，实现了端对端序列建模的预测效果。

全文数据：

权利要求：

百度查询： 北京航空航天大学 深度时空混合的云数据中心网络流量实时检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD