CN114338199B - 一种基于注意力机制的恶意流量检测方法和*** - Google Patents

一种基于注意力机制的恶意流量检测方法和*** Download PDF

Info

Publication number
CN114338199B
CN114338199B CN202111661242.1A CN202111661242A CN114338199B CN 114338199 B CN114338199 B CN 114338199B CN 202111661242 A CN202111661242 A CN 202111661242A CN 114338199 B CN114338199 B CN 114338199B
Authority
CN
China
Prior art keywords
feature
network
data set
attention mechanism
depth residual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111661242.1A
Other languages
English (en)
Other versions
CN114338199A (zh
Inventor
凌捷
林茂源
罗玉
区旸
刘艺彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong University of Technology
China ComService Construction Co Ltd
Original Assignee
Guangdong University of Technology
China ComService Construction Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong University of Technology, China ComService Construction Co Ltd filed Critical Guangdong University of Technology
Priority to CN202111661242.1A priority Critical patent/CN114338199B/zh
Publication of CN114338199A publication Critical patent/CN114338199A/zh
Application granted granted Critical
Publication of CN114338199B publication Critical patent/CN114338199B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于注意力机制的恶意流量检测方法和***,涉及通信网络安全技术领域。所述方法包括步骤:S1、对待检测的流量数据集进行特征选择,得到精简特征集;S2、进行预处理得到预处理数据集;S3、输入到基于注意力机制的深度残差收缩网络,获得恶意流量检测结果;本发明采用的网络模型包括了含有注意力机制的深度残差收缩网络结构,在分类准确率和误报率上有较好的表现,能提取关键数据信息,有效地降低了模型的训练和测试的时间。又由于流量数据具有时序性和特征冗余性,因此本技术方案也结合使用了长短期记忆网络,既减少或者降低了检测数据中冗余信息的影响,也延续了数据信息的上下文联系,增强了恶意流量检测的准确率。

Description

一种基于注意力机制的恶意流量检测方法和***
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种基于注意力机制的恶意流量检测方法和***。
背景技术
根据中国互联网络信息中心发布的第48次《中国互联网络发展状况统计报告》显示,截至2021年6月,我国网民规模达10.11亿,较2020年12月增长2175万,互联网普及率达71.6%;十亿用户接入互联网,形成了全球最为庞大、生机勃勃的数字社会。
随着互联网的飞速发展和大规模普及,网络安全也关系到生活的方方面面。传统的静态防御技术,例如、数据加密、访问控制、身份认证等,都是针对于现存的攻击手段进行被动防御的方法,需要用户配合验证以及管理员对访问行为进行管理,消耗用户和管理员的精力。恶意流量检测是属于较为主动的安全防御手段,可以对互联网内外的入侵给予实时侦查及回馈信息,无需用户配合,
现有技术的融合深度神经网络和层级注意力机制的恶意流量监测***,无需依赖人工构建安全策略,但该技术方案未采用深度残差收缩结构,在分类准确率和误报率上仍有进步空间。
发明内容
本发明为克服上述技术问题,提供的一种基于注意力机制的恶意流量检测方法和***。
本发明技术方案如下:
一种基于注意力机制的恶意流量检测方法,包括步骤:
S1、获取待检测的流量数据集,对所述流量数据集进行特征选择,得到精简特征集;
S2、对所述精简特征集进行预处理得到预处理数据集;
S3、将预处理数据集输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果。
本技术方案提出了一种基于注意力机制的恶意流量检测方法,采用的网络模型包括了含有注意力机制的深度残差收缩网络结构,在分类准确率和误报率上有较好的表现,能提取关键数据信息,提高训练速度,有效地降低了模型的训练和测试的时间。又由于流量数据具有时序性和特征冗余性,因此本技术方案也结合使用了长短期记忆网络(LSTM,LongShort Term Memory Network),既减少或者降低了检测数据中冗余信息的影响,也延续了数据信息的上下文联系,增强了恶意流量检测的准确率。
进一步地,步骤S1所述特征选择是基于XGBoost算法实现的。
进一步地,所述XGBoost算法进行特征选择的步骤包括:
S11、将所述流量数据集中的原始特征组合在一起构成原始特征集f,利用xgboost特征重要性算法计算原始特征集f中每个特征的分类重要程度得分,并依据分类重要程度得分从高到低排序;
S12、根据特征分类重要程度得分的高低,把重要性排序最后的特征作为待删除特征,表示为t,并将原始特征集f中的其余特征按照类型分类,选出所有连续型特征组成连续特征子集f1,所有文本型特征组成文本特征子集f2
S13、判断待删除特征t的类型,若该特征为连续型特征变量则计算t与连续特征子集f1中其他所有特征的皮尔逊相关系数并执行步骤S14;若该特征为文本型特征则计算t与文本特征子集f2中其他所有特征的mm值并执行步骤S15;
S14、将所有相关系数的绝对值的均值作为阈值i,对于绝对值大于阈值且在该轮重要性排序中位于后50%的特征,在连续特征子集f1中删除;
S15、计算特征的相关性得分值,将所有得分值的均值作为阈值i,并将文本特征子集f2中得分值大于阈值且在该轮重要性排序中位于后50%的特征删除;
S16、将连续特征子集f1与文本特征子集f2合并,获得特征集f,对特征集f中的每个特征都执行步骤S11至步骤S15,即可获得最优的精简特征集s。
进一步地,步骤S15计算特征的相关性得分值的公式为:
其中,Xt表示所有得分值,median为平均中位数算法。
进一步地,步骤S2所述预处理的方法为:使用L2范数对精简特征集进行归一化;然后,对精简特征集中的标签进行量化,再对标签进行独热编码得到预处理数据集。
进一步地,步骤S3所述基于注意力机制的深度残差收缩网络包括:深度残差收缩网络、长短期记忆网络、多层感知器、激活函数;
基于注意力机制的深度残差收缩网络的输入数据分别经过深度残差收缩网络、长短期记忆网络得到各自的处理结果,然后对深度残差收缩网络的处理结果和长短期记忆网络的处理结果进行连接操作,对连接操作结果依次输入多层感知器和激活函数,得到是否为恶意流量的分类结果。
进一步地,训练步骤S3所述基于注意力机制的深度残差收缩网络的方法为,首先使用k折交叉验证法将用于训练的流量数据集分为训练数据集、验证数据集和测试数据集;
然后使用训练集对基于注意力机制的深度残差收缩网络ARSL进行预训练来调整ARSL网络的超参数;将所述超参数代入ARSL网络得到经过预训练的ARSL网络;将训练集输入经过预训练的ARSL网络,ARSL网络对输入数据处理后得到输出数据,通过误差函数对输入数据和输出数据之间的误差进行评估得到误差评估结果,利用误差反向传播方法根据误差评估结果对ARSL网络进行微调,以获得ARSL网络最优的连接权值和偏置值,直到ARSL网络的二分类准确度、精确度、召回率和F1分数达到预期要求为止,保存训练完成的ARSL网络。
一种基于注意力机制的恶意流量检测***,包括:数据获取模块、特征选择模块、预处理模块、网络执行模块;
数据获取模块获取待检测的流量数据集,特征选择模块对所述流量数据集进行特征选择,得到精简特征集;预处理模块对所述精简特征集进行预处理得到预处理数据集;网络执行模块获取预处理数据集,并输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果。
进一步地,所述特征选择模块通过XGBoost算法实现特征选择。
进一步地,所述预处理模块进行预处理的方法为:使用L2范数对精简特征集进行归一化;然后,对精简特征集中的标签进行量化,再对标签进行独热编码得到预处理数据集。
本技术方案提出了一种基于注意力机制的恶意流量检测方法和***,与现有技术相比,本发明技术方案的有益效果是:本技术方案采用的网络模型包括了含有注意力机制的深度残差收缩网络结构,在分类准确率和误报率上有较好的表现,能提取关键数据信息,提高训练速度,有效地降低了模型的训练和测试的时间。又由于流量数据具有时序性和特征冗余性,因此本技术方案也结合使用了长短期记忆网络(LSTM,Long Short Term MemoryNetwork),既减少或者降低了检测数据中冗余信息的影响,也延续了数据信息的上下文联系,增强了恶意流量检测的准确率。
附图说明
图1为本发明恶意流量检测方法步骤示意图;
图2为恶意流量检测***结构示意图;
图3为基于注意力机制的深度残差收缩网络结构示意图。
具体实施方式
为清楚地说明本发明一种基于注意力机制的恶意流量检测方法和***,结合实施例和附图对本发明作进一步说明,但不应以此限制本发明的保护范围。
实施例1
一种基于注意力机制的恶意流量检测方法如图1所示,包括步骤:
S1、获取待检测的流量数据集,对所述流量数据集进行特征选择,得到精简特征集;
S2、对所述精简特征集进行预处理得到预处理数据集;
S3、将预处理数据集输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果。
步骤S3所述基于注意力机制的深度残差收缩网络通过结合深度残差收缩网络和长短期记忆网络进行构建得到。
本实施例采用的网络模型包括了含有注意力机制的深度残差收缩网络结构,在分类准确率和误报率上有较好的表现,能提取关键数据信息,提高训练速度,有效地降低了模型的训练和测试的时间。又由于流量数据具有时序性和特征冗余性,因此本技术方案也结合使用了长短期记忆网络(LSTM,Long Short Term Memory Network),既减少或者降低了检测数据中冗余信息的影响,也延续了数据信息的上下文联系,增强了恶意流量检测的准确率。
实施例2
一种基于注意力机制的恶意流量检测方法如图1所示,包括步骤:
S1、获取待检测的流量数据集,对所述流量数据集进行特征选择,得到精简特征集;
实验数据的特征数量越多,计算维度越大,模型也会越复杂,为了防止实验数据中的特征过于冗余,导致“维度灾难”,提高实验流程的整体速度,需要对实验数据进行特征选择。特征选择的意义便是,剔除掉一些不相关、重复的特征,在保证特征有效性的同时减少特征数量,从而提高模型精确度,减少模型复杂度,减少模型训练时间。特征选择(FeatureSelection),也叫特征子集选择(Feature Subset Selection,FSS),或叫属性选择(Attribute Selection)。是指从全部的数据特征中选取合适的特征,从而确保模型变得更好。本实施例采用了一种基于XGboost的特征选择方法,本发明采用基于XGboost的特征选择方法来进行特征选择,该方法可以有效地确定一组特征,从而加快所提出的恶意流量检测***的训练和检测阶段,并优化检测精度。
所述特征选择是基于XGBoost算法实现的。
所述XGBoost算法进行特征选择的步骤包括:
S11、将所述流量数据集中的原始特征组合在一起构成原始特征集f,利用xgboost特征重要性算法计算原始特征集f中每个特征的分类重要程度得分,并依据分类重要程度得分从高到低排序;
S12、根据特征分类重要程度得分的高低,把重要性排序最后的特征作为待删除特征,表示为t,并将原始特征集f中的其余特征按照类型分类,选出所有连续型特征组成连续特征子集f1,所有文本型特征组成文本特征子集f2
S13、判断待删除特征t的类型,若该特征为连续型特征变量则计算t与连续特征子集f1中其他所有特征的皮尔逊相关系数并执行步骤S14;若该特征为文本型特征则计算t与文本特征子集f2中其他所有特征的mm值并执行步骤S15;
S14、将所有相关系数的绝对值的均值作为阈值i,对于绝对值大于阈值且在该轮重要性排序中位于后50%的特征,在连续特征子集f1中删除;
S15、计算特征的相关性得分值,将所有得分值的均值作为阈值i,并将文本特征子集f2中得分值大于阈值且在该轮重要性排序中位于后50%的特征删除;
计算特征的相关性得分值的公式为:
其中,Xt表示所有得分值,median为平均中位数算法;
S16、将连续特征子集f1与文本特征子集f2合并,获得特征集f,对特征集f中的每个特征都执行步骤S11至步骤S15,即可获得最优的精简特征集s。
S2、对所述精简特征集进行预处理得到预处理数据集;
为了满足实验数据能训练和检测模型,需要对实验数据集进行预处理操作,所述预处理的方法为:删除精简数据集中不必要的数据列,然后,将这段长度为k的流量数据向量用θ∈Rk表示。为了更好地适应真实的模型,不破坏原始数据之间的线性关系,本发明使用L2范数对数据进行归一化,如下公式所示。归一化后的流量数据为θ∈Rk(也称为特征向量)
然后对精简特征集中的标签进行量化,再对标签进行独热编码得到预处理数据集。
S3、将预处理数据集输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果。
所述基于注意力机制的深度残差收缩网络包括:深度残差收缩网络、长短期记忆网络、多层感知器、激活函数;基于注意力机制的深度残差收缩网络结构如图3所示;
基于注意力机制的深度残差收缩网络的输入数据分别经过深度残差收缩网络、长短期记忆网络得到各自的处理结果,然后对深度残差收缩网络的处理结果和长短期记忆网络的处理结果进行连接操作,对连接操作结果依次输入多层感知器和激活函数,得到是否为恶意流量的分类结果。
ARSL网络的深度残差收缩网络DRSNs、长短期记忆网络LSTM具有不同的处理机制,DRSNs模块将特征向量视为具有多个时间步长的单变量时间序列来处理,LSTM模块将特征向量视为具有单个时间步长的多变量时间序列来处理。对输入的训练数据集的特征向量x,LSTM模块通过如下步骤提取时间模式来得到LSTM模块的输出v:
其中,LSTMi i∈{1,2}代表ith LSTM层,是隐藏向量,v是LSTM模块的输出。
对于DRSNs模块,里面的每一个残差块采用如下步骤处理特征向量x(以第一个残差块为例):
h1=Conv Block1(x)
h2=Conv Block2(h1)
h3=Conv Block3(h2)
h′=h3+x
y′=ReLU(h′)
其中,ConvBlocki,i∈{1,2,3}},表示第一个残差块中的第i个卷积块,h1,h2,h3∈Rk为隐藏向量,h′为快捷连接和元素式加法后的隐藏状态。此后,y′被传送到后续的剩余块。然后,这些剩余块的输出被传送到gap层,目的是减少参数的数量,得到u。
在DRSNs模块和LSTM模块之后,u和v进行连接操作,然后被
前向馈送到MLP模块,公式如下:
c=Concate(μ,v)
h″=FC(c)
τ=Dtopout(h″)
其中Concate表示级联运算,v为级联结果,FC和Dropout分别表示全连接层和Dropout层,h″和τ分别为全连接层和Dropout层的输出。最后,Sigmoid层通过如下公式式提供最终的分类结果:
y=Sigmoid(τ)
深度残差收缩网络DRSNs由三个部分组成:残差网络、自注意力网络和软阈值化。涉及三个残差块(ResBlock)和一个全局平均池化层以及三个具有快捷连接的卷积块组成,残差块由一个软阈值化函数作为非线性层,并嵌入基于注意力机制的seNet子网络,用于自动地设置软阈值化所需要的阈值,每个卷积块包括时间卷积层、批量归一化层和sigmoid激活函数。
深度残差收缩网络是在深度残差网络(Deep residual networks,ResNets)基础上增加了注意力机制(Squeeze-and-Excitation Networks,seNet)和软阈值化(Softthresholding)。
软阈值化是信号处理中常用的一种去噪的方式,软阈值函数如下:
其中x为输入,y为输出,τ为阈值。其去噪的基本思想也很简单,就是先对输入信号分解(卷积层的作用),然后对阈值内分解后的所有信号进行过滤,最后将过滤后的所有信号重构。
软阈值函数还有一个好处就是求导后梯度只有0和1,这样避免了梯度***和梯度消失现象:
SENet通过一个小型网络学习得到一组权值系数,用于各个特征通道(channel)的加权。这其实是一种注意力机制:首先评估各个特征通道的重要程度,然后根据其重要程度赋予各个特征通道合适的权重。SENet可以与残差模块集成在一起。在这种模式下,由于跨层恒等路径的存在,SENet可以更容易得到训练。而且,每个样本的权值系数都是根据其自身设置的,每个样本都可以有自己独特的一组权值系数。
对ARSL网络的每一层训练结束后,得到训练好的ARSL网络的基于流量的注意力机制的分类器,该分类器包括DRSNs模块、LSTM模块和MLP模块组成,其中DRSNs模块由三个残差块加一个池化层组成,每个残差块由一个软阈值化函数作为非线性层,而且嵌入了一个具有注意力机制的seNet子网络,用于自动地设置软阈值化所需要的阈值,以及三个具有快捷连接的卷积块,每个卷积块包括时间卷积层、批量归一化层和sigmoid作为激活函数。最后加入全连接层和dropout层。其中优化器(optimizer)使用Adam,输出层的激活函数使用sigmoid。
训练所述基于注意力机制的深度残差收缩网络的方法为,首先使用k折交叉验证法将用于训练的流量数据集分为训练数据集、验证数据集和测试数据集;本实施例中用于训练的流量数据集为ISCX2012数据集,该数据集由加拿大新不伦瑞克大学信息安全卓越中心发布,包含七天的原始网络流量数据,包括正常流量和四种类型的攻击流量(SSH暴力破解攻击、DDoS、HttpDoS和渗透攻击)。该数据集的恶意流量占比约为2.8%,相比其他恶意流量检测数据集,该数据集更贴近现实世界的数据集。
然后使用训练集对基于注意力机制的深度残差收缩网络ARSL进行预训练来调整ARSL网络的超参数;将所述超参数代入ARSL网络得到经过预训练的ARSL网络;将训练集输入经过预训练的ARSL网络,ARSL网络对输入数据处理后得到输出数据,通过误差函数对输入数据和输出数据之间的误差进行评估得到误差评估结果,利用误差反向传播方法根据误差评估结果对ARSL网络进行微调,以获得ARSL网络最优的连接权值和偏置值,直到ARSL网络的分类结果达到预期要求为止,保存训练完成的ARSL网络;所述分类结果为混淆矩阵,混淆矩阵包括二分类准确度、精确度、召回率和F1分数。
本实施例采用的网络模型包括了含有注意力机制的深度残差收缩网络结构,在分类准确率和误报率上有较好的表现,能提取关键数据信息,提高训练速度,有效地降低了模型的训练和测试的时间。又由于流量数据具有时序性和特征冗余性,因此本技术方案也结合使用了长短期记忆网络(LSTM,Long Short Term Memory Network),既减少或者降低了检测数据中冗余信息的影响,也延续了数据信息的上下文联系,增强了恶意流量检测的准确率。
实施例3
一种基于注意力机制的恶意流量检测***,结构如图2所示,包括:数据获取模块、特征选择模块、预处理模块、网络执行模块;
数据获取模块获取待检测的流量数据集,特征选择模块对所述流量数据集进行特征选择,得到精简特征集;预处理模块对所述精简特征集进行预处理得到预处理数据集;网络执行模块获取预处理数据集,并输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果。
实施例4
一种基于注意力机制的恶意流量检测***,结构如图2所示,包括:数据获取模块、特征选择模块、预处理模块、网络执行模块;
数据获取模块获取待检测的流量数据集,特征选择模块对所述流量数据集进行特征选择,得到精简特征集;预处理模块对所述精简特征集进行预处理得到预处理数据集;网络执行模块获取预处理数据集,并输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果。
所述特征选择模块通过XGBoost算法实现特征选择。所述预处理模块进行预处理的方法为:使用L2范数对精简特征集进行归一化;然后,对精简特征集中的标签进行量化,再对标签进行独热编码得到预处理数据集。
所述基于注意力机制的深度残差收缩网络通过结合深度残差收缩网络和长短期记忆网络进行构建得到。
特征选择模块利用所述XGBoost算法进行特征选择的方法为:
S11、将所述流量数据集中的原始特征组合在一起构成原始特征集f,利用xgboost特征重要性算法计算原始特征集f中每个特征的分类重要程度得分,并依据分类重要程度得分从高到低排序;
S12、根据特征分类重要程度得分的高低,把重要性排序最后的特征作为待删除特征,表示为t,并将原始特征集f中的其余特征按照类型分类,选出所有连续型特征组成连续特征子集f1,所有文本型特征组成文本特征子集f2
S13、判断待删除特征t的类型,若该特征为连续型特征变量则计算t与连续特征子集f1中其他所有特征的皮尔逊相关系数并执行步骤S14;若该特征为文本型特征则计算t与文本特征子集f2中其他所有特征的mm值并执行步骤S15;
S14、将所有相关系数的绝对值的均值作为阈值i,对于绝对值大于阈值且在该轮重要性排序中位于后50%的特征,在连续特征子集f1中删除;
S15、计算特征的相关性得分值,将所有得分值的均值作为阈值i,并将文本特征子集f2中得分值大于阈值且在该轮重要性排序中位于后50%的特征删除;
计算特征的相关性得分值的公式为:
其中,Xt表示所有得分值,median为平均中位数算法。
S16、将连续特征子集f1与文本特征子集f2合并,获得特征集f,对特征集f中的每个特征都执行步骤S11至步骤S15,即可获得最优的精简特征集s。
所述预处理模块进行预处理的方法为:使用L2范数对精简特征集进行归一化;然后,对精简特征集中的标签进行量化,再对标签进行独热编码得到预处理数据集。
本实施例采用的网络模型包括了含有注意力机制的深度残差收缩网络结构,在分类准确率和误报率上有较好的表现,能提取关键数据信息,提高训练速度,有效地降低了模型的训练和测试的时间。又由于流量数据具有时序性和特征冗余性,因此本技术方案也结合使用了长短期记忆网络(LSTM,Long Short Term Memory Network),既减少或者降低了检测数据中冗余信息的影响,也延续了数据信息的上下文联系,增强了恶意流量检测的准确率。

Claims (5)

1.一种基于注意力机制的恶意流量检测方法,其特征在于,包括步骤:
S1、获取待检测的流量数据集,对所述流量数据集进行特征选择,得到精简特征集;
步骤S1所述特征选择是基于XGBoost算法实现的;
所述XGBoost算法进行特征选择的步骤包括:
S11、将所述流量数据集中的原始特征组合在一起构成原始特征集f,利用xgboost特征重要性算法计算原始特征集f中每个特征的分类重要程度得分,并依据分类重要程度得分从高到低排序;
S12、根据特征分类重要程度得分的高低,把重要性排序最后的特征作为待删除特征,表示为t,并将原始特征集f中的其余特征按照类型分类,选出所有连续型特征组成连续特征子集f1,所有文本型特征组成文本特征子集f2
S13、判断待删除特征t的类型,若该特征为连续型特征变量则计算t与连续特征子集f1中其他所有特征的皮尔逊相关系数并执行步骤S14;若该特征为文本型特征则计算t与文本特征子集f2中其他所有特征的mm值并执行步骤S15;
S14、将所有相关系数的绝对值的均值作为阈值i,对于绝对值大于阈值且在该轮重要性排序中位于后50%的特征,在连续特征子集f1中删除;
S15、计算特征的相关性得分值,将所有得分值的均值作为阈值i,并将文本特征子集f2中得分值大于阈值且在该轮重要性排序中位于后50%的特征删除;
步骤S15计算特征的相关性得分值的公式为:
其中,Xt表示所有得分值,median为平均中位数算法;
S16、将连续特征子集f1与文本特征子集f2合并,获得特征集f,对特征集f中的每个特征都执行步骤S11至步骤S15,即可获得最优的精简特征集s;
S2、对所述精简特征集进行预处理得到预处理数据集;
使用L2范数对精简特征集进行归一化;然后,对精简特征集中的标签进行量化,再对标签进行独热编码得到预处理数据集;
S3、将预处理数据集输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果;
步骤S3所述基于注意力机制的深度残差收缩网络通过结合深度残差收缩网络和长短期记忆网络进行构建得到;
步骤S3所述基于注意力机制的深度残差收缩网络包括:深度残差收缩网络、长短期记忆网络、多层感知器、激活函数;
基于注意力机制的深度残差收缩网络的输入数据分别经过深度残差收缩网络、长短期记忆网络得到各自的处理结果,然后对深度残差收缩网络的处理结果和长短期记忆网络的处理结果进行连接操作,对连接操作结果依次输入多层感知器和激活函数,得到是否为恶意流量的分类结果。
2.根据权利要求1所述的一种基于注意力机制的恶意流量检测方法,其特征在于,训练步骤S3所述基于注意力机制的深度残差收缩网络的方法为,首先使用k折交叉验证法将用于训练的流量数据集分为训练数据集、验证数据集和测试数据集;
然后使用训练集对基于注意力机制的深度残差收缩网络ARSL进行预训练来调整ARSL网络的超参数;将所述超参数代入ARSL网络得到经过预训练的ARSL网络;将训练集输入经过预训练的ARSL网络,ARSL网络对输入数据处理后得到输出数据,通过误差函数对输入数据和输出数据之间的误差进行评估得到误差评估结果,利用误差反向传播方法根据误差评估结果对ARSL网络进行微调,以获得ARSL网络最优的连接权值和偏置值,直到ARSL网络的二分类准确度、精确度、召回率和F1分数达到预期要求为止,保存训练完成的ARSL网络。
3.一种基于注意力机制的恶意流量检测***,用于执行权利要求1-2任一项所述的一种基于注意力机制的恶意流量检测方法,其特征在于,包括:数据获取模块、特征选择模块、预处理模块、网络执行模块;
数据获取模块获取待检测的流量数据集,特征选择模块对所述流量数据集进行特征选择,得到精简特征集;预处理模块对所述精简特征集进行预处理得到预处理数据集;网络执行模块获取预处理数据集,并输入到预先训练好的基于注意力机制的深度残差收缩网络,通过所述基于注意力机制的深度残差收缩网络对预处理数据集进行分类,获得待检测的流量数据集的恶意流量检测结果。
4.根据权利要求3所述的一种基于注意力机制的恶意流量检测***,其特征在于,所述特征选择模块通过XGBoost算法实现特征选择。
5.根据权利要求4所述的一种基于注意力机制的恶意流量检测***,其特征在于,所述预处理模块进行预处理的方法为:使用L2范数对精简特征集进行归一化;然后,对精简特征集中的标签进行量化,再对标签进行独热编码得到预处理数据集。
CN202111661242.1A 2021-12-30 2021-12-30 一种基于注意力机制的恶意流量检测方法和*** Active CN114338199B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111661242.1A CN114338199B (zh) 2021-12-30 2021-12-30 一种基于注意力机制的恶意流量检测方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111661242.1A CN114338199B (zh) 2021-12-30 2021-12-30 一种基于注意力机制的恶意流量检测方法和***

Publications (2)

Publication Number Publication Date
CN114338199A CN114338199A (zh) 2022-04-12
CN114338199B true CN114338199B (zh) 2024-01-09

Family

ID=81018399

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111661242.1A Active CN114338199B (zh) 2021-12-30 2021-12-30 一种基于注意力机制的恶意流量检测方法和***

Country Status (1)

Country Link
CN (1) CN114338199B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114662623B (zh) * 2022-05-25 2022-08-16 山东师范大学 基于XGBoost的凝血检测中血液样本的分类方法及***
CN116880279A (zh) * 2023-07-12 2023-10-13 中冀电力集团股份有限公司 一种智慧用电控制管理***
CN118041689B (zh) * 2024-04-09 2024-06-14 南京信息工程大学 一种网络恶意流量检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106650813A (zh) * 2016-12-27 2017-05-10 华南理工大学 一种基于深度残差网络和lstm的图像理解方法
CN111629006A (zh) * 2020-05-29 2020-09-04 重庆理工大学 融合深度神经网络和层级注意力机制的恶意流量更新方法
CN111669385A (zh) * 2020-05-29 2020-09-15 重庆理工大学 融合深度神经网络和层级注意力机制的恶意流量监测***
CN112383518A (zh) * 2020-10-30 2021-02-19 广东工业大学 一种僵尸网络检测方法及装置
CN113676475A (zh) * 2021-08-19 2021-11-19 中电积至(海南)信息技术有限公司 一种基于XGBoost的端口扫描恶意流量的检测方法
CN113705661A (zh) * 2021-08-26 2021-11-26 杭州电子科技大学 一种混合深度残差收缩网络与XGBoost算法的工业过程性能评估方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11483340B2 (en) * 2020-01-13 2022-10-25 Shanghai Jiaotong University System for malicious HTTP traffic detection with multi-field relation

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106650813A (zh) * 2016-12-27 2017-05-10 华南理工大学 一种基于深度残差网络和lstm的图像理解方法
CN111629006A (zh) * 2020-05-29 2020-09-04 重庆理工大学 融合深度神经网络和层级注意力机制的恶意流量更新方法
CN111669385A (zh) * 2020-05-29 2020-09-15 重庆理工大学 融合深度神经网络和层级注意力机制的恶意流量监测***
CN112383518A (zh) * 2020-10-30 2021-02-19 广东工业大学 一种僵尸网络检测方法及装置
CN113676475A (zh) * 2021-08-19 2021-11-19 中电积至(海南)信息技术有限公司 一种基于XGBoost的端口扫描恶意流量的检测方法
CN113705661A (zh) * 2021-08-26 2021-11-26 杭州电子科技大学 一种混合深度残差收缩网络与XGBoost算法的工业过程性能评估方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
许历隆等."一种基于改进深度残差收缩网络的恶意应用检测方法".《南京信息工程大学学报(自然科学版)》.2021,第1-11页. *

Also Published As

Publication number Publication date
CN114338199A (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN114338199B (zh) 一种基于注意力机制的恶意流量检测方法和***
Xiao et al. CNN–MHSA: A Convolutional Neural Network and multi-head self-attention combined approach for detecting phishing websites
CN108566364B (zh) 一种基于神经网络的入侵检测方法
CN110110318B (zh) 基于循环神经网络的文本隐写检测方法及***
CN111222638B (zh) 一种基于神经网络的网络异常检测方法及装置
Mezina et al. Network anomaly detection with temporal convolutional network and U-Net model
CN116192500A (zh) 一种对抗标签噪声的恶意流量检测装置及方法
CN116318928A (zh) 一种基于数据增强和特征融合的恶意流量识别方法及***
Ding et al. Efficient BiSRU combined with feature dimensionality reduction for abnormal traffic detection
Muslihi et al. Detecting SQL injection on web application using deep learning techniques: a systematic literature review
Chapaneri et al. Detection of malicious network traffic using convolutional neural networks
Li et al. Cyber fraud prediction with supervised machine learning techniques
Silivery et al. A model for multi-attack classification to improve intrusion detection performance using deep learning approaches
Ding et al. Towards backdoor attack on deep learning based time series classification
Čavojský et al. Comparative Analysis of Feed-Forward and RNN Models for Intrusion Detection in Data Network Security with UNSW-NB15 Dataset
CN111737688B (zh) 基于用户画像的攻击防御***
Saaudi et al. Insider threats detection using CNN-LSTM model
CN116886398A (zh) 一种基于特征选择和集成学习的物联网入侵检测方法
Das et al. Ddos explainer using interpretable machine learning
CN116684138A (zh) 基于注意力机制的drsn和lstm的网络入侵检测方法
Bisogni et al. Multibiometric score-level fusion through optimization and training
CN114915496A (zh) 基于时间权重和深度神经网络的网络入侵检测方法和装置
Zaher et al. Brain Storm Optimization with Long Short Term Memory Enabled Phishing Webpage Classification for Cybersecurity
Shahane et al. A Survey on Classification Techniques to Determine Fake vs. Real Identities on Social Media Platforms
Wu et al. Intrusion Detection System Using a Distributed Ensemble Design Based Convolutional Neural Network in Fog Computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant