為解決大多數(shù)網(wǎng)絡(luò)流量異常檢測方法準確度低、誤報率高等問題,提出一種基于長短期記憶網(wǎng)絡(luò)自編碼（LSTM-Autoencoder）的網(wǎng)絡(luò)流量異常檢測方法.首先,將真實網(wǎng)絡(luò)流量從數(shù)據(jù)包和會話流級別兩方面提取數(shù)據(jù)特征.為了豐富原始特征,采用離散小波變換（DWT）分解原始特征向量得到更高維特征.考慮真實網(wǎng)絡(luò)環(huán)境可能存在異常數(shù)據(jù),采用Grubbs準則對數(shù)據(jù)進行平滑操作,以防止非人為異常數(shù)據(jù)干擾訓練LSTM-Autoencoder模型.使用已訓練的LSTM-Autoencoder模型對訓練數(shù)據(jù)進行重構(gòu),通過分析重構(gòu)誤差分布確定檢測閾值.最后,對真實網(wǎng)絡(luò)流量進行測試,分析了模型結(jié)構(gòu)以及外部噪聲對檢測性能的影響,實驗結(jié)果驗證了所提方法的正確性.與其他基于數(shù)據(jù)重構(gòu)的檢測方法相比,所提方法具有更高的檢測準確度和更優(yōu)的檢測性能. 

【文章來源】：北京交通大學學報. 2020,44(02)北大核心CSCD

【文章頁數(shù)】：10 頁

【部分圖文】：

實現(xiàn)流程圖

根據(jù)式(3),一個輸入信號可分解為16個信號系數(shù)向量. 但是,分解后的系數(shù)向量較長,無法在后續(xù)計算中使用. 因此,使用這些數(shù)據(jù)向量的統(tǒng)計特征代表原始輸入向量的關(guān)鍵特征.即采用系數(shù)向量中元素的平均值和標準差來表示原始輸入信號.如圖2所示,以分解級別M=4為例展示DWT提取分解系數(shù)過程,其中Cd1～Cd4和Ca4為分解子信號的系數(shù).DWT提取特征通過對輸入原始信號進行分解擴展特征向量可實現(xiàn)對原始輸入信號的更深層次特征挖掘.則新的特征向量共含16(系數(shù))×2(均值和標準差)×D(原始特征向量維度) = 32D,其中D為17.1.3 基于Grubbs Criterion的特征數(shù)據(jù)預處理

式中:ft,it,ot分別為遺忘門、輸入門、輸出門,a,tanh為Sigmoid激活函數(shù),函數(shù)取值在[0,1];xt為t時刻的輸入,ht為t時刻的輸出,Ci和Cm為t時刻LSTM細胞狀態(tài)和備選細胞狀態(tài);Wf,Wi,Wc,Wo和bf,bi,bc,bo為計算過程中所需的權(quán)重及對應(yīng)的偏執(zhí).2.2 基于LSTM的自編碼網(wǎng)絡(luò)

【參考文獻】：
期刊論文
[1]一種基于核PCA的網(wǎng)絡(luò)流量異常檢測算法[J]. 曾建華.  計算機應(yīng)用與軟件. 2018(03)
[2]基于歷史與當前短時特征的異常流量檢測[J]. 李軼璋,王冼,段平,劉曉亞,陳陽,陳加忠.  計算機工程. 2017(12)



本文編號：3566722