Nothing Special   »   [go: up one dir, main page]

CN113259331B - 一种基于增量学习的未知异常流量在线检测方法及系统 - Google Patents

一种基于增量学习的未知异常流量在线检测方法及系统 Download PDF

Info

Publication number
CN113259331B
CN113259331B CN202110472804.1A CN202110472804A CN113259331B CN 113259331 B CN113259331 B CN 113259331B CN 202110472804 A CN202110472804 A CN 202110472804A CN 113259331 B CN113259331 B CN 113259331B
Authority
CN
China
Prior art keywords
unknown
module
flow
class
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110472804.1A
Other languages
English (en)
Other versions
CN113259331A (zh
Inventor
杜海舟
王士维
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai University of Electric Power
Original Assignee
Shanghai University of Electric Power
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai University of Electric Power filed Critical Shanghai University of Electric Power
Priority to CN202110472804.1A priority Critical patent/CN113259331B/zh
Publication of CN113259331A publication Critical patent/CN113259331A/zh
Application granted granted Critical
Publication of CN113259331B publication Critical patent/CN113259331B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Medical Informatics (AREA)
  • Image Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于增量学习的未知异常流量在线检测方法及系统,包括,基于深度学习构建初始分类模型,并利用Softmax分类器对初始分类模型进行初始训练;通过未知检测模块判断输入的数据样本为已知类别还是未知类别,而后自动标记未知类别的样本特征,并将样本特征添加到网络更新模块和缓冲区模块;通过网络更新模块更新训练初始分类模型,将未知类别转换为已知类别;通过缓冲区模块存储未知类别的样本特征和标签,以适应在线模式和帮助区分未知异常的类型;本发明通过增量训练的方式,实现对新样本的学习以及模型的更新,和实现了对未知异常进行识别;同时提高了未知异常流量检测的准确度和速度。

Description

一种基于增量学习的未知异常流量在线检测方法及系统
技术领域
本发明涉及机器学习网络异常检测的技术领域,尤其涉及一种基于增量学习的未知异常流量在线检测方法及系统。
背景技术
网络流量异常检测问题是网络安全研究工作中的一个重要课题,目前关于网络异常流量的检测的研究大都是基于一个封闭的场景,即所有的类别都是已知的。然而在现实网络环境中,未知异常流量的检测是一个基于开放集的场景,即可能会遇到未知(先前未见过)类别的流量数据。未知异常流量的检测对于维护网络安全具有重要意义。
虽然基于开放集的未知异常检测方法取得了一些显著的效果,然而这些方法仅能判别出已知或未知,而无法区分出不同未知异常的类型。同时,这些方法的模型训练需要大量时间,无法满足网络对于实时检测未知异常的需求。因此,如何判别已知与未知、区分不同未知异常的类型以及在线检测未知异常是未知异常流量检测问题面临的三个重要难点。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明提供了一种基于增量学习的未知异常流量在线检测方法,能够解决现有技术无法区分出不同未知异常的类型和需要大量时间训练模型的问题。
为解决上述技术问题,本发明提供如下技术方案:包括,基于深度学习构建初始分类模型,并利用Softmax分类器对所述初始分类模型进行初始训练;通过未知检测模块判断输入的数据流量样本为已知类别还是未知类别,而后自动标记未知类别的流量样本特征,并将所述流量样本特征添加到网络更新模块和缓冲区模块;通过网络更新模块更新训练所述初始分类模型,将所述未知类别转换为所述已知类别;通过缓冲区模块存储所述未知类别的流量样本特征和标签,当输入流量样本被检测为所述未知类别时,需要再次与缓冲区模块的未知类别的流量样本进行比较,若在缓冲区中发现流量样本特征为所述已知类别,则输出流量样本所属的类;否则,添加流量样本至所述缓冲区模块。
作为本发明所述的基于增量学习的未知异常流量在线检测方法的一种优选方案,其中:构建所述初始分类模型包括,所述初始分类模型包括卷积神经网络和长短期记忆人工神经网络,利用交叉熵作为初始分类模型的损失函数,根据所述损失函数并利用Softmax分类器对所述初始分类模型进行初始训练。
作为本发明所述的基于增量学习的未知异常流量在线检测方法的一种优选方案,其中:判断输入的数据流量样本包括,根据下式计算每个流量样本特征fi与每个类别原型pj之间的欧氏距离,获得距离分布矩阵Dist:
Figure GDA0003711926840000021
基于平均距离分布矩阵构建阈值函数,根据所述阈值函数判别输入的数据流量样本为已知类别还是未知类别;其中,i=1,…,S为每一批特征的流量样本数,j=1,…,n为原型的类别数,ε为设置的参数。
作为本发明所述的基于增量学习的未知异常流量在线检测方法的一种优选方案,其中:所述阈值函数包括,
Figure GDA0003711926840000022
ρi=λ*θi
其中,θi为阈值,Mij为类别j的第i个被正确分类的流量样本的最大置信度值,z为正确分类的流量样本集个数,λ为经验参数;当流量样本的所有置信度值都小于阈值ρi时,则认为该流量样本是未知的。
作为本发明所述的基于增量学习的未知异常流量在线检测方法的一种优选方案,其中:还包括,利用Kmeans聚类策略对未知类别的流量样本进行聚类,并将每类流量样本的权重添加到初始分类模型的网络层中,以辅助初始分类模型的训练与更新。
作为本发明所述的基于增量学习的未知异常流量在线检测方法的一种优选方案,其中:更新训练所述初始分类模型包括,在每次迭代训练时对得到的原型与新流量样本特征之间的距离分布进行均值归一化,获得权重分布[α123,…,αHH+1,…,,αH+G];其中[α123,…,αH]为已知类别的权重分布,[αH+1,…,,αH+G]为未知类别的权重分布,且
Figure GDA0003711926840000031
将所述未知类别的权重分别添加到初始分类模型的最后一层,完成对初始分类模型的更新训练。
作为本发明所述的基于增量学习的未知异常流量在线检测方法的一种优选方案,其中:所述缓冲区模块包括,假设在第T次检测时发现了m种新类别,缓冲区模块中包含的信息如下式:
Figure GDA0003711926840000032
其中,BT是第T次检测时缓冲区的信息fu是未知流量样本U的特征,lu是U的类别标签,WT代表第T次的权重向量。
作为本发明所述的基于增量学习的未知异常流量在线检测方法的一种优选方案,其中:所述交叉熵包括,
Figure GDA0003711926840000033
其中,L为交叉熵损失函数;N为流量样本数;M为类别数;yic为指示变量,若类别c和观测流量样本i的类别相同,所述指示变量为1,否则为0;pic为对于观测流量样本i属于类别c的预测概率。
作为本发明所述的基于增量学习的未知异常流量在线检测系统的一种优选方案,其中:包括,初始训练模块,用于构建和训练初始分类模型,并用于判断输入流量样本是已知类别还是未知类别;增量训练模块与所述初始训练模块连接,能够根据初始训练模块判断获得的未知类别流量样本学习新流量样本和识别未知异常。
作为本发明所述的基于增量学习的未知异常流量在线检测系统的一种优选方案,其中:所述增量训练模块包括未知检测模块、网络更新模块和缓冲区模块;所述未知检测模块,用于判断初始训练模块输出的流量样本是已知类别还是未知类别,和用于自动标记未知类别的流量样本特征;网络更新模块与所述未知检测模块连接,用于更新训练初始分类模型和用于将所述未知类别转换为所述已知类别;缓冲区模块分别与所述未知检测模块、网络更新模块连接,用于存储所述未知类别的流量样本特征和标签,和用于更新所述网络更新模块。
本发明的有益效果:本发明通过增量训练的方式,实现对新流量样本的学习以及模型的更新,和实现了对未知异常进行识别;同时提高了未知异常流量检测的准确度和速度。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明第一个实施例所述的基于增量学习的未知异常流量在线检测方法的流程示意图;
图2为本发明第一个实施例所述的基于增量学习的未知异常流量在线检测方法的初始训练阶段示意图;
图3为本发明第一个实施例所述的基于增量学习的未知异常流量在线检测方法的未知检测模块运行原理示意图;
图4为本发明第一个实施例所述的基于增量学习的未知异常流量在线检测方法的网络更新模块运行原理示意图;
图5为本发明第二个实施例所述的基于增量学习的未知异常流量在线检测系统的模块结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1~图4,为本发明的第一个实施例,该实施例提供了一种基于增量学习的未知异常流量在线检测方法,包括:
S1:基于深度学习构建初始分类模型,并利用Softmax分类器对初始分类模型进行初始训练。
其中需要说明的是,本实例使用UNSW-NB15数据集进行模型的训练和流量样本的识别,该数据集包含九种类型的攻击,分别是Fuzzers,Analysis,Backdoor,DoS,exploit,Generic,Reconnaissance,Shellcode和Worms;本实施例用正常数据和Generic异常作为已知流量样本来训练初始分类模型,如图2所示,用剩余的8个异常来评估未知流量样本的检测能力,并将正常数据标记为0,将九种异常类型依次标为1~9。
在构建初始分类模型前,首先对输入的流量样本数据进行预处理,通过机器学习模块sklearn中LabelEncoder()函数将UNSW-NB15数据集中的非数值型的数据处理成数值型的形式,然后使用MinMaxScaler()函数对数据进行归一化处理。
本实施例构建的初始分类模型由卷积神经网络和长短期记忆人工神经网络组成,利用初始分类模型学习已知的输入数据的特征;在初始分类模型的初始训练阶段,利用交叉熵作为初始分类模型的损失函数,根据该损失函数并利用Softmax分类器对初始分类模型进行初始训练。
交叉熵的表达式如下:
Figure GDA0003711926840000061
其中,L为交叉熵损失函数;N为流量样本数;M为类别数;yic为指示变量,若类别c和观测流量样本i的类别相同,指示变量为1,否则为0;pic为对于观测流量样本i属于类别c的预测概率。
S2:通过未知检测模块判断输入的数据流量样本为已知类别还是未知类别,而后自动标记未知类别的流量样本特征,并将流量样本特征添加到网络更新模块和缓冲区模块。
输入的数据流量样本包括已知类别和未知类别,由于原型学习可以提高类之间的差异,本实施例将原型学习引入到开放集识别任务中,进一步利用原型来检测未知类别。
(1)首先根据下式计算每个流量样本特征fi与每个类别原型pj之间的欧氏距离,获得距离分布矩阵Dist:
Figure GDA0003711926840000062
其中,i=1,…,S为每一批特征的流量样本数,j=1,…,n为原型的类别数,对特征与原型之间的距离取倒数,使接近原型的特征获得更大的概率值,并设置参数ε=0.001避免出现被零除的情况。
(2)基于平均距离分布矩阵构建阈值函数,根据阈值函数判别输入的数据流量样本为已知类别还是未知类别;
阈值函数的表达式如下:
Figure GDA0003711926840000071
ρi=λ*θi
其中,θi为阈值,Mij为类别j的第i个被正确分类的流量样本的最大置信度值,z为正确分类的流量样本集个数,λ为经验参数;
当流量样本的所有置信度值都小于阈值ρi时,则认为该流量样本是未知的。
(3)利用Kmeans聚类策略对未知类别的流量样本进行聚类,并将每类流量样本的权重添加到初始分类模型的网络层中,以辅助初始分类模型的训练与更新。
通过对未知流量样本进行聚类,进一步寻求潜在的不同类别,帮助检测未知;假设第T次训练的未知集合为UT,使用Kmeans聚类算法将UT划分为h个簇,即{Cluster1,Cluster2,…,Clusterh},并将每一类流量样本的权重信息添加到网络层中,以帮助初始分类模型的训练与更新。
S3:通过网络更新模块更新训练初始分类模型,将未知类别转换为已知类别。
更新训练初始分类模型的步骤如下:
(1)在每次迭代训练时对得到的原型与新流量样本特征之间的距离分布进行均值归一化,获得权重分布[α123,…,αHH+1,…,,αH+G];
其中[α123,…,αH]为已知类别的权重分布,[αH+1,…,,αH+G]为未知类别的权重分布,且
Figure GDA0003711926840000072
(2)将未知类别的权重分别添加到初始分类模型的最后一层,完成对初始分类模型的更新训练。
S4:通过缓冲区模块存储未知类别的流量样本特征和标签,当输入流量样本被检测为未知类别时,需要再次与缓冲区模块的未知类别的流量样本进行比较,若在缓冲区中发现流量样本特征为已知类别,则输出流量样本所属的类;否则,添加流量样本至缓冲区模块。
为避免由于网络更新不及时而导致检测到的未知信息不能有效利用,本实施例设置了缓冲区模块(Buffer,缓冲区)来存储当前时刻已经检测到的未知信息,以适应在线模式和帮助区分未知异常的类型,缓冲区模块的工作运行原理可见图4。
假设在第T次检测时发现了m种新类别,缓冲区模块中包含的信息可表示为:
Figure GDA0003711926840000081
其中,BT是第T次检测时缓冲区的信息fu是未知流量样本U的特征,lu是U的类别标签,WT代表第T次的权重向量。
当输入流量样本被检测为未知时,需要再次与缓冲区模块中的流量样本进行比较,以了解该未知是否曾经出现过;如果在缓冲区模块中发现该流量样本为已知类别,则输出流量样本所属的类;否则,该流量样本则被认为是一个新的未知添加到缓冲区模块中;随着网络更新模块的不断更新,缓冲区模块中的异常不断得到更新,异常种类也不断增加,最终可以输出不同类型的异常检测结果。
为了对本方法中采用的技术效果加以验证说明,本实施例选择基于深度学习的DNN方法、Open-CNN方法和采用本方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
利用准确度(Accuracy)、F1-Score,分别将本方法与基于深度学习的DNN方法、Open-CNN方法在5种未知异常类型(Dos_Hulk、Dos、Exploits、Fuzzers、和Reconnaissance)上进行对比实验。
模型训练过程中使用Adam作为优化器来执行梯度下降,并设置早停以避免出现过拟合的现象;子采样大小batchsize设为256,epoch设为30,将已知流量样本分为两部分,其中50%作为初始训练数据,用于训练初始分类模型;另外50%用于增量训练,在增量训练阶段,测试流量样本包括已知流量样本和未知流量样本,用来验证模型的有效性;另外,为了避免实验结果的偶然性,对上述指标取10次独立运行的平均结果,实验结果如表1所示。
表1:对比实验结果。
Figure GDA0003711926840000082
Figure GDA0003711926840000091
另外,在UNSW-NB15数据集上,通过与离线模式下的运行时间进行对比,来评估本方法的在线检测性能;由于离线模式下,训练后的模型可以一次性检测出多种类型的异常,在线模式是边训练边检测,故离线模式的运行时间对应在线模式下各类型异常检测的总时间,结果如表2所示。
表2:运行时间对比结果。
Figure GDA0003711926840000092
由表1和表2可知,除了Dos_Hulk类型的异常,本方法在检测未知异常类型的获得了较好的效果,在准确度、F1-core和运行时间指标上都有较大提高;由此,可以证明本发明方法有效地提高了未知异常流量检测的准确度和速度。
实施例2
参照图5,为本发明的第二个实施例,该实施例不同于第一个实施例,提供了一种基于增量学习的未知异常流量在线检测系统,包括:
初始训练模块100,用于构建和训练初始分类模型,并用于判断输入流量样本是已知类别还是未知类别;其中,初始训练模块100通过Softmax分类器训练初始分类模型。
增量训练模块200与初始训练模块100连接,能够根据初始训练模块100判断获得的未知类别流量样本学习新流量样本和识别未知异常;具体的,增量训练模块200包括未知检测模块201、网络更新模块202和缓冲区模块203;未知检测模块201,用于判断初始训练模块100输出的流量样本是已知类别还是未知类别,和用于自动标记未知类别的流量样本特征;网络更新模块202与未知检测模块201连接,用于更新训练初始分类模型和用于将未知类别转换为已知类别;缓冲区模块203分别与未知检测模块201、网络更新模块202连接,用于存储未知类别的流量样本特征和标签,和用于更新网络更新模块202。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于增量学习的未知异常流量在线检测方法,其特征在于:包括,
基于深度学习构建初始分类模型,并利用Softmax分类器对所述初始分类模型进行初始训练;
通过未知检测模块判断输入的数据流量样本为已知类别还是未知类别,而后自动标记未知类别的流量样本特征,并将所述流量样本特征添加到网络更新模块和缓冲区模块;
通过网络更新模块更新训练所述初始分类模型,将所述未知类别转换为所述已知类别;
通过缓冲区模块存储所述未知类别的流量样本特征和标签,当输入流量样本被检测为所述未知类别时,将所述输入流量样本与缓冲区模块的未知类别的流量样本再次进行比较,若在缓冲区中发现流量样本特征为所述已知类别,则输出流量样本所属的类;否则,添加流量样本至所述缓冲区模块。
2.如权利要求1所述的基于增量学习的未知异常流量在线检测方法,其特征在于:构建所述初始分类模型包括,
所述初始分类模型包括卷积神经网络和长短期记忆人工神经网络,利用交叉熵作为初始分类模型的损失函数,根据所述损失函数并利用Softmax分类器对所述初始分类模型进行初始训练。
3.如权利要求2所述的基于增量学习的未知异常流量在线检测方法,其特征在于:判断输入的数据流量样本包括,
根据下式计算每个流量样本特征fi与每个类别原型pj之间的欧氏距离,获得距离分布矩阵Dist:
Figure FDA0003711926830000011
基于平均距离分布矩阵构建阈值函数,根据所述阈值函数判别输入的数据流量样本为已知类别还是未知类别;
其中,i=1,…,S为每一批特征的流量样本数,j=1,…,n为原型的类别数,ε为设置的参数。
4.如权利要求3所述的基于增量学习的未知异常流量在线检测方法,其特征在于:所述阈值函数包括,
Figure FDA0003711926830000021
ρi=λ*θi
其中,θi为阈值,Mij为类别j的第i个被正确分类的流量样本的最大置信度值,z为正确分类的流量样本集个数,λ为经验参数;
当流量样本的所有置信度值都小于阈值ρi时,则认为该流量样本是未知的。
5.如权利要求4所述的基于增量学习的未知异常流量在线检测方法,其特征在于:还包括,
利用Kmeans聚类策略对未知类别的流量样本进行聚类,并将每类流量样本的权重添加到初始分类模型的网络层中,以辅助初始分类模型的训练与更新。
6.如权利要求5所述的基于增量学习的未知异常流量在线检测方法,其特征在于:更新训练所述初始分类模型包括,
在每次迭代训练时对得到的原型与新流量样本特征之间的距离分布进行均值归一化,获得权重分布[α1,α2,α3,...,αH,αH+1,...,,αH+G];
其中[α1,α2,α3,...,αH]为已知类别的权重分布,[αH+1,...,,αH+G]为未知类别的权重分布,且
Figure FDA0003711926830000022
将所述未知类别的权重分别添加到初始分类模型的最后一层,完成对初始分类模型的更新训练。
7.如权利要求6所述的基于增量学习的未知异常流量在线检测方法,其特征在于:所述缓冲区模块包括,
假设在第T次检测时发现了m种新类别,缓冲区模块中包含的信息如下式:
Figure FDA0003711926830000023
其中,BT是第T次检测时缓冲区的信息fu是未知流量样本U的特征,lu是U的类别标签,WT代表第T次的权重向量。
8.如权利要求7所述的基于增量学习的未知异常流量在线检测方法,其特征在于:所述交叉熵包括,
Figure FDA0003711926830000024
其中,L为交叉熵损失函数;N为流量样本数;M为类别数;yic为指示变量,若类别c和观测流量样本i的类别相同,所述指示变量为1,否则为0;pic为对于观测流量样本i属于类别c的预测概率。
9.一种基于增量学习的未知异常流量在线检测系统,其采用了如权利要求8所述的基于增量学习的未知异常流量在线检测方法,其特征在于:包括,
初始训练模块(100),用于构建和训练初始分类模型,并用于判断输入流量样本是已知类别还是未知类别;
增量训练模块(200)与所述初始训练模块(100)连接,能够根据初始训练模块(100)判断获得的未知类别流量样本学习新流量样本和识别未知异常;
所述增量训练模块(200)包括未知检测模块(201)、网络更新模块(202)和缓冲区模块(203);
所述未知检测模块(201),用于判断初始训练模块(100)输出的流量样本是已知类别还是未知类别,和用于自动标记未知类别的流量样本特征;
网络更新模块(202)与所述未知检测模块(201)连接,用于更新训练初始分类模型和用于将所述未知类别转换为所述已知类别;
缓冲区模块(203)分别与所述未知检测模块(201)、网络更新模块(202)连接,用于存储所述未知类别的流量样本特征和标签,和用于更新所述网络更新模块(202)。
CN202110472804.1A 2021-04-29 2021-04-29 一种基于增量学习的未知异常流量在线检测方法及系统 Active CN113259331B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110472804.1A CN113259331B (zh) 2021-04-29 2021-04-29 一种基于增量学习的未知异常流量在线检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110472804.1A CN113259331B (zh) 2021-04-29 2021-04-29 一种基于增量学习的未知异常流量在线检测方法及系统

Publications (2)

Publication Number Publication Date
CN113259331A CN113259331A (zh) 2021-08-13
CN113259331B true CN113259331B (zh) 2022-10-11

Family

ID=77223428

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110472804.1A Active CN113259331B (zh) 2021-04-29 2021-04-29 一种基于增量学习的未知异常流量在线检测方法及系统

Country Status (1)

Country Link
CN (1) CN113259331B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113746841A (zh) * 2021-09-03 2021-12-03 天津芯海创科技有限公司 一种具备智能学习能力的高安全异构冗余结构
CN113807243B (zh) * 2021-09-16 2023-12-05 上海交通大学 一种基于对未知目标注意力的水上障碍物检测系统及方法
CN114329556B (zh) * 2021-12-30 2023-03-24 江苏瞭望神州大数据科技有限公司 一种具有自带芯片数据保护功能的一体机
CN115130102B (zh) * 2022-07-05 2024-06-11 西安电子科技大学 一种基于增量学习的在线自适应入侵检测方法
CN114861670A (zh) * 2022-07-07 2022-08-05 浙江一山智慧医疗研究有限公司 基于已知标签学习未知标签的实体识别方法、装置及应用
WO2024020933A1 (en) * 2022-07-28 2024-02-01 Intel Corporation Apparatus and method for patching embedding table on the fly for new categorical feature in deep learning
CN115580445B (zh) * 2022-09-22 2024-06-28 东北大学 一种未知攻击入侵检测方法、装置和计算机可读存储介质
CN116778217A (zh) * 2023-02-15 2023-09-19 南京林业大学 一种基于增量式学习的高光谱的杆状物识别方法
CN116915512B (zh) * 2023-09-14 2023-12-01 国网江苏省电力有限公司常州供电分公司 电网中通信流量的检测方法、检测装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107358257A (zh) * 2017-07-07 2017-11-17 华南理工大学 一种大数据场景下可增量学习的图像分类训练方法
CN108173708A (zh) * 2017-12-18 2018-06-15 北京天融信网络安全技术有限公司 基于增量学习的异常流量检测方法、装置及存储介质
CN111209563A (zh) * 2019-12-27 2020-05-29 北京邮电大学 一种网络入侵检测方法及系统
CN111368874A (zh) * 2020-01-23 2020-07-03 天津大学 一种基于单分类技术的图像类别增量学习方法
WO2020256738A1 (en) * 2019-06-21 2020-12-24 Schlumberger Technology Corporation Field development planning based on deep reinforcement learning

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10063575B2 (en) * 2015-10-08 2018-08-28 Cisco Technology, Inc. Anomaly detection in a network coupling state information with machine learning outputs
US11663067B2 (en) * 2017-12-15 2023-05-30 International Business Machines Corporation Computerized high-speed anomaly detection
CN108900432B (zh) * 2018-07-05 2021-10-08 中山大学 一种基于网络流行为的内容感知方法
CN111985601A (zh) * 2019-05-21 2020-11-24 富士通株式会社 用于增量学习的数据识别方法
CN111783997B (zh) * 2020-06-29 2024-04-23 杭州海康威视数字技术股份有限公司 一种数据处理方法、装置及设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107358257A (zh) * 2017-07-07 2017-11-17 华南理工大学 一种大数据场景下可增量学习的图像分类训练方法
CN108173708A (zh) * 2017-12-18 2018-06-15 北京天融信网络安全技术有限公司 基于增量学习的异常流量检测方法、装置及存储介质
WO2020256738A1 (en) * 2019-06-21 2020-12-24 Schlumberger Technology Corporation Field development planning based on deep reinforcement learning
CN111209563A (zh) * 2019-12-27 2020-05-29 北京邮电大学 一种网络入侵检测方法及系统
CN111368874A (zh) * 2020-01-23 2020-07-03 天津大学 一种基于单分类技术的图像类别增量学习方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
XIN YE,QIUYU ZHU.Class-Incremental Learning Based on Feature Extraction of CNN.《IEEE Access》.IEEE,2019,第7卷第42024-42031页. *

Also Published As

Publication number Publication date
CN113259331A (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
CN113259331B (zh) 一种基于增量学习的未知异常流量在线检测方法及系统
CN110070141B (zh) 一种网络入侵检测方法
Cheng et al. Fault detection and diagnosis for Air Handling Unit based on multiscale convolutional neural networks
CN114912612A (zh) 鸟类识别方法、装置、计算机设备及存储介质
CN111881722B (zh) 一种跨年龄人脸识别方法、系统、装置及存储介质
CN112215696A (zh) 基于时序归因分析的个人信用评估与解释方法、装置、设备及存储介质
CN113946218A (zh) 设备上的活动识别
CN113259332A (zh) 一种基于端到端的多类型网络流量异常检测方法及系统
CN105809119A (zh) 一种基于稀疏低秩结构多任务学习的行为识别方法
CN116305119A (zh) 基于预测指导原型的apt恶意软件分类方法和装置
Mikhaylenko et al. Analysis of the predicting neural network person recognition system by picture image
CN114925938A (zh) 一种基于自适应svm模型的电能表运行状态预测方法、装置
CN114095268A (zh) 用于网络入侵检测的方法、终端及存储介质
CN117407781B (zh) 基于联邦学习的设备故障诊断方法及装置
CN111860441B (zh) 基于无偏深度迁移学习的视频目标识别方法
Ferrari et al. Multi-objective symbolic regression to generate data-driven, non-fixed structure and intelligible mortality predictors using ehr: Binary classification methodology and comparison with state-of-the-art
CN116992937A (zh) 神经网络模型的修复方法和相关设备
CN115082735B (zh) 基于yolox和分类回归损失目标识别方法
CN111883226A (zh) 一种信息处理和模型训练方法、装置、设备及存储介质
CN117574098B (zh) 一种学习专注度分析方法以及相关装置
US12100486B2 (en) Identification of unknown genomes and closest known genomes
CN113537458B (zh) 一种有理式函数神经网络构建方法、系统及可读存储介质
CN118965097A (zh) 一种转动设备跨工况开集故障诊断方法及装置
Catto et al. M-DEW: Extending Dynamic Ensemble Weighting to Handle Missing Values
Ingle et al. Enhancing Model Robustness and Accuracy Against Adversarial Attacks via Adversarial Input Training.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20210813

Assignee: Shanghai Adisai Artificial Intelligence Technology Co.,Ltd.

Assignor: Shanghai University of Electric Power

Contract record no.: X2024310000012

Denomination of invention: An online detection method and system for unknown abnormal traffic based on incremental learning

Granted publication date: 20221011

License type: Common License

Record date: 20240116

EE01 Entry into force of recordation of patent licensing contract