结合二次特征提取和LSTM-Autoencoder的网络流量异常检测方法
发布时间:2022-01-03 18:02
为解决大多数网络流量异常检测方法准确度低、误报率高等问题,提出一种基于长短期记忆网络自编码(LSTM-Autoencoder)的网络流量异常检测方法.首先,将真实网络流量从数据包和会话流级别两方面提取数据特征.为了丰富原始特征,采用离散小波变换(DWT)分解原始特征向量得到更高维特征.考虑真实网络环境可能存在异常数据,采用Grubbs准则对数据进行平滑操作,以防止非人为异常数据干扰训练LSTM-Autoencoder模型.使用已训练的LSTM-Autoencoder模型对训练数据进行重构,通过分析重构误差分布确定检测阈值.最后,对真实网络流量进行测试,分析了模型结构以及外部噪声对检测性能的影响,实验结果验证了所提方法的正确性.与其他基于数据重构的检测方法相比,所提方法具有更高的检测准确度和更优的检测性能.
【文章来源】:北京交通大学学报. 2020,44(02)北大核心CSCD
【文章页数】:10 页
【部分图文】:
实现流程图
根据式(3),一个输入信号可分解为16个信号系数向量. 但是,分解后的系数向量较长,无法在后续计算中使用. 因此,使用这些数据向量的统计特征代表原始输入向量的关键特征.即采用系数向量中元素的平均值和标准差来表示原始输入信号.如图2所示,以分解级别M=4为例展示DWT提取分解系数过程,其中Cd1~Cd4和Ca4为分解子信号的系数.DWT提取特征通过对输入原始信号进行分解扩展特征向量可实现对原始输入信号的更深层次特征挖掘.则新的特征向量共含16(系数)×2(均值和标准差)×D(原始特征向量维度) = 32D,其中D为17.1.3 基于Grubbs Criterion的特征数据预处理
式中:ft,it,ot分别为遗忘门、输入门、输出门,a,tanh为Sigmoid激活函数,函数取值在[0,1];xt为t时刻的输入,ht为t时刻的输出,Ci和Cm为t时刻LSTM细胞状态和备选细胞状态;Wf,Wi,Wc,Wo和bf,bi,bc,bo为计算过程中所需的权重及对应的偏执.2.2 基于LSTM的自编码网络
【参考文献】:
期刊论文
[1]一种基于核PCA的网络流量异常检测算法[J]. 曾建华. 计算机应用与软件. 2018(03)
[2]基于历史与当前短时特征的异常流量检测[J]. 李轶璋,王冼,段平,刘晓亚,陈阳,陈加忠. 计算机工程. 2017(12)
本文编号:3566722
【文章来源】:北京交通大学学报. 2020,44(02)北大核心CSCD
【文章页数】:10 页
【部分图文】:
实现流程图
根据式(3),一个输入信号可分解为16个信号系数向量. 但是,分解后的系数向量较长,无法在后续计算中使用. 因此,使用这些数据向量的统计特征代表原始输入向量的关键特征.即采用系数向量中元素的平均值和标准差来表示原始输入信号.如图2所示,以分解级别M=4为例展示DWT提取分解系数过程,其中Cd1~Cd4和Ca4为分解子信号的系数.DWT提取特征通过对输入原始信号进行分解扩展特征向量可实现对原始输入信号的更深层次特征挖掘.则新的特征向量共含16(系数)×2(均值和标准差)×D(原始特征向量维度) = 32D,其中D为17.1.3 基于Grubbs Criterion的特征数据预处理
式中:ft,it,ot分别为遗忘门、输入门、输出门,a,tanh为Sigmoid激活函数,函数取值在[0,1];xt为t时刻的输入,ht为t时刻的输出,Ci和Cm为t时刻LSTM细胞状态和备选细胞状态;Wf,Wi,Wc,Wo和bf,bi,bc,bo为计算过程中所需的权重及对应的偏执.2.2 基于LSTM的自编码网络
【参考文献】:
期刊论文
[1]一种基于核PCA的网络流量异常检测算法[J]. 曾建华. 计算机应用与软件. 2018(03)
[2]基于历史与当前短时特征的异常流量检测[J]. 李轶璋,王冼,段平,刘晓亚,陈阳,陈加忠. 计算机工程. 2017(12)
本文编号:3566722
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3566722.html
