基于时频域信息融合的异常流量检测方法

本发明属于流量分析，更为具体地讲，涉及一种基于时频域信息融合的异常流量检测的方法。

背景技术：

1、异常流量检测是流量分析领域中的重要任务之一，它从给定的流量数据集中检测不正常的数据。异常流量检测任务的结果可进一步用于识别网络入侵行为。

2、目前，现有的异常流量检测方法主要有四类：基于分类技术、基于统计技术、基于信息论、基于聚类技术。然而，这几种检测方法单独使用都各有缺陷：依赖专家对于网络攻击特点的广泛知识的分类技术很难检测到新的类型的异常；基于统计技术的检测方法通常需要预先设定静态阈值来进行异常检测，这种方法无法适应网络流量的动态变化；基于信息论或聚类技术的分类方法在异常流量检测中容易产生较高的误报率。

技术实现思路

1、本发明的目的在于克服现有技术的不足，提供一种基于时频域信息融合的异常流量检测方法，通过提取数据流包级时域信息矩阵、流级时域信息矩阵和频域信息矩阵，构建得到数据流特征图像用于异常流量检测，以提高异常流量检测的准确性、效率和鲁棒性。

2、为了实现上述发明目的，本发明基于时频域信息融合的异常流量检测方法包括以下步骤：

3、s1：根据实际需要从网络中收集若干正常数据流和异常数据流作为数据流样本，对于每个数据流样本进行标签标注，如果属于正常流量，则令标签flag＝1，否则令标签flag＝0；

4、s2：提取得到数据流的包级时域信息矩阵和流级时域信息矩阵，具体方法为：根据实际需要设置m个数据包特征，m的值根据实际需要确定，对于每个数据流，分别提取每个数据包特征在前n个数据包的值pm,n，n＝0,1,...,n-1，m＝0,1,...,m-1，从而构建得到包级时域信息矩阵p：

5、

6、根据实际需要设置m个数据流特征，对于每个数据流，分别提取每个数据流特征在第0个至第n个数据包所构成数据流中的值fn,m，从而构建得到流级时域信息矩阵f：

7、

8、s3：基于每个数据流的包级时域信息矩阵p构建该数据流的频域信息矩阵ltm，具体方法为：

9、s3.1：按列对包级时域信息矩阵p进行最大最小归一化处理，得到归一化后的包级时域信息矩阵

10、s3.2：按列对归一化后的包级时域信息矩阵进行离散傅立叶变换，得到复数矩阵ftp；

11、s3.3：计算复数矩阵ftp中每个复数的模数，得到模矩阵ftpm；

12、s3.4：对模矩阵ftpm每个元素值ftpmm,n进行对数变换中得到对数值ltmm,n，将得到的对数矩阵ltm作为包级频域信息矩阵；

13、s4：对于每个数据流，分别将包级时域信息矩阵p、流级时域信息矩阵f和包级频域信息矩阵ltm分配给红、绿和蓝三个通道，构建一个三通道的彩色图像作为数据流特征图像；

14、s5：根据实际需要构建异常检测模型，其输入为数据流特征图像，输出为数据流是否正常的判定结果，将每个数据流样本的数据流特征图像作为输入，对应标签作为期望输出，对异常检测模型进行训练，得到训练好的异常检测模型；

15、s6：从网络中抓取至少包含n个数据包的数据流，采用步骤s2中的相同方法提取得到包级时域信息矩阵和流级时域信息矩阵，采用步骤s3中的相同方法基于包级时域信息矩阵得到频域信息矩阵，采用步骤s4中的相同方法生成数据流特征图像，然后输入步骤s5训练好的异常检测模型，得到数据流是否正常的判定结果，完成数据流检测。

16、本发明基于时频域信息融合的异常流量检测方法，据实际需要从网络中收集若干正常数据流和异常数据流作为数据流样本，对每个数据流样本分别提取包级时域信息矩阵和流级时域信息矩阵，基于包级时域信息矩阵构建每个数据流的频域信息矩阵，根据三个信息矩阵生成数据流特征图像，根据实际需要构建异常检测模型并采用数据流样本进行训练，在异常流量检测时，从网络中抓取数据流并生成数据流特征图像，输入训练好的异常检测模型，得到异常流量检测结果。

17、本发明基于包级时域信息矩阵、流级时域信息矩阵和包级频域信息矩阵生成数据流特征图像，能够有效融合时频域信息，提高异常流量检测的准确性、效率和鲁棒性。

技术特征：

1.一种基于时频域信息融合的异常流量检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的异常流量检测方法，其特征在于，所述步骤s2中数据包特征共计6种，包括数据包的卡方统计量及对应p值、信息熵、包长、协议类型和上下行属性。

3.根据权利要求2所述的异常流量检测方法，其特征在于，所述步骤s2中数据流特征共计6种，包括上行包总长度、上下行包长度方差、下行包总长度、上下行包总长度、上行包长度方差和上下行包长度平均值。

4.根据权利要求1所述的异常流量检测方法，其特征在于，所述步骤s5中异常检测模型包括残差神经网络和全连接层，其中：

5.根据权利要求1所述的异常流量检测方法，其特征在于，所述步骤s5中异常检测模型包括残差神经网络、全连接网络、特征聚类模块和异常判定模块，其中：

技术总结
本发明公开了一种基于时频域信息融合的异常流量检测方法，据实际需要从网络中收集若干正常数据流和异常数据流作为数据流样本，对每个数据流样本分别提取包级时域信息矩阵和流级时域信息矩阵，基于包级时域信息矩阵构建每个数据流的频域信息矩阵，根据三个信息矩阵生成数据流特征图像，根据实际需要构建异常检测模型并采用数据流样本进行训练，在异常流量检测时，从网络中抓取数据流并生成数据流特征图像，输入训练好的异常检测模型，得到异常流量检测结果。采用本发明可以有效提高异常流量检测的准确性、效率和鲁棒性。

技术研发人员：罗绪成,叶李,张晋豪
受保护的技术使用者：电子科技大学
技术研发日：
技术公布日：2024/1/15