一种网络异常流量检测方法及装置

本发明涉及网络安全检测领域，尤其涉及一种网络异常流量检测方法及装置。

背景技术：

1、随着计算机技术的发展，针对网络实施各种攻击的新技术与新工具层出不穷。早期的各种网络安全保护方法大多是移植传统的主动式安全防御策略，但是，早期方案在资源受限和网络吞吐量较高的情况下无法满足对入侵行为的实时检测与管理。所以近些年对网络异常流量检测的研究逐渐成为了网络安全领域的热门方向，怎样保障系统的安全性，使之免遭外部的入侵或及时发现并制止攻击行为，已成为全世界从事网络安全产业的科研技术人员最关心的焦点问题。

2、论文“barbosa r r r,sadre r,pras a.towards periodicity based anomalydetection in scada networks[c]//proceedings of 2012ieee 17th internationalconference on emerging technologies&factory automation(etfa 2012).ieee,2012:1-4.”提出了基于网络流量周期性变化的异常测量方法，不仅可以检测出网络中存在的入侵行为，还可以在识别出入侵行为之后，依据流量周期的改变来进行异常流量检测。

3、论文“jaiswal s,saxena k,mishra a,et al.a knn-aco approach forintrusion detection using kddcup'99dataset[c]//2016 3rd internationalconference on computing for sustainable global development(indiacom).ieee,2016:628-633.”利用蚁群优化算法对knn模型进行了改进，在kdd99数据集下通过实验验证可以有效降低假阳性。

4、论文“barbosa r r r,sadre r,pras a.towards periodicity based anomalydetection in scada networks[c]//proceedings of 2012ieee 17th internationalconference on emerging technologies&factory automation(etfa 2012).ieee,2012:1-4.”提出了基于网络流量周期性变化的异常测量方法，但由于网络网络流量的变化周期具有很大的不确定性，通过使用滑动窗口和快速傅里叶变换(fft)构建的可视化的异常流量检测模型，有着较高的检测效率，但是在准确度上却有着较大的欠缺。

5、论文“jaiswal s,saxena k,mishra a,et al.a knn-aco approach forintrusion detection using kddcup'99dataset[c]//2016 3rd internationalconference on computing for sustainable global development(indiacom).ieee,2016:628-633.”利用蚁群优化算法对knn模型进行了改进，但是当数据规模较大时计算开销会大大增加，性能会比较差。

6、近些年来，虽然已有很多网络异常流量的检测方法，然而现阶段这些方法仍然面临2个主要的挑战：1)无法充分考虑网络流量的特点，例如：周期性、时序性；2)优化算法的使用与改进。

技术实现思路

1、本发明提出了一种网络异常流量检测方法及装置。针对灰狼优化算法迭代后期种群多样性差且容易陷入局部最优的问题，提出了一种具备自适应调整策略的灰狼优化算法(igwo)，根据网络流量的特点，选择gru模型，将实现的改进的优化算法运用到模型中，对模型的结构和参数进行优化，从而得到最优的网络模型，提高算法的执行速度和准确率。

2、本发明的技术方案如下：.一种网络异常流量检测方法，包括：

3、步骤一：初始化灰狼算法中灰狼种群信息，以及收敛因子a、第一系数向量a和第二系数向量c；其中灰狼位置信息中包含隐层神经元的个数u和网络的学习率l；

4、步骤二：将灰狼位置信息中隐层神经元的个数u和网络的学习率l带入到门控循环单元gru网络中，使用训练集完成模型训练；

5、步骤三：测试集通过gru网络测试的准确率作为灰狼个体的适应度；并计算灰狼种群的平均适应度；

6、步骤四：当前灰狼个体的适应度大于平均适应度时，使用灰狼优化算法gwo更新灰狼位置信息和收敛因子a、第一系数向量a和第二系数向量c的值；否则，使用改进的灰狼优化算法igwo更新灰狼位置信息和参数a、a和c的值；在进行位置信息更新时u和l的值相应发生变化；

7、步骤五：当达到最大迭代次数时，输出igwo-gru模型和α的位置信息，当前模型作为最优模型，从α的位置信息中得到u和l的最优值；否则跳转到步骤二直至迭代完成，然后输出模型和α的位置信息；最优模型或输出模型作为网络异常流量检测的模型。

8、所述gru网络的构建流程如下；

9、2.1捕获工控网络流量数据，并把数据分成训练集和测试集；其中所述训练集用于模型分类器参数的拟合，测试集用来检验模型分类器的性能；

10、2.2通过归一化函数将所述训练集和测试集限定在一定范围内，获得归一化处理后的训练集和测试集；

11、2.3确定gru网络的结构，所述结构包括输入层、隐层和输出层；将归一化处理后的训练集输入到gru网络中进行参数的训练；其中gru网络参数包括网络的学习率、隐层的层数以及隐层神经元的数量；输出层采用softmax作为激活函数，输出结果为某一类流量预测分类标签；

12、2.4训练gru网络，针对多分类任务采用交叉熵作为损失函数，通过反向传播改变网络的权重值；

13、其中，k是异常流量的种类数量，yi是真实分类标签，pi是gru网络的输出即预测分类流量标签；

14、2.5使用归一化之后的测试集对训练后的gru网络进行验证，以评估模型分类器的准确性。

15、所述隐层的层数初始值范围为1-2。

16、所述步骤四具体步骤如下；

17、4.1更新参数a、a和c的值：

18、

19、

20、a＝2a·r1-a，c＝2·r2

21、其中，fi为灰狼个体i的适应度；favg为平均适应度；；t是最大迭代次数；t是当前迭代次数；a和c是系数向量；a是收敛因子；r1和r2是[0,1]之间的随机向量。

22、4.2更新灰狼的位置x(t+1)：

23、

24、其中，α、β和δ分别为适应度前三的个体，其余个体为ω；xα、xβ和xδ分别代表α、β和δ的当前位置信息；dα、dβ和dβ分别代表灰狼种群中其他个体与α、β和δ与之间的距离，x1、x2、x3分别代表灰狼个体朝向α、β和δ的移步距离；c1、c2和c3是随机向量，a1、a2和a3是随机向量；x(t)代表当前灰狼个体的位置。

25、

26、其中fα，fβ和fδ为α，β和δ的适应度。

27、所述收敛因子a、第一系数向量a和第二系数向量c初始化计算式如下，

28、

29、其中，a是收敛因子，t是最大迭代次数，t是当前迭代次数。

30、所述步骤2.2中的归一化处理采用min-max归一化，归一化结果映射到[0，1]之间；

31、

32、对工控网络流量数据x的每一列使用min-max归一化方法进行处理，max代表一列中的最大值，min代表一列中的最小值。

33、所述步骤2.3中的softmax函数将输出层神经元的输出结果全部映射到(0，1)区间中，且所有结果的和为1，softmax函数为每个输出分类的结果都赋予一个概率值，表示属于每个类别的可能性，选取概率最大的作为最后预测分类标签；

34、

35、其中，ei代表第i个节点的输出值，j为输出节点的个数即分类的类别数量。

36、一种网络异常流量检测装置，包括：

37、网络模块，用于存储包括gru网络模块、igwo-gru网络模型；

38、存储器，用于存储网络流量数据以及计算机程序；

39、处理器，用于执行所述存储器中存储的计算机程序，当所述计算机程序被执行时，所述处理器用于：初始化灰狼算法中灰狼种群信息，以及收敛因子a、第一系数向量a和第二系数向量c；其中灰狼位置信息中包含隐层神经元的个数u和网络的学习率l；

40、所述灰狼位置信息中隐层神经元的个数u和网络的学习率l带入到门控循环单元gru网络模块中，使用训练集完成模型训练；

41、测试集通过gru网络模块测试的准确率作为灰狼个体的适应度；并计算灰狼种群的平均适应度；

42、当前灰狼个体的适应度大于平均适应度时，使用灰狼优化算法gwo更新灰狼位置信息和收敛因子a、第一系数向量a和第二系数向量c的值；否则，使用改进的灰狼优化算法igwo更新灰狼位置信息和参数a、a和c的值；在进行位置信息更新时u和l的值相应发生变化；

43、当达到最大迭代次数时，输出igwo-gru模型和α的位置信息，当前模型作为最优模型，从α的位置信息中得到u和l的最优值；否则继续模型训练直至迭代完成，然后输出模型和α的位置信息；最优模型或输出模型作为网络异常流量检测的模型。所述网络模块中gru网络模块的构建过程包括，捕获工控网络流量数据，划分成训练集和测试集；

44、所述训练集用于模型分类器参数的拟合；所述测试集用来检验模型分类器的性能；

45、通过归一化函数将所述训练集和测试集限定在一定范围内，获得归一化处理后的训练集和测试集；

46、所述gru网络模块的结构包括输入层、隐层和输出层；将归一化处理后的训练集输入到gru网络模块中进行参数的训练；其中gru网络参数包括网络的学习率、隐层的层数以及隐层神经元的数量；输出层采用softmax作为激活函数，输出结果为某一类流量预测分类标签；

47、训练gru网络模块，针对多分类任务采用交叉熵作为损失函数，通过反向传播改变网络的权重值；

48、其中，k是异常流量的种类数量，yi是真实分类标签，pi是gru网络的输出即预测分类流量标签；

49、使用归一化之后的测试集对训练后的gru网络模块进行验证，以评估模型分类器的准确性。

50、所述更新灰狼位置信息和收敛因子a、第一系数向量a和第二系数向量c具体为：

51、更新参数a、a和c的值：

52、

53、

54、a＝2a·r1-a，c＝2·r2

55、其中，fi为灰狼个体i的适应度；favg为平均适应度；；t是最大迭代次数；t是当前迭代次数；a和c是系数向量；a是收敛因子；r1和r2是[0,1]之间的随机向量。

56、更新灰狼的位置x(t+1)：

57、

58、其中，α、β和δ分别为适应度前三的个体，其余个体为ω；xα、xβ和xδ分别代表α、β和δ的当前位置信息；dα、dβ和dδ分别代表灰狼种群中其他个体与α、β和δ与之间的距离，x1、x2、x3分别代表灰狼个体朝向α、β和δ的移步距离；c1、c2和c3是随机向量，a1、a2和a3是随机向量；x(t)代表当前灰狼个体的位置；

59、

60、其中fα，fβ和fδ为α，β和δ的适应度。

61、所述收敛因子a、第一系数向量a和第二系数向量c初始化计算式如下，

62、a＝2a·r1-a，c＝2·r2

63、其中，a是收敛因子，t是最大迭代次数，t是当前迭代次数。

64、本发明的有益效果：本发明从网络流量时序性、周期性的特点出发，提出了基于igwo-gru的网络异常流量检测算法。本发明提出的新算法针对原算法进行了两点改进：第一点：原算法在进行位置更新的时候没有考虑最优解、优解、次优解所占的比重，因此本发明提出了基于权重的自适应位置调整策略，通过建立一个与适应度成比例的概率分布来求解最优解、优解、次优解和种群平均适应度。通过个体适应度与平均适应度的关系来选择位置更新的方式。第二点：将原本参数a的线性衰减修改为了非线性衰减，以提高全局搜索次数的占比。全局搜索次数越多，算法的全局搜索能力越强，越不容易陷入局部最优解。

65、本发明针对网络流量周期性、时序性的特点，采用门控循环单元与本发明提出的自适应灰狼优化算法相结合的异常检测模型来对异常流量进行分类。使用改进后的灰狼优化算法对神经网络的参数以及网络的结构进行优化，不仅能提高检测的速度还能提高检测的准确率。