本发明涉及网络安全领域,一种基于相互对抗网络的恶意流量半监督检测方法。
背景技术:
1、在在现代网络环境中,恶意流量的检测是确保网络安全的重要手段。传统的恶意流量检测方法主要分为基于特征的检测和基于机器学习的异常检测。然而,随着网络复杂性的增加和新型恶意攻击的出现,传统方法面临诸多挑战,包括未知流量识别困难、数据集不平衡和阈值选择问题。
2、基于特征的检测方法依赖于已知的攻击特征和模式,当新的恶意攻击出现时,这些方法往往无法有效识别,导致检测准确率下降。
3、在恶意流量检测中,正常流量数据相对容易获取,而恶意流量数据往往难以获取且数量较少。这种数据集不平衡问题会导致模型在训练过程中对正常流量的学习较好,但对恶意流量的识别能力不足。
4、许多异常检测算法依赖于设置阈值来区分正常流量和异常流量。然而,如何设置一个合理的阈值是一个复杂的问题,过高或过低的阈值都会导致误报率或漏报率的增加。
5、近年来,生成对抗网络(gan)在异常检测领域取得了显著进展。gan通过生成对抗的方式,能够在无监督的情况下学习数据的分布,进而识别异常。然而,传统的gan模型在高维数据保留和重构能力方面仍存在不足。这是因为gan的生成器和判别器在训练过程中容易进入局部最优,导致生成的样本质量不高,无法有效捕捉高维数据的特征。
技术实现思路
1、针对以上现有技术的不足,本发明提供一种基于相互对抗网络的恶意流量半监督检测方法。本发明通过以下技术方案来实现。
2、一种基于相互对抗网络的恶意流量半监督检测方法,该方法包括如下步骤:
3、步骤1、采集流量包数据,将二进制的流量包数据通过解码方式形成可读的文件,然后保存,对于冗余包进行过滤;
4、步骤2、采用cicflowmeter方法提取流特征;
5、步骤3、利用相互对抗网络进行训练,在训练过程中,两个子网交替成为彼此的重构器和鉴别器,增强重构能力;
6、步骤3.1、采用线性对抗训练,在小批数据的两次迭代中,recae1作为recae2的判别网络,那么recae2作为第二次迭代的重构网络,对应recae1作为判别网络;
7、步骤3.2、采用倒置对抗训练,在小批量数据的两次迭代中,如果是recae1首先作为重构网络和recae2作为后来的重构网络;在两次迭代后的下一批小批数据中,recae2首先作为重构网络和recae1作为后来的重构网络;
8、步骤3.3、采用随机对抗训练,在小批数据的所有迭代中,通过随机因子控制两个recaes的角色;
9、步骤4、使用 nor_mse 阈值选择方法对每个正常流量和异常流量样本的重构误差距离进行验证,最后来确定阈值;
10、步骤5、判断异常分数得到最终的预测结果。
11、本发明提供的一种基于相互对抗网络的恶意流量半监督检测方法,与现有技术相比,具有以下有益效果:
12、提出的相互对抗网络为双子网模型,该模型的子网可作为重构器或判别器使用。同时,提出的一种新的相互对抗训练方法,在训练过程中交换子网络的角色,提高了模型的重构能力。改进的阈值选择方法,利用重构误差距离计算异常分数,提高了模型检测的准确性。
1.一种基于相互对抗网络的恶意流量半监督检测方法,其特征在于,该方法包括如下步骤:
2.根据权利要求1所述的基于相互对抗网络的恶意流量半监督检测方法,其特征在于,步骤3中,训练相互对抗网络的具体方法包括以下子步骤:
3.如权利要求1或2所述的基于相互对抗网络的恶意流量半监督检测方法,其特征在于,所述相互对抗网络模型包括两个相同的重构自动编码器子网,每个子网包含多层全连接层,编码器部分使用leakyrelu作为激活函数,解码器部分使用relu作为激活函数,并在隐藏层中添加dropout层以防止过拟合,在重构输出层使用tanh激活函数以增强输出的稳定性。
4.如权利要求1所述的基于相互对抗网络的恶意流量半监督检测方法,其特征在于,所述cicflowmeter方法通过计算网络流量的特征,将原始的pcap流量包转化为csv的数据格式,所提取的流特征包括但不限于时间特征、包特征和字节特征。
5.如权利要求1所述的基于相互对抗网络的恶意流量半监督检测方法,其特征在于,所述nor_mse阈值选择方法通过计算每个正常流量样本和异常流量样本的重构误差距离,利用公式对样本的重构误差进行归一化处理,以确定检测阈值。
6.根据权利要求1所述的基于相互对抗网络的恶意流量半监督检测方法,其特征在于,所述方法采用了一种新的相互对抗训练方法,在训练过程中交换子网络的角色,提高了模型的重构能力和异常检测性能。
