一种基于改进Transformer重构模型的网络流量无监督异常检测方法
摘要文本
本发明涉及一种基于改进Transformer重构模型的网络流量无监督异常检测方法,属于网络安全与人工智能领域。本发明采用无监督学习的方式训练检测模型。采用正常网络流量样本训练改进的Transformer重构模型,以捕获正常样本在时域和频域上所表现出来的时空分布特征。最后,通过重构误差阈值以区分正常与异常网络流量。相比有监督异常检测模型,本发明检测性能更高,鲁棒性性更强。
申请人信息
- 申请人:中国人民解放军61660部队
- 申请人地址:100840 北京市海淀区复兴路20号
- 发明人: 中国人民解放军61660部队
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种基于改进Transformer重构模型的网络流量无监督异常检测方法 |
| 专利类型 | 发明申请 |
| 申请号 | CN202311791348.2 |
| 申请日 | 2023/12/24 |
| 公告号 | CN117768207A |
| 公开日 | 2024/3/26 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 中国人民解放军61660部队 |
| 发明人 | 黄河; 尹韧达; 廖建华; 汪文晓; 荣星; 王平; 李彦琛 |
| 地址 | 北京市海淀区复兴路20号 |
专利主权项内容
1.一种基于改进Transformer重构模型的网络流量无监督异常检测方法,其特征在于,该方法包括:采用基于Transformer架构的重构模型,首先将位置编码信息添加至输入数据中,将其转化为时域数据,之后将时域数据输入改造的Transformer重构模型中;改造的Transformer架构包括:重构编码器和重构解码器;重构编码器共有N层,每层均包括:频率增强块(Frequency Enhanced Block, FEB)、级数分解块(Series Decomposition Block, SDB)和前馈网络(Feed Forward, FFD);重构解码器采用M层结构,每层均包括:频率增强块(Frequency Enhanced Block, FEB)、级数分解块(Series Decomposition Block, SDB)和前馈网络(Feed Forward, FFD),以及用于连接的编码器与解码器的频率增强注意力模块(Frequency EnhancedAttention, FEA);重构模型的输入采用窗口右移逐步输出机制,在未获得完整的重构输出前,所输出的结果将添加位置编码信息转化为时域表示输入至重构模型的解码器中,在输入解码器前,采用傅里叶变换将重构输出的时域表示转化为频域表示一同输入至重构解码器中,一同完成对下一个时间窗口的重构;最后,将重构模型的最终的重构输出和重构误差作为整体模型的目标函数,采用基于POT算法选择的阈值与重构误差判别异常数据,进而对重构模型进行优化。