一种基于生成对抗网络的网络流量异常检测方法

专利主权项内容

1.一种基于生成对抗网络的网络流量异常检测方法，其特征在于包括以下步骤：S1：在通信网络正常运行状态下和攻击状态下分别采集若干流量数据，其中每个流量数据对应的时长为T；根据实际需要确定N个特征信息及对应的编码，同时设置N个特征参数；对于每个流量数据，从中提取出对应特征信息，并计算特征参数，将特征信息编码和特征参数的值作为特征项，构成N维流量特征向量X＝{x, x, …, x}，其中，x表示第n个特征项的值，n＝1, 2, …, N，N＝N+N，根据该流量数据采集时通信网络的状态进行标签标注，从而得到流量数据集；1212Nn12S2：采用如下方式对流量数据进行预处理：S2.1：采用预设的数据清洗方法对流量数据集进行处理；S2.2：对流量数据集中的流量特征向量进行降维，得到降维后的流量数据向量X′＝{x′, x′, …, x′}，其中，x′表示降维后第m个特征项的值，m＝1, 2, …, M，M表示降维后的特征项数量；12MmS2.3：对流量数据集中的每个特征项进行数据归一化，得到归一化后的流量数据向量数据归一化的计算公式为：其中，x、分别表示第m个特征项归一化前后的值，x、x表示正常状态所有流量数据中该特征项的最大值和最小值；mm, maxm, minS2.4：对于每个降维后的流量数据向量将每个特征项数量复制K次，形成M×K维向量，然后将其转化为预设尺寸的二维矩阵，多余位置则采用0填充；建立归一化后特征值与像素值的映射关系，将二维矩阵转化为二维特征图像；S3：根据实际需要构建生成对抗网络，其中生成器的输入为流量数据对应的二维特征图像，输出为生成二维特征图像，判别器的输入为真实的二维特征图像或生成二维特征图像，输出为对应二维特征图像是否真实的判别结果；S4：将正常状态下的流量数据经过步骤S2得到的二维特征图像作为训练样本，对生成对抗网络进行训练；S5：分别将正常状态下和异常状态下的流量数据经过步骤得到的二维特征图像输入步骤S4训练好的生成器，对每个生成二维特征图像进行图像质量评估从而得到评价分数；根据正常状态下和异常状态下流量数据对应的评价分数，搜索得到评价分数阈值，使采用该评价分数阈值对流量数据集中流量数据的异常检测准确度最大；S6：当需要对通信网络进行网络流量异常检测时，从通信网络中采集时长为T的流量数据，然后提取N个特征项的值，构成N维流量特征向量Z＝{z, z, …, z}，其中z表示第n个特征项的值；采用步骤S2中的同样方法对流量特征向量Z＝{z, z, …, z}进行预处理，生成对应的二维特征图像，将其输入步骤S4训练好的生成网络，得到生成二维特征图像并进行质量评估得到评价分数，根据评价阈值得到异常检测结果。12Nn12N。马-克-数据