(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115174178A(43)申请公布日2022.10.11(21)申请号202210747592.8(22)申请日2022.06.28(71)申请人南京邮电大学地址210003江苏省南京市鼓楼区新模范马路66号(72)发明人王攀李泽一(74)专利代理机构南京经纬专利商标代理有限公司32200专利代理师陈月菊(51)Int.Cl.H04L9/40(2022.01)G06N3/04(2006.01)G06N3/08(2006.01)G06K9/62(2022.01)权利要求书2页说明书6页附图4页(54)发明名称基于生成对抗网络的半监督网络流量异常检测方法(57)摘要本发明提供了一种基于生成对抗网络的半监督网络流量异常检测方法，首先将网络流量特征进行工程化，即对于字符特征使用one‑hot编码，对于数值特征用归一化处理，再将处理后的特征输入聚合模块中形成新特征进入生成对抗网络，最后通过计算生成对抗网络中两个隐藏向量的重构误差判断流量是否异常。本发明的方法能将数据从高维转向低维空间的同时能更加有效地保留流量特征信息，在解决有监督深度学习无法识别未知流量的同时提升异常网络流量检测的精确度。CN115174178ACN115174178A权利要求书1/2页1.一种基于生成对抗网络的半监督网络流量异常检测方法，其特征在于，包括：步骤1，对网络流量数据进行流量计算，形成网络流量特征记录；步骤2，对网络流量特征记录中的非数值型特征进行独热编码处理，对网络特征流量记录中的数值型特征进行归一化处理，得到网络流特征数据；步骤3，将网络流特征数据输入特征聚合模块，对流特征向量进行多维度的特征空间映射至低维度的特征空间，得到聚合网络流量特征；步骤4，聚合网络流量特征映射到卷积空间，将聚合网络流量特征卷积压缩进入隐藏空间，得到聚合网络流量特征的隐藏特征向量；步骤5，将隐藏特征向量对隐藏空间进行反卷积回溯，经过维度扩张后形成重构回溯空间；步骤6，将重构回溯空间进行卷积压缩进入隐藏空间，重构回溯空间压缩后得到新的隐藏特征向量；步骤7，计算步骤4得到的隐藏特征向量和步骤6得到的新的隐藏特征向量之间的欧式距离，若欧式距离＞阈值，则该网络流量是异常流量，若欧式距离≤阈值，则该网络流量是正常流量。2.根据权利要求1所述的基于生成对抗网络的半监督网络流量异常检测方法，其特征在于，步骤2中对数值型特征使用最值归一化处理，具体为：将数值型特征的最大值和最小值成比例映射入[0,1]范围中，公式如下：其中，为x经过最值归一化处理后的值，x为原始值，min(x)为数值型特征的最小值，max(x)为数值型特征的最大值。3.根据权利要求1所述的基于生成对抗网络的半监督网络流量异常检测方法，其特征在于，步骤3中的特征聚合模块包括一层编码器，所述编码器的神经元参数为77*32，将流特征向量映射为32维的特征向量。4.根据权利要求1所述的基于生成对抗网络的半监督网络流量异常检测方法，其特征在于，步骤4中的卷积空间包括两个卷积维度压缩模块和一个反卷积升维模块。5.根据权利要求4所述的基于生成对抗网络的半监督网络流量异常检测方法，其特征在于，所述卷积维度压缩模块包括四层卷积网络层，前三层卷积网络层的网络结构相同，卷积核的大小为4、BatchNorm1d和LeakyRelu，第四层卷积网络层的卷积核大小为4，卷积维度压缩模块输出batch*100*1的隐藏特征向量。6.根据权利要求4所述的基于生成对抗网络的半监督网络流量异常检测方法，其特征在于，所述反卷积升维模块包括四层反卷积网络层，前三层反卷积网络层的网络结构相同，卷积核的大小依次为4、BatchNorm1d和LeakyRelu，第四层反卷积网络层的卷积核是反卷积层加上Tanh函数，反卷积升维模块输出batch*1*32的回溯空间。7.根据权利要求1所述的基于生成对抗网络的半监督网络流量异常检测方法，其特征在于，步骤7中的欧式距离使用归一化均方误差计算，公式为：2CN115174178A权利要求书2/2页其中，yi代表第i个样本的特征值，代表第i个样本的最大特征值，代表第i个样本的最小特征值，表示第i号样本特征的均值，表示第i号样本特征的最小值，表示第i号样本特征的最大值，n表示样本的总数。3CN115174178A说明书1/6页基于生成对抗网络的半监督网络流量异常检测方法技术领域[0001]本发明涉及网络异常检测技术领域，具体但不限于涉及一种基于生成对抗网络的半监督网络流量异常检测方法。背景技术[0002]随着互联网的快速发展，网络攻击事件也频频发生。隐私保护技术能让恶意攻击逃避深度报文检测。而传统机器学习算法通常需要人工选择特征，耗时费力。目前基于异常的网络流量研究多是有监