基于端口互動模式的入侵檢測模型*

徐科兵,陳贊波,鄒 翔,王則揚,王韜樾,5

(1.國網(wǎng)浙江省電力有限公司寧波供電公司,浙江 寧波 315000;2.寧波送變電建設有限公司永耀分公司,浙江 寧波 315000;3.國網(wǎng)浙江慈溪市供電有限公司,浙江 慈溪 315300;4.浙江華云信息科技有限公司,杭州 310000;5.天辰威科技(杭州)有限公司,杭州 310000)

0 引 言

隨著網(wǎng)絡流量多樣化和復雜化的日趨嚴重,網(wǎng)絡攻擊越來越難以實時監(jiān)測。近年來,安全事件頻繁發(fā)生。為了避免網(wǎng)絡攻擊所造成的嚴重損失,構建一個有效的入侵檢測模型以發(fā)掘海量流量數(shù)據(jù)中的已有特征規(guī)律無疑是其首要問題。深度學習作為機器學習的一個分支,可以通過訓練多層神經(jīng)網(wǎng)絡最大化地認知某一類事物的內在規(guī)律,對于發(fā)掘海量網(wǎng)絡流量數(shù)據(jù)中異常攻擊流量的內在規(guī)律具有獨特優(yōu)勢。

在入侵檢測所涉及的諸多問題中,對于異常流量的檢測方法是其主要研究方向,而設計一個能夠準確描述網(wǎng)絡流量的特征集則是提高檢測性能的關鍵點[1-2]。目前,已有的數(shù)據(jù)集包括KDD’99、NSL-KDD、UNSW-UB15等,具有較大的數(shù)據(jù)規(guī)模和豐富的特征集合,并且詳細地記錄了流量數(shù)據(jù)不同維度的屬性。利用神經(jīng)網(wǎng)絡可以挖掘上述數(shù)據(jù)集內部規(guī)律,從而實現(xiàn)異常攻擊檢測。

文獻[3-9]的研究為將深度學習應用于入侵檢測提供了廣闊的思路,但也存在以下一些問題:第一,鏈路層海量高速的流量性質決定了其入侵檢測模塊不能過于復雜,而以往研究為了提高分類精度,往往基于高維數(shù)據(jù)集進行神經(jīng)網(wǎng)絡訓練,即對于每一條會話包含大量屬性,從而導致當一個數(shù)據(jù)包到來時需要獲取其訓練時所需的詳細特征集,對實際應用提出了巨大的計算要求;第二,以往研究均基于大量非鏈路層信息進行神經(jīng)網(wǎng)絡訓練,而當攻擊者對這些信息進行偽裝時,神經(jīng)網(wǎng)絡的分類精度會受較大的影響;第三,實際流量中異常流量規(guī)模相對正常流量往往偏小,而以往研究所使用的數(shù)據(jù)集在訓練數(shù)據(jù)時則提供了大量的異常流量占比,例如NSL-KDD所提供的訓練集中,異常流量占總流量的46.52%,而在實際流量中該異常流量占比幾乎不可能實現(xiàn)。

針對上述問題,本文重點探討端口互動模式在鏈路層的映射(Port Interaction Mode in Data Link Layer,PIMDL)以實現(xiàn)對流量數(shù)據(jù)的量化表達,并以數(shù)據(jù)包的到達時間分布作為一維特征,對傳統(tǒng)基于高維流量特征集的訓練方法進行改進,并通過仿真實驗驗證了所提出的量化模型和改進算法的有效性。主要工作如下:

首先,提出了一種端口互動模式在鏈路層映射的詳細定義和量化表示方法,并使用相空間重構將PIMDL可視化以展示正常流量和異常流量的差異,從而證明其有效性。在此基礎上,使用自相關圖分別探究長會話和短會話各自的特征,并通過平衡引入偏差和樣本豐富度來確定樣本選取范圍,以便于選取對應的神經(jīng)網(wǎng)絡,使其最大程度地發(fā)掘正常流量和異常流量之間的差異。其次,給出了異常流量數(shù)據(jù)增強的方法,并針對長短會話各自特征設計了基于卷積層和長短時記憶層的神經(jīng)網(wǎng)絡,用來挖掘正常和異常流量端口互動模式之間的差異。在此基礎上,提出了一種改進入侵檢測算法,設計多模型評分機制對會話進行評估,將會話映射到三維模型空間內,使用支持向量機(Support Vector Machine,SVM)對模型空間內的會話完成流量分類。

1 PIMDL模型及其特性分析

1.1 PIMDL模型建立

在TCP/IP協(xié)議下的通信可以看作端口間的信息交互,即將一對端口間的信息交互過程稱為會話。在理想情況下該模式嚴格遵守TCP/IP協(xié)議規(guī)定,而在實際情況下由于高層協(xié)議、路由拓撲結構、不可控網(wǎng)絡延遲等影響,該模式在鏈路層會呈現(xiàn)出較為靈活的規(guī)律。從鏈路層的角度出發(fā),其數(shù)據(jù)包到達時間分布在一定程度上代表著端口間的互動模式,如圖1所示。

圖1 PIMDL形成

基于原始流量構建端口間會話的PIMDL模型如下:

首先,根據(jù)通信雙方的IP、端口號等信息,將網(wǎng)絡流量歸類為會話集C={c1,c2,…,cn},其中ci∈C為一對通信雙方間的會話。設tci表示ci的持續(xù)時間,并以ci的開始時刻為基準(零時刻)。設Δt為步長,將ci劃分為ni個時間段,ni=tci/Δt,如圖2所示。

圖2 PIMDL量化模型

表1 PIMDL矩陣

基于上述量化模型,可以通過統(tǒng)計其特征集的分布情況,進一步發(fā)掘其隱藏的高層互動模式,從而判斷PIMDL是否異常,以實現(xiàn)鏈路層的流量入侵檢測。

1.2 基于相空間重構的PIMDL有效性驗證

混沌時間序列是一種確定系統(tǒng)中出現(xiàn)的無規(guī)則的運動,而PIMDL受到網(wǎng)絡高層協(xié)議、網(wǎng)絡拓撲結構等確定因素的影響呈現(xiàn)出較為復雜的表現(xiàn)形式,因此,可以在一定程度上將其近似為混沌時間序列。基于嵌入定理,從一維混沌時間序列中重構一個與原動力系統(tǒng)在拓撲意義下一樣的相空間,其過程如下:

對于時間序列{xi|i=1,2,…,n},可以重構出其對應的高維相空間{yi|i=1,2,…,n-(dim-1)lag}。其中,lag為延遲時間位數(shù),dim為嵌入維度,yi={xi,xi+lag,…,xi+(dim-1)lag}。以下分別采用交互信息法和虛假鄰近法以確定lag和dim的取值。

1.2.1 lag取值確定

假設離散信息系統(tǒng)X={x1,x2,…,xn}。從系統(tǒng)中獲得的信息熵為

(1)

式中:Pr(xi)表示事件xi的概率。則隨機過程X、Y的交互信息為

I(X,Y)=H(X)+H(Y)-H(X,Y)。

(2)

式中:

(3)

式(3)中Pr(xi,yj)表示事件xi和yi的聯(lián)合概率。將xi根據(jù)lag分割成xi和xi+lag,且i=1,2,…,n-lag,則I(xi,xi+lag)等價于I(lag)。I(lag)=0表示xi+lag完全不可預測,即兩者完全不相關。隨著lag的增加,I(lag)第一個極小值表示了xi和xi+lag不相關的最大概率,因此,重構時選擇其前幾個極小值所對應的lag[10]。

圖3 交互信息變化情況

圖3中的橫軸表示延遲時間lag,縱軸表示相應lag取值下xi和xi+lag的互信息量I(lag)。圖中結果顯示,隨機抽取的樣本在交互信息到達第二個極小值時,延遲時間lag集中在1.8 s附近。因此,根據(jù)上述結果,互動模式相空間重構的延遲時間選擇為1.8 s。

1.2.2 dim取值確定

基于虛假鄰近法和重構相空間,在dim維相空間中,每一個矢量yi都有一個歐氏距離的最鄰近點(False Nearest Neighbors,FNN)。而對于實際的混沌時間序列,從dim的最小值2開始,計算虛假最鄰近點的比例,并逐漸增加dim取值,直到虛假最鄰近點的比例小于5%或其個數(shù)不再隨著dim的增加而減少時,可以認為混沌吸引子已經(jīng)完全打開,此時dim取值就是最終求得的嵌入維數(shù)[11]。

依據(jù)上述方法,為了確定重構互動模式下時序相空間的最佳嵌入維度,選取持續(xù)時間為500～600 s的會話,并將數(shù)據(jù)包個數(shù)取200～1 200,以125為間隔分成8組,對每組進行隨機抽樣,實驗結果如圖4所示。

圖4 FNN隨嵌入維度變化情況

圖4中橫軸表示嵌入維度dim,縱軸為在延遲時間lag=0.6 s時對應dim的相空間FNN數(shù)目。由圖4可知,FNN在dim=160時基本完全收斂,即認為在當前數(shù)集下,dim≥160時,混沌吸引子完全打開。

1.2.3 PIMDL有效性驗證

為了驗證提出的PIMDL模型有否有效,先對其進行可視化。針對正常流量和異常流量,均獲取數(shù)據(jù)包個數(shù)大于200且持續(xù)時間500～600 s的會話,取時間間隔Δt=0.6 s,將所有會話量化為表1所示的PIMDL矩陣。

根據(jù)1.2.1和1.2.2中對延遲時間位數(shù)和嵌入維度分析,取lag=1.8 s,dim=160,并獲取CICIDS-2017數(shù)據(jù)集[12]和CTU-13數(shù)據(jù)集[13]作為異常攻擊流量數(shù)據(jù)來源,結果如圖5所示。

圖5 正常&異常流量會話

由圖5可以看出正常流量顏色較為單一,而異常流量顏色較為鮮艷,且呈現(xiàn)多樣化。實驗結果與網(wǎng)絡環(huán)境的實際情況相符,即正常的端口間會話模式遵循嚴格的TCP/IP協(xié)議,有著一致的互動模式,而異常端口間會話模式?jīng)]有明顯的規(guī)律,其互動模式呈多樣化,且與正常模式保持較大差距。上述實驗表明,表1所提出的PIMDL對網(wǎng)絡流量的量化表達是有效的。

1.3 基于自相關圖的PIMDL一致性驗證

PIMDL可以看作基于時間序列的特征集,基于網(wǎng)絡會話的長度,可以將流量分為較長和較短會話兩類。由于數(shù)據(jù)特征決定著其神經(jīng)網(wǎng)絡類型的選取,因此,針對兩類會話分別探究其時間序列的自相關性,從而依據(jù)其各自的屬性構建神經(jīng)網(wǎng)絡。

對于每一組端口間會話的PIMDL矩陣,利用自相關圖對此狀態(tài)序列進行一致性驗證。自相關函數(shù)定義如下[14]:

(4)

式中:Xs、Xe表示從初始隨機過程X中分別截取開始時刻為ts和te(ts

(5)

設延遲時間τ=te-ts,以ts為基準時刻,即0時刻,則式(4)可以轉化為

(6)

式(6)中對于具有固定長度的隨機過程X,當延遲時間τ增加時,為了保證Xs和Xe容量相同且連續(xù),兩者的容量都會減小。

此外,若兩個隨機過程的自相關函數(shù)值處在置信區(qū)間內時,則認為兩個隨機過程在一定置信度下不相關。自相關函數(shù)置信區(qū)間的定義如下[15]:

(7)

式中:acc表示置信度;L表示樣本容量;erf()為誤差函數(shù),

(8)

圖6 短會話下的自相關圖

圖6中,橫軸表示延遲時間τ,縱軸表示Xs和Xe的皮爾遜相關,淺藍色區(qū)域為對應τ下置信度為95%的置信區(qū)間。由圖6可以看出,隨著延遲時間的增加,自相關圖出現(xiàn)了“截尾”現(xiàn)象,即序列的自相關值收斂在了置信區(qū)間內。實驗結果說明τ增大到一定程度時,Xs和Xe不再具有明顯的相關性,即序列不再表現(xiàn)出明顯的自相關性。這種現(xiàn)象下的時間序列稱為“平穩(wěn)時間序列”,表明時間序列中的前后狀態(tài)相互獨立。

與較短會話相比,獲取持續(xù)時間為3 500～3 600 s的較長時間會話。為了避免圖像雜亂,取時間間隔為1s,重復上述自相關圖的繪制過程,實驗結果如圖7所示。

為了突出兩類會話的區(qū)別,長會話的自相關圖中每個數(shù)據(jù)點均與橫坐標有一條連線。從圖7可以看出,隨著延遲時間的增加,序列自相關圖沒有出現(xiàn)“截尾”現(xiàn)象,即沒有呈現(xiàn)出較好的平穩(wěn)性。而自相關函數(shù)值周期性地出現(xiàn)在了置信區(qū)間以外,表明較長會話序列可以近似為一段自相關序列,即時間序列的前后狀態(tài)相關。類似的其他屬性下的樣本均與圖7呈現(xiàn)了相似的性質。

2 神經(jīng)網(wǎng)絡的構建與入侵檢測算法流程

2.1 異常流量數(shù)據(jù)增強

目前異常流量數(shù)據(jù)集對于端口間長時間的互動信息考慮較少,且無法全面地概括異?；拥臅r序特征,而深度學習的精度非常依賴訓練集規(guī)模,如果輸入樣本無法概括本類別所有樣本的特征,則其會出現(xiàn)明顯的“過擬合”現(xiàn)象,即在訓練集上的精度較好,但無法泛化到現(xiàn)實的預測中。此外,現(xiàn)有數(shù)據(jù)集(如CICIDS-2017)出現(xiàn)了大量的持續(xù)時間為24 h以上的長時間異常會話,而較長與較短會話包含的特征量不相同,統(tǒng)一處理容易造成數(shù)據(jù)浪費。針對該問題,本文提出一種異常流量互動模式數(shù)據(jù)增強方法,將較長會話進行時序切分以獲取其不同時間段的特征作為單獨樣本,即將長會話增強為若干短會話,具體方法如圖8所示。

圖8 數(shù)據(jù)增強

獲取CICIDS-2017和CTU-13全部數(shù)據(jù),對其進行60%的隨機采樣作為訓練樣本,剩余40%作為后續(xù)模擬實驗測試樣本。確定增強樣本的最大會話時間tmax,并對異常集Ca進行數(shù)據(jù)增強:若ci∈Ca的持續(xù)時間tci

(a)增強前

(b)增強后圖9 數(shù)據(jù)增強前后的數(shù)據(jù)分布情況

2.2 基于長短會話性質的神經(jīng)網(wǎng)絡構建

由于卷積神經(jīng)網(wǎng)絡可以很好地獲取自相似數(shù)據(jù)中的特征,并能夠以較小的計算量進行學習,而長短時記憶(Long Short-Term Memory,LSTM)則是一種循環(huán)神經(jīng)網(wǎng)絡,更適合于處理和預測時間序列中間隔和延遲相對較長的事件[16]。因此,針對1.3節(jié)中較短會話的平穩(wěn)性和較長會話的自相關性,分別基于卷積層和LSTM層構建神經(jīng)網(wǎng)絡,并在此基礎上驗證正常流量和異常流量間互動模式的差異。

根據(jù)1.3節(jié)中的最優(yōu)時間窗口范圍選取,以100 s為步長分割樣本集。由于樣本容量差距較大,對于不同的樣本容量,對其較大的一方進行隨機采樣,使其等于較小一方的容量值。而針對整體容量較小的問題,3組實驗全部使用K折驗證減小驗證方差。實驗CPU為 i7-6700,GPU加速器為NVIDIA Tesla K80,實驗結果如圖10所示。

圖10 實驗結果對比

2.3 基于改進入侵檢測的仿真實驗

2.3.1 改進入侵檢測算法

對異常流量進行分段式數(shù)據(jù)增強,使得神經(jīng)網(wǎng)絡可以學習大量的分段異常特征,從而3組神經(jīng)網(wǎng)絡分別可以擬合PIMDL持續(xù)時間在(10,110)、(110,210)、(210,310)的特征。但將其用于入侵檢測還需解決以下問題:

一是需要預知會話持續(xù)時間的最大值才能得到其完整信息。真實的流量產生中,會話的持續(xù)時間無法提前預知,造成了只有當會話結束時才可以使用神經(jīng)網(wǎng)絡進行分類,大大降低了入侵檢測的實時性。

二是神經(jīng)網(wǎng)絡的訓練過程中,將異常流量進行分段式的數(shù)據(jù)增強,得到的3組神經(jīng)網(wǎng)絡均僅擬合了PIMDL的分段特征,而不是總體特征。如何將其用于實際需要進一步處理。

針對上述問題,設計了一種神經(jīng)網(wǎng)絡間的協(xié)作機制,對網(wǎng)絡流量進行綜合評估以確定異常流量。即通過3組神經(jīng)網(wǎng)絡給會話PIMDL依次評分(得分介于[0,1],由其sigmoid激活函數(shù)計算),根據(jù)會話PIMDL的3組模型評分將會話映射到三維空間,并通過預訓練的SVM模型進行流量分類,具體流程如圖11所示。

圖11所示的算法流程分為會話評分模塊和入侵檢測模塊兩個模塊。會話評分模塊的主要任務:當會話超過100 s、200 s、300 s時,分別使用model_1、model_2、model_3進行評分。如果會話數(shù)據(jù)包跳躍間隔過長(如沒有出現(xiàn)100～200 s的數(shù)據(jù)包),則進行進一步的預測時,需要重新使用較低模型(如model_1)進行評估,以保證所有會話均按照model_1、model_2、model_3順序進行模型評分。當會話超過300 s時,將此會話所有到達時間記錄清空,以保持會話持續(xù)時間始終保持在(0 s,300 s)區(qū)間內。而對于長會話,由于反復清空到達時間,其某一種模型評分可能多于一個。入侵檢測模塊的主要任務:在時間周期末獲取所有擁有3個模型評分的會話,將3個評分(若某一評分多于一個,則取其平均值)映射到三維坐標系,并使用預訓練的SVM模型進行分類,以達到入侵檢測的目的。預訓練的SVM模型的獲取方式:首先將上述訓練數(shù)據(jù)(異常流量采用初始流量60%的訓練流量注入到正常流量中)使用改進入侵檢測算法進行訓練,周期性地得到三維空間上有標注的正常會話和異常會話的映射,10 min、20 min、30 min、40 min的正常和異常會話如圖12所示。

圖11 入侵檢測具體流程

圖12中X、Y、Z軸分別表示3個模型的評分。由圖12可以看出,異常會話和正常會話保持了一定距離,使用SVM可以得到較好的分類效果。選擇2 400 s時的數(shù)據(jù)訓練SVM模型,正常會話樣本個數(shù)為15 740,異常會話樣本個數(shù)為216。樣本按照7∶3的比例分割訓練和測試集,并選取高斯核函數(shù)為其核函數(shù),令gamma=10,最終模型在訓練集和測試集上的精度分別為98.69%和98.65%。

(a)10 min

(b)20 min

(c)30 min

(d)40 min圖12 正常流量&異常流量PIMDL

2.3.2 實驗結果分析

基于圖11中的改進入侵檢測算法流程,設計模擬實驗以驗證其檢測指標。實驗采用將CICIDS-2017和CTU-13混合注入MAWI流量中,為了與訓練數(shù)據(jù)保持差距,異常流量采用初始流量40%的測試流量,正常流量選擇MAWI 4月9日00∶00—02∶00的流量數(shù)據(jù)。依照該算法流程,在每個周期統(tǒng)計其精確度ACC、檢測率DR,以及虛警率FAR,三者定義分別如下:

(9)

(10)

(11)

式中:TP表示被正確識別出的異常會話數(shù)目;TN表示被正確識別出的正常會話數(shù)目;FP表示被錯誤識別出的正?；卦挃?shù)目;FN表示被錯誤識別的異常會話數(shù)目。

系統(tǒng)運行時間3 500 s,檢測周期100 s,并從500 s開始統(tǒng)計,每個檢測周期統(tǒng)計上述3個指標。圖13給出了ACC、DR、FAR隨運行時間的變化情況,其均值分別為98.90%,90.13%,0.96%。而當系統(tǒng)運行結束時,正常會話個數(shù)為16 442,異常會話個數(shù)為405,異常流量占總流量的2.4%,體現(xiàn)了該改進算法在異常會話規(guī)模遠小于正常會話規(guī)模的情況下,依舊可以具有較高的精度和檢測率,以及較低的虛警率。

圖13 注入實驗結果

為了測試所提出的改進算法在計算速率方面的提升,使用獲取KDD’99數(shù)據(jù)集作為基準,以MAWI數(shù)據(jù)集作為實驗數(shù)據(jù),先根據(jù)基準方法,在真實的流量產生過程中獲取其所有41維數(shù)據(jù)。而當某一屬性無法獲取時,則跳過該屬性。統(tǒng)計模擬流量產生過程中每過1 s算法的求解時間,結果如圖14所示。

圖14 處理時間變化情況

圖14中橫軸表示流量產生時間,縱軸表示上一緊前時間間隔0.1 s的算法求解時間。系統(tǒng)運行900 s下的基準算法和改進算法的平均處理時間分別為每單位1.627 6 s和0.889 9 s,標準差分別為0.472 0和0.159 5。實驗結果表明,基準算法由于需要時刻維護持續(xù)2 s、包含100個連接的流量信息,且頻繁進行查詢、計算等操作,導致其大量計算負擔,而改進算法僅獲取身份信息和到達時間,因此,其計算時間復雜度較低且波動性較小。此外,在實驗中跳過了一些屬性的獲取,因此,現(xiàn)實情況下的基準算法會面臨更加復雜的計算。

由于基準算法過于依賴鏈路層以上的協(xié)議數(shù)據(jù),導致其無法準確識別偽裝協(xié)議等攻擊流量。為了驗證這種局限性,采用隨機偽裝數(shù)據(jù)集中非鏈路層協(xié)議的方法。數(shù)據(jù)集中非鏈路協(xié)議屬性包括正常用戶的登錄數(shù)量等21個屬性,對這些屬性隨機偽裝,每偽裝一個屬性記錄一次基準算法下的ACC。偽裝的流量占比分別為20%,40%,60%和80%,實驗結果如圖15所示。

(a)20%

(b)40%

(c)60%

(d)80%

圖15中橫軸表示偽裝協(xié)議的個數(shù),縱軸表示相應的多種算法精確度。由于基準算法大多依靠KDD’99等具有非鏈路層標注的數(shù)據(jù)進行訓練,而當這些數(shù)據(jù)被隨機替換時,其預測精度會有不同程度的下降。從圖15可以看出,不同算法隨著偽裝程度越來越大,其精確度均在下降。表2給出了不同偽裝比例下算法的平均精確度。當偽裝率達到80%時,表2中4個算法平均精度和最小精度均出現(xiàn)了下降情況,而改進算法由于沒有用到上述這些非鏈路層的協(xié)議進行訓練,其精確度不受偽裝協(xié)議的影響,即穩(wěn)定在98.90%。

表2 算法精確度比較

為了進一步探討所提出的改進算法在小樣本異常流量分類任務中精度的改善效果,同樣以上述基準算法作為參照,降低異常流量規(guī)模,并采用ROC曲線和AUC評價其檢測精度。其中,ROC曲線是DR和FAR(它們在數(shù)值上等于TPR和FPR)在不同閾值下的表現(xiàn);AUC是ROC曲線下的面積,介于0.1和1之間,用以評價分類器的優(yōu)劣,值越大越優(yōu)。不同實驗下各方法的AUC如表3所示。

表3 不同實驗各個方法的AUC

實驗對NSL-KDD數(shù)據(jù)集中的異常流量隨機采樣,將其規(guī)?？s小至上述實驗中的2.4%,以評估基準算法對于小樣本異常流量識別的準確性。實驗進行10次,并保證隨機采樣不會引入新的偏差。10組實驗結果如圖16所示,橫軸表示FAR,縱軸表示DR(為了簡化篇幅,文中只展示了第一組實驗)。

圖16 小樣本下ROC對比

理想目標為DR=1,FAR=0,即圖16中(0,1)點,因此,ROC曲線越靠攏該點、越偏離45°對角線越優(yōu)。實驗結果表明,在小樣本異常流量檢測任務中,基準算法的AUC和ROC曲線表現(xiàn)均低于本文所提出的改進算法。這是由于神經(jīng)網(wǎng)絡在訓練小樣本時,較小的容量無法概括該類的所有特征,當需要對未標注數(shù)據(jù)進行分類時,其特征可能沒有被神經(jīng)網(wǎng)絡學習,進而造成較大誤差。

3 結 論

本文針對復雜網(wǎng)絡環(huán)境下流量端口間的互動模式差異,提出了一種PIMDL模型以實現(xiàn)對其量化表達,并在對端口間會話的一致性進行驗證的基礎上設計了一種基于卷積層和長短時記憶層的神經(jīng)網(wǎng)絡構建方法,以認知異常流量互動模式與其差異。相比以往需要獲取大量屬性進行訓練的神經(jīng)網(wǎng)絡,重點提供了一種新的訓練思路,即通過IP、端口等身份信息進行歸類,并僅使用流量數(shù)據(jù)包的到達時間進行訓練,在提高了計算效率的同時降低了偽裝身份信息的成功率,降低了神經(jīng)網(wǎng)絡訓練成本,提高了實際運用的可能性。