1、NETINFOSECURITY技术研究doi:10.3969/j.issn.1671-1122.2024.03.0112024年第3期基于深度度量学习的异常流量检测方法一张强1,何俊江1,李汶珊1.2,李涛1(1.四川大学网络空间安全学院,成都6 10 0 6 5;2.成都信息工程大学网络空间安全学院,成都6 10 2 2 5)摘要:网络异常流量识别是目前网络安全的重要任务之一。然而传统流量分类模型是依据流量数据训练得到,由于大部分流量数据分布不均导致分类边界模糊,极大限制了模型的分类性能。为解决上述问题,文章提出一种基于深度度量学习的异常流量检测方法。首先,与传统深度度量学习每个类别单一代理
2、的算法不同,文章设计双代理机制,通过目标代理指引更新代理的优化方向,提升模型的训练效率,增强同类别流量数据的聚集能力和不同类别流量数据的分离能力,实现最小化类内距离和最大化类间距离,使数据的分类边界更清晰;然后,搭建基于1D-CNN和Bi-LSTM的神经网络,分别从空间和时间的角度高效提取流量特征。实验结果表明,NSL-KDD流量数据经过模型处理,其类内距离显著减小并且类间距离显著增大,类内距离相比原始类内距离减小了7 3.5%,类间距离相比原始类间距离增加了52.7%,且将文章搭建的神经网络比广泛使用的深度残差网络训练时间更短、效果更好。将文章所提模型应用在流量分类任务中,在NSL-KDD和
3、CICIDS2017数据集上,相比传统的流量分类算法,其分类效果更好。关键词:深度度量学习;异常流量检测;流量数据分布;神经网络中图分类号:TP309文献标志码:A文章编号:16 7 1-112 2(2 0 2 4)0 3-0 46 2-11中文引用格式:张强,何俊江,李汶珊,等。基于深度度量学习的异常流量检测方法.信息网络安全,2024,24(3):462-472.英文引用格式:ZHANG Qiang,HE Junjiang,LI Wenshan,et al.Anomaly Traffic Detection Based on Deep MetricLearningJ.Netinfo Sec
4、urity,2024,24(3):462-472.Anomaly Traffic Detection Based on Deep Metric LearningZHANG Qiang,HE Junjiang,LI Wenshan2,LI Tao!(1.School of Cyber Science and Engineering,Sichuan University,Chengdu 610065,China;2.School ofCybersecurity,Chengdu University of Information Technology,Chengdu 610225,China)Abs
5、tract:The identification of network anomalous traffic is one of the important tasks收稿日期:2 0 2 3-0 7-12基金项目:国家自然科学基金 6 2 0 32 0 0 2,6 2 10 1358;国家重点研发计划 2 0 2 0 YFB1805400;中国博士后科学基金12 0 2 0 M683345;中央高校基本科研业务费 2 0 2 3SCU12127;四川省青年基金 2 0 2 3NSFSC1395;四川大学和中国核动力院联合创新基金 HG2022143作者简介:张强(1999一),男,河南,硕士研
6、究生,主要研究方向为网络流量分类、深度学习、数据挖掘;何俊江(1993一),男,四川,助理研究员,博士,主要研究方向为网络流量分析识别、信息安全、数据挖掘;李汶珊(1995一),女,四川,讲师,博士研究生,主要研究方向为数据科学、机器学习、生物信息学;李涛(196 5一),男,四川,教授,博士,主要研究方向为人工免疫、网络安全、信息安全、数据安全。通信作者:何俊江462NETINFOSECURITY2024年第3期技术研究of cyber security nowadays.However,traditional traffic classification models are traine
7、dbased on traffic data,and most of the traffic data are unevenly distributed,leading to fuzzyclassification boundaries,which will greatly limits the classification performance of themodel.In order to solve the above problems,this paper proposed a deep metric learning basedabnormal traffic detection
8、method.Firstly,a new double-proxy mechanism was designed toimprove the efficiency of model training by guiding the optimization direction of updateableproxy through the target proxy compared with the traditional deep metric learning algorithmof single proxy for each category,and to enhance the abili
9、ty of aggregating traffic data ofthe same category and separating traffic data of different categories to minimize the intra-class distance and maximized the inter-class distance,which in turn maked the classificationof data boundaries more clearly,breaking the performance bottleneck of traditional
10、trafficclassification models.Secondly,this paper built neural networks based on 1D-CNN and Bi-LSTM,which can efficiently extract traffic features from spatial and temporal perspectives.The experimental results show that the intra-class distance of NSL-KDD traffic data issignificantly reduced and the
11、 inter-class distance is significantly increased after the modelprocessing.The intra-class distance decreased by 73.5%compared to the original intra-class distance and the inter-class distance increased by 52.7%compared to the original inter-class distance.And the neural network built in this paper
12、is compared to the widely useddeep residual network for deep metric learning with shorter training time and better results.Applying the model proposed in this paper to the traffic classification task on the NSL-KDDand CICIDS2017 datasets,the classification effect is also significantly improved compa
13、red tothe traditional traffic classification algorithms.Key words:deep metric learning;abnormal traffic detection;traffic data distribution;neural network0引言随着网络的规模不断扩大且复杂性逐渐提高,各种网络攻击变得越来越复杂,且更具威胁性。网络入侵检测系统是检测攻击的重要工具,可以通过监控网络流量防止恶意请求!。目前,随着人工智能和机器学习研究的深入,基于流量分类的入侵检测作为入侵检测研究的重要方向正在迅速发展 2。基于流量分类的人侵检测系
14、统的首要任务是对流量进行识别和分类。主要包括基于端口号、基于深度包检测(DeepPacket Inspection,D PI)基于机器学习和基于深度学习等 3分类技术。基于端口号的流量分类技术主要通过分析流量并提取通信过程中使用的端口号进行分类。然而,基于端口号的流量分类技术只适用于较简单的网络环境,如果服务程序使用随机端口号,检测效果就会直线下降。基于DPI的流量分类技术 4-6 通过提取流量数据包中可用于分类的内容实现。DPI可以有效识别异常流量,但是该技术占用资源较大、性能较低。相比传统的流量分析方法,机器学习和深度学习方法应用范围更广,特别是近几年机器学习和深度学习技术的飞速发展,基于
15、机器学习和深度学习的流量分类方法性能也显著提升 7。这主要是由于机器学习算法可以实现自动识别网络流量中隐藏的模式和特征。机器学习中常用的算法有支持向量机(SupportVectorMachine,SVM)算法 8、决策树(Decision Tree,D T)算法 9、K近邻(K-Nearest Neighbor,K NN)算法 10 和随机森林(RandomForest,R F)算法 等,其中XGBoost 12在分类算法领域的效果超越了很多深度学习算法。深度学习算法可以学习更复杂的非线性模式知识,相比机器学习算法,在处理高维数据时更有优势。WANG13等人提出一种基于一维卷积神经网络(One
16、-Dimensional ConvolutionalNeural Networks,1D-CNN)的流量分类模型,集成了特征选择、特征提取和分类器3个模块,取得了比传统机器学习更优的效果。YAO14等人提出了基于长短期记忆网络(Long Short-Term Memory Network,LST M)的463NETINFOSECURITY技术研究2024年第3期流量多分类模型,通过提取流量的时序特征进一步提高流量分类效果。现有的机器学习和深度学习算法多从特征选择以及分类器优化的角度提高分类效果。通过分析流量数据的特征分布,本文发现各类别数据之间的边界非常模糊。以公共基准数据集NSL-KDD为例
17、,采用t-SNE方法对流量数据进行降维,并绘制出分布图,如图1所示。由图1可知,不同类别数据的分类边界比较模糊。这对于机器学习和深度学习寻找明确的决策边界造成极大的困难,甚至难以优化。然而,现有基于机器学习和深度学习的分类模型很少有针对分类边界模糊的优化方案,即增大不同类别数据间距,减小相同类别数据间距。数据分类边界模糊会极大限制分类器的效果。DoSProbeNormalDoSProbeNormalb)深度度量学习处理后的流量数据分布图1网络流量数据降维分布近年来,深度度量学习的研究很多,主要应用在人脸识别和图像检索等方面,同时也在向其他领域不断扩展。其核心思想是最小化同类别样本之间的距离,最
18、大化不同类别样本之间的距离。为此,将深度度量学习算法引人流量分类模型中,可以解决数据分类边界模糊的问题。如图1所示,本文将提出的深度度量学习算法t-SNE应用在流量数据集中,分类边界更加清晰。张文铭 15和薛靖靓 16 将基于数据对的深度度量学习引人流量检测中,由于该方法需要挖掘合适的数据对优化训练过程,造成的时间开销较大,而且模型的神经网络结构采用深度残差网络,进一步加大了时间开销,造成海量流量数据训练效率较低。基于代理的深度度量学习相比基于数据对的算法效率更高,适合数据量相对较大的流量数据,因此本文提出了基于代理的深度度量学习模型用于流量分类任务中,并进一步改进代理优化机制,同时采用搭建的
19、基于1D-CNN和LSTM的神经网络结构替换深度残差网络来提高训练效率。本文的主要贡献如下:1)提出一种基于双代理的深度度量学习算法,通过设计目标代理和可更新代理机制,优化代理训练更新过程,提高算法的性能;2)搭建基于1D-CNN和Bi-LSTM的神经网络,从空间和时间角度提取流量特征,并将提取的特征进行拼接融合,提高模型的精度。实验结果表明,本文提出的深度度量学习模型在流量数据类内和类间距离的优化效果显著,并且进一步提升了分类a)原始流量数据分布器的分类效果。1相关工作1.1深度度量学习深度度量学习主要分为两类:基于对的深度度量学习和基于代理的深度度量学习。2 0 0 5年提出的Contra
20、stiveLoss17是较早的基于对的方案,其主要思想是搜寻一对数据,若是同类,则拉近这一对数据;若不同类,则推远这一对数据。SCHROFFL18等人提出改进方案Triplet Loss,相比Contrastive Loss,该方案同时考虑了类内和类间的关系。首先将每个样本作为锚点,从同一类和不同类中分别选择正样本和负样本组成三元组,要求三元组中负样本与锚点之间的距离小于正样本与锚点之间的距离,然后在训练过程中缩小正样本与锚464NETINFOSECURITY2024年第3期技术研究点之间的距离并扩大负样本与锚点之间的距离。还有许多基于Triplet Loss 的改进方案,如 Structur
21、ed Loss19、Quadruplet Loss20 和N-Pair Loss21 等,它们虽然在一定程度上改进了Triplet Loss的效果,但是由于基于对的方法需要搜寻合适的数据组来训练模型,时间成本较高。为了改进算法的效率,MOVSHOVITZ-ATTIAS22等人提出了基于代理的深度度量学习方案Proxy-NCA,首先随机初始化每个类别的代理;然后每次采样一个数据点作为锚点,将与这个点相同类别的代理作为正样本,其余代理作为负样本,规避基于对的算法需要复杂的采样操作;最后设定NCA函数作为损失函数进行训练,训练过程中随机更新代理。该方案虽然效率较高,但是训练过程仅利用了数据点和代理之
22、间的关系,忽略了丰富的数据点与数据点之间的关系。针对这一问题,KTM23等人提出了经典的改进方案Proxy-Anchor,首先为每个类别随机初始化一个代理,与Proxy-NCA不同,该方案将每个代理作为锚点,并与当前批次训练的数据相关联;然后将数据与数据之间的距离与训练梯度相关联,距离越远则梯度越大;最后在训练的损失函数中加人边界值来增强类内紧凑性和类间可分离性,获得更具区别性的嵌人空间。然而Proxy-Anchor边界值是固定的,该方案没有充分考虑到每个类别的数据的差异。为此,WANG24等人提出了改进方案AM,为每个类别设置一个可学习的边界值,边界值根据优化的代理与样本之间相似度进行调整。
23、综上所述,现有的基于代理的深度度量学习算法依赖于可更新代理,然而代理是随机优化的,并没有限制代理优化的方向,因此本文提出一种代理方案来解决该问题。1.2异常流量检测目前,机器学习和深度学习在异常流量检测上效果优异,通过设计各种特征提取方案和分类器进行流量分类任务。LOKOC25等人提出一种基于KNN算法的分类器,可以在某些特定场景下对HTTPS流量进行分类。DI26等人提出了基于DT的分类器、逻辑分类器和贝叶斯网络分类器来解决流量分类问题,主要通过综合3个分类器的分类结果进行分类,也取得了很好的效果。相比机器学习方案,深度学习模型更复杂,可以表征更复杂的数据关系。LOTFOLLAHI27等人提
24、出基于1D-CNN和堆栈自动编码器的流量分类模型,将特征提取和分类阶段集成到一个模型中。ZENG28等人提出一种基于1D-CNN、LST M和堆栈自动编码器的流量分类模型,该模型可以全面深人地提取原始流量特征。LIU29等人提出了流量多分类模型FS-Net,该模型采用编解码器结构,挖掘流量的潜在特征进行分类。WANG30等人提出基于1D-CNN和Bi-LSTM的加密流量分类模型App-Net,从多个角度提取流量特征。TANG31等人提出一种将堆叠自动编码器和注意力机制融人深度神经网络(DNN)的入侵检测模型SAAE-DNN。注意力机制使训练过程能够提取重要特征,提高模型的检测效果。LIN32等
25、人提出一种多级特征融合模型,该模型结合了数据时序、字节和统计特征,从多个角度提取有效信息。LAN33等人提出了多任务学习模型,设计具有嵌人式空间和通道注意力机制的卷积神经网络来提取特征。综上所述,现有的大多数基于机器学习和深度学习流量检测模型主要从特征提取的角度优化分类器的效果,很少关注流量数据本身的分布特点,因此本文提出一种适应流量数据分布的特征表征方案。2本文基于深度度量学习的异常流量检测方法本文提出一个基于深度度量学习的异常流量检测模型来解决流量数据分类边界模糊问题。模型框架如图2 所示,首先对流量数据进行预处理,该环节主要包括两个部分:1)对数据进行量化,主要采用独热编码将数据中的非数
26、值型数据转化为数值型数据。例如,特征中的协议类型以及不同种类的流量标签。2)对数据进行归一化处理,主要采用Min-Max归一化方法将流量数据特征映射在 0,1之间,避免不同特征之间数值差异过大对模型训练的影响。然后,将处理好的数据输入基于CNN和双向LSTM神经网络中进行训练,与App-Net30不同,本文方法添加了注意力机制层和正465NETINFOSECURITY技术研究2024年第3期则化层,去掉了分类常用的Softmax层,加人了深度度量学习模块,以实现分类边界的清晰化。最后,接人分类器进行分类,即采用经典的分类模型对深度度量学习模块处理前后的数据进行训练,主要包括SVM、DT和RF等
27、分类模型,通过比较数据处理前后的分类效果来验证深度度量学习算法的有效性。因此本文所提方法可作为即插即用模块,可根据需要用在不同分类器上提高分类效果。下面详细介绍基于代理的深度度量学习算法和针对流量数据搭建的神经网络结构。数据预处理分类器训练流量数据输入2.1基于代理的深度度量学习算法本文提出一种基于双代理机制的深度度量学习方法,以实现类内距离最小化和类间距离最大化,该算法的核心是双代理机制和对应的损失函数。2.1.1双代理机制传统基于代理的深度度量学习算法依赖于单一可更新代理,且代理更新方向不受控制,在训练过程中随机优化。这在很大程度上影响了算法的效率和性能,如图3a)所示,圆圈、五角星和三角
28、形分别代表某一类别数据,其中深色五角星代表该类别的代理,箭头代表代理可以优化的方向。为此,本文提出了双代理机制,设计目标代理和可更新代理,如图3b)所示,通过约束可更新代理向目标代理进行优化,提升算法性能。数据类别1代理数据类别2 一代理优化方向数据类别3a)单一可更新代理图3基于代理的深度度量学习算法1)对代理进行初始化。传统基于代理的深度度量学习算法是对代理进行随机初始化,这与真实样本的特征空间存在很大偏差,影响代理更新优化的过程。为此,本文使用聚类的方法获取聚类中心并将其作为代理,即对每一个类别数据进行一次聚类获取聚类中心作为代理的初始数据。2)选择目标代理。目标代理是可优化代理和所有数
29、据优化的目标方向,既要能够整体代表每个类别数据的空间分布,又要与其他目标代理保持一定距离。深度度量学习模型训练因此,为每个类别k初始化两个中心Cok和Ci作为目标代理和可更新代理的备选,如公式(1)所示。神经网络+度量学习模块输出图2 模型框架数据类别1代理数据类别2 一代理优化方向数据类别3目标代理b)双代理机制分类器(Cok,Cik)=k-means(datax)其中,k-meansO代表使用k-means聚类算法对每种类别的数据datak进行聚类,且参数k为2。由于初始化采用聚类方案,因此代理可以较好地代表每个类别总体的特征空间分布。为了进一步优化训练过程,提高类间距离,本文选择某个类别
30、距离其他类别备选代理最远的备选代理作为目标代理Ctargetk,则另一个代理作为可更新代理C_updatek。计算方式如公式(2)和公式(3)所示。C_targetr=arg max(E(dis(x,Co,)+x-COx.ClkieKdis(x,C1,),C_updatex=arg min(E(dis(x,Co,)+x-COk,ClkieKdis(x,C1,)其中,disO函数表示计算两个数据之间的距离,K代表包含的所有类别。3)在确定每个类别的C_targett和C_updatek后,对代理进行优化。传统基于代理的深度度量学习算法优化仅基于C_updates在训练过程中随机优化,本文方法在C
31、_updatek基础上引人C_targetx作为代理和数据的优化目标,从而为C_update更新优化指引了方向。为了尽可能保留原始的数据特征空间,同时提升算法的鲁棒性,假设C_targeti在整个训练的过程中不可更新。(1)(2)(3)466NETINFOSECURITY2024年第3期技术研究2.1.2损失函数度量学习的损失函数与传统的深度学习损失函数不同,去掉了分类常用的Softmax层,直接针对神经网络的输出向量设计损失函数。本文基于经典的Proxy-Anchor损失函数联合双代理机制重新设定损失函数。损失函数分为3个部分。1)基于每个类别k的目标代理C_target与样本集合X进行设计
32、。C_target作为目标代理的集合,在训练过程中,与当前批次出现的样本类别相对应的目标代理集合为正代理集C_target+,而其他代理集合被标记为负代理集C_target,然后对于不同的代理集合,每个批次的样本x也被划分为正样本集X和负样本集Xp。该损失函数定义如公式(4)所示。1_targetceC_farget*1IC_ targetcec_fangel其中,c_target表示当前批次正代理的数量,Jc_target表示负代理的数量,8,和,表示边缘和比例因子的超参数,sO表示两个嵌人向量之间的余弦相似度。针对每一个批次的ceC_targett,设计的损失函数能够拉近c和相同类别的样本
33、xEX,分离不同类别的样本xeXp。同理,对于每一个批次的ceC_target,其拉近和分离的强度由x和c的相似性决定。2)基于每个类别k的可更新代理C_updatek与样本集合X进行设计的。主要方法与前文一致,该损失函数定义如公式(5)所示。1updatetceC_igxklet1log1+Zeea(s(x.c)to0.)C_updaiteceC_uypckle其中,与目标代理不同的地方在于每个类别的可更新代理C_update,可以在每个批次中更新来优化损失函数的值。3)针对可更新代理的优化方向进行设计。传统的单一可更新代理方案没有对代理更新进行限制,本文加人目标代理和可更新代理之间的损失函
34、数来限制可更新代理的优化朝着目标代理的方向进行,损失函数设计如公式(6)所示。cteC_target*cteC_ftarget其中,和是针对代理设置的边缘和比例因子的超参数,IC表示代理数量。通过计算目标代理和可更新代理之间的相似程度,使可更新代理朝着相同类别的目标代理靠近,反之亦然。将3个部分的损失函数结合,新的损失函数如公式(7)所示。xeX4)xeXPxeXxeXPe-B(s(au.c)-n)cucC_updalteteP(s(auc)-t)cueC_updaleLsum=loLig+uiLud+u2Lu其中,、和z是针对损失函数不同组成部分的权重超参数,该超参数组合(o,)通过多轮实验
35、确定最优值组合为(0.8,0.6,0.3)。该损失函数既能优化代理与样本之间的相似度,又能优化目标代理和可更新代理之间的相似度,提高深度度量学习的性能。2.2神经网络结构神经网络结构是深度度量学习算法中十分重要的一环,本文基于1D-CNN和Bi-LSTM搭建用于网络流量特征提取的神经网络结构,如图4所示。(5)拼接组合时间特征提取十(6)(7)outputL2NomDropoutFCAttentionDropoutFCBi-LSTMBi-LSTM图4神经网络结构MaxPoolReLUConVReLUConvImput空间特征提取467NETINFOSECURITY技术研究2024年第3期首先,
36、搭建基于1D-CNN的卷积神经网络来提取流量的空间特征。1D-CNN可以实现更多非线性转换,具有较强的局部特征学习能力。其主要包含三层卷积神经网络,中间采用ReLU作为激活函数,之后接入最大池化层,减少计算量和参数量,提高模型的泛化能力。由于网络流量数据遵循一定的时间先后顺序,因此可以通过提取流量数据的先后关联特征来判断流量类别。LSTM网络主要用于实现长距离序列特征学习,能够提取流量数据的时间先后特征。LSTM主要由3个门结构组成:1)遗忘门用于选择性遗忘相关信息;2)输人门将新信息记录到状态中;3)输出门决定最终的输出值。通过这3个门的组合,可以较好地学习流量数据的时间特征。Bi-LSTM
37、是LSTM一种改进结构,能学习数据正向和反向的关联关系。其次,本文搭建两层Bi-LSTM网络,用于提取流量的时序特征。然后,将提取的空间特征和时序特征拼接结合,通过注意力机制层,获取流量的重要特征。最后,搭建三层全连接层进行特征空间的映射,利用ReLU激活函数,采用Dropout机制来防止过拟合。由于采用度量学习的损失函数,因此网络结构最后没有接人Softmax层。为了提高模型的泛化性,需要对输出进行L2正则化。2.3算法伪代码本文提出的基于双代理的深度度量学习算法伪代码如算法1所示,将获取的数据集D_update投人分类器中进行训练。算法1基于双代理的深度度量学习算法Input原始流量数据集
38、DOutput模型处理后的数据集D_update从数据集D中抽取每个类别的数据Dk=dl,d,dh)foreach d,eDido通过公式(1)计算代理值(pli,P2i)通过公式(2)获得目标代理和可更新代理(pisPa)end for设置训练轮数epoch和批大小batchsizefor k in range(epoch)doD b=(D_bi,D_b,D_br从集合 D 中按照 baichsize抽取数据forD_b=inD_bdo将D_b,送人3.2 节神经网络训练通过公式(6)计算损失函数(pui,puz,pui)更新代理(pui,pu2,pur)更新神经网络参数end forend
39、 forD_update=(D_ubi,D_ub2,D_ubn)模型处理(D_bi,D_b2,D_bm33实验及分析本文使用公共基准数据集NSL-KDD:34和CICIDS20173进行实验评估。主要的实验内容包括:1)将本文提出的基于双代理的度量学习算法与现有的较先进的基于代理的度量学习算法在流量表征的有效性上进行对比试验;2)对本文所提网络结构的有效性进行消融实验;3)针对提出的深度度量学习模型在流量分类效果提升的有效性进行评估。3.1实验数据与评价指标本文实验采用NSL-KDD数据集和CICIDS2017数据集进行实验。NSL-KDD数据集是KDDCUP99数据集的修订版本,其中共包含4
40、1个特征、5种流量,即Normal(正常流量)DoS(拒绝服务)Probe(扫描)U2R(提权)和R2L(远程)。CICIDS2017数据集包含7 8 个特征。本文提取DDoS攻击等12 种类型,实验中的训练集和测试集的具体分布如表1和表2 所示。表1NSL-KDD数据集数据分布类别NormalDoSProbeU2RR2L训练集/个67343 4592711656测试集/个9711表2 CICIDS2017数据集数据分布类别训练集/个测试集/个BENIGN15898DDoS8958PortScan1113Dos Hulk16105Dos GoldenEye7205DoS slowloris40
41、57Dos Slowhttptest3847FTP Patator5555SSHPatator4127Bot1370Web AttackBruteForce1055WebAttackXss4565274602421995672885454225603175460220591159109915871180391301130468NETINFOSECURITY2024年第3期技术研究为了验证深度度量学习算法在流量表征上的效果,本文使用一种数据的类间距离和类内距离 36 来评估,数据的类内距离越小,类间距离越大则模型的效果越好,计算数据的类内距离如公式(8)所示,类间距离如公式(9)所示。1D in
42、tra-classXXeXxo.EXk11Dinter-classXko,XA,eXxoExo,meX其中,X代表测试的数据集,X代表某一类别的数据。为了验证流量的分类效果,采用精确率Precision、召回率Recall和F1值来评估,如公式(10)公式(12)所示。TPPrecisionTP+FPTPRecall=TP+FN2xPrecisionxRecallF1=Precision+Recall其中,TP表示预测当前类别为异常流量,且与实际类别一致;FN表示预测当前类别为正常流量,但实际上是异常流量;FP表示预测当前类别为异常流量,但实图5e)图5g)图5i)是流量数据类内距离的箱线图,
43、箱线图可以描述数据分布的中心位置和散布范围。从图5可以看出,与原始数据相比,通过深度度量学习的训练后,多数类别数据的类内距离的分布范围明显下降,数据的中位数也明显变小,然而U2R的优化效果并不明显,这是因为U2R类别流量数据的数量相比其他类别少(8)了很多,在训练的过程中能够用来训练的数据也更少。s(xo,Xi)(9)算法,其他方法的中位数都在1以下,其中Proxy-Anchor(10)和AM算法中位数靠近1;本文提出的方法更接近0,而且数据整体分布上也更靠近0。图5b)图5d)图5f)(11)图5h)图5j)是流量数据类间距离的箱线图。总体来看,相比原始数据,通过深度度量学习算法训练后的数据
44、的(12)类间距离都明显增大,且本文提出的方法相比其他算法类间距离提升的效果更好。654与目前经典和先进的基于代理的度量学习算法相比,本文提出的算法在类内距离优化上整体效果更优。例如,Probe类型的异常流量在优化前,类内距离整体主要分布在2 以上,中位数在3左右;在优化后,除了Proxy-NCA54际上是正常流量。为了综合评判流量多分类的效果,本3文统一采用Weighted-Average 方法,即 Weighted-Precision、Weighited-Recall 和 Weighted-FI 值。其中类别数为 n,N,|表示此类别的样本数量,如公式(13)公式(15)所示。(13)We
45、ighted-Precision=)N-1Weighted-Recall=)RecallNWeighted-F1=)F1;台M3.2深度度量学习算法对比实验为了验证本文提出的基于双代理机制的度量学习算法在优化类间和类内距离的有效性,将该算法与传统的基于代理的度量学习算法进行对比实验。类间和类内的距离分布实验结果如图5所示。其中,图5a)图5c)1-1DosProbea)原始数据类内距离65Precision;42(14)1-1(15)b)原始数据类间距离65421一1DosProbee)Pr o x y-A n c h o r 类内距离1R2LU2RNormal类别类别R2LU2RNormal
46、类别-1c)Pr o x y-NCA 类内距离654321-1d)Pr o x y-NCA 类间距离654210-1DosProbeg)AM类内距离DosProbeR2L类别类别R2LU2RNormal类别U2RNormal469NETINFOSECURITY技术研究2024年第3期表5不同网络结构类内和类间距离52410-1f)Pr o x y-A n c h o r 类间距离654210工-1DosProbei)本文方法类内距离图5类内和类间距离分布图为了更直接地表现不同算法类间和类内距离的改进效果,本文计算了类间和类内距离的值的变化如表3所示。相比原始数据,深度度量学习可以有效减小类内距
47、离并增大类间距离;与其他算法相比,本文提出的基于双代理的深度度量学习算法在最小化类内距离和最大化类间距离上效果更优。表3不同算法类内和类间距离算法类内距离类间距离原始数据1.496Proxy-NCA0.708Proxy-Anchor0.604AM0.564本文方法0.397此外,为了验证搭建的网络结构的有效性,保持算法不变,更换不同的网络结构并计算类内和类间距离的变化,不同的网络结构参数比较如表4所示,计算结果如表5所示。ResNet-1D和VGGNet-1D网络结构参数量明显多于1D-CNN和BiLSTM网路结构。实验结果表明使用1D-CNN和BiLSTM结构相比在深度度量学习广泛使用的Re
48、sNet和VGGNet时间效率更高而且效果更好,同时本文搭建的网络结构相比单独使用1D-CNN和BiLSTM的效果更好。表4不同网络结构参数比较网络结构模型层数/层参数量模型大小/MB1D-CNN7BiLSTM5ResNet-1D50VGGNet-1D191D-CNN+BiLSTM9543210-1h)A M类间距离541U2RNormal网络结构1D-CNNBiLSTMResNet-1DVGGNet-1D1D-CNN+BiLSTM类别3.3基于深度度量学习分类模型有效性实验为了进一步验证深度度量学习在流量分类任务上的提升效果,本文以KNN、SVM、D T、R F、XG Bo o s t、文献
49、 37 和文献 38 中的方法作为分类模型。使用NSL-KDD数据集以RF为例分析了深度度量学习对数据各类别的分1类别j)本文方法类间距离1177.5441240.1201691.0111647.8691797.6182224888122087212439226119971144748296每一轮训练时间/s类内距离类间距离2.480.4101.730.52312.180.6049.360.4533.110.397类效果的提升作用,如图6 所示。从总体来看,数据经过深度度量学习处理后相比处理前的效果都有较大的提升,尤其是DoS攻击的提升效果非常显著。DoS2580Probe168R2L5U2R
50、Normal60DoSDoS6072Probe169R2L0U2R0Normal-58Dos8.903.8349.7647.9918.991756.6021614.6951764.8591453.8391797.61832280178001132537240ProbeR2L真实标签a)原始流量数据混淆矩阵680179104032211027011ProbeR2L真实标签b)深度度量学习处理后的混淆矩阵图6 RF分类器分类效果00000U2R0012194U2R16524732742648927Normal13204612511379368Normal800070006000500盒400030
浙ICP备2021020529号-1 | 浙B2-20240490 
