基于单分类神经网络的匿名流量识别方法及系统

1.本发明涉及匿名流量识别技术领域，特别是涉及基于单分类神经网络的匿名流量识别方法及系统。


背景技术：

2.本部分的陈述仅仅是提到了与本发明相关的背景技术，并不必然构成现有技术。
3.进入信息时代以来，人们的日常生活与互联网的联系越来越紧密。互联网上的行为留下了很多足迹，这可以帮助服务提供商更好地了解用户的需求。然而，越来越多的信息泄露事件使人们开始重视隐私保护问题。幸运的是，软件工程师已经开发了许多提供匿名服务的网络工具，如crowd、tarzan、freenet和onion router。其中最著名的是洋葱浏览器，它提供加密的匿名网络服务。任何事务都具有两面性，加密网络通信的匿名性也使其成为滋生犯罪的温床，就像暗网一样。匿名通信的滥用给网络监管带来了巨大的挑战。如何更准确、快速地对加密的流量进行分类，已成为一个迫切需要解决的问题。
4.流量分类研究是近三个世纪以来的一个热门研究领域。2020年，通信应用的漏洞被提出。由于互联网流量的快速变化和网络技术的高迭代性，传统的基于规则的方法，如深度包检测、异常端口检测，准确率低，告警率高。机器学习是一种广泛应用的分类技术，因为它可以从数据集自动泛化模块。由于网络数据流量大、结构复杂，机器学习的处理能力往往有限，普遍存在误报率高、泛化能力差、实时性差的缺点。


技术实现要素：

5.为了解决现有技术的不足，本发明提供了基于单分类神经网络的匿名流量识别方法及系统；实时监控流量识别匿名流量，具有流量捕获模块、流量数据处理模块、匿名流量检测模块、检测结果警报模块、检测结果呈现模块的功能，可以对匿名流量进行有效的监控。
6.第一方面，本发明提供了基于单分类神经网络的匿名流量识别方法；
7.基于单分类神经网络的匿名流量识别方法，包括：
8.获取实时监控的流量数据；
9.对获取的流量数据进行特征提取；
10.将提取的特征输入到训练后的单分类神经网络中，得到匿名流量或正常流量的识别结果。
11.第二方面，本发明提供了基于单分类神经网络的匿名流量识别系统；
12.基于单分类神经网络的匿名流量识别系统，包括：
13.获取模块，其被配置为：获取实时监控的流量数据；
14.特征提取模块，其被配置为：对获取的流量数据进行特征提取；
15.识别模块，其被配置为：将提取的特征输入到训练后的单分类神经网络中，得到匿名流量或正常流量的识别结果。
16.第三方面，本发明还提供了一种电子设备，包括：
17.存储器，用于非暂时性存储计算机可读指令；以及
18.处理器，用于运行所述计算机可读指令，
19.其中，所述计算机可读指令被所述处理器运行时，执行上述第一方面所述的方法。
20.第四方面，本发明还提供了一种存储介质，非暂时性地存储计算机可读指令，其中，当所述非暂时性计算机可读指令由计算机执行时，执行第一方面所述方法的指令。
21.第五方面，本发明还提供了一种计算机程序产品，包括计算机程序，所述计算机程序当在一个或多个处理器上运行的时候用于实现上述第一方面所述的方法。
22.与现有技术相比，本发明的有益效果是：
23.本发明使用oc-gru单分类的方式实现匿名流量识别的功能，经过实验，该算法精准率超越了oc-svm，oc-nn等模型，基于该算法实现的系统通过态势感知的方式实时监控流量，当有匿名流量出现时识别出来发出警报并进行分析，为流量监控的工作提供了便利。
24.本发明实时监控流量识别匿名流量，可以对匿名流量进行有效的监控。本发明使用oc-gru的算法模型，有效的捕获单个类别的特征，学习评分函数，输出结果，当检测到匿名流量时，启用警报功能，对相关人员进行提醒，并将结果用态势感知的方式呈现出来。
附图说明
25.构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。
26.图1为实施例一的方法流程图。
具体实施方式
27.应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
28.需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
30.本实施例所有数据的获取都在符合法律法规和用户同意的基础上，对数据的合法应用。
31.实施例一
32.本实施例提供了基于单分类神经网络的匿名流量识别方法；
33.如图1所示，基于单分类神经网络的匿名流量识别方法，包括：
34.s101：获取实时监控的流量数据；
35.s102：对获取的流量数据进行特征提取；
36.s103：将提取的特征输入到训练后的单分类神经网络中，得到匿名流量或正常流量的识别结果。
37.进一步地，所述s101：获取实时监控的流量数据；在网络交换机中抓取网络流量，使用winpcap软件从抓取的网络流量中提取以帧为单位的报文。
38.进一步地，所述s102：对获取的流量数据进行特征提取；使用特征工程的方式对特征进行选择；所选择的特征，具体包括：协议名称、源主机发送的字节数、前m个连接中目标主机相同的连接数。
39.应理解地，所选择的每一个特征能够细粒度描述每一个网络连接并且去除冗余的特征。
40.进一步地，所述s102：对获取的流量数据进行特征提取之后，所述s103：将提取的特征输入到训练后的单分类神经网络中之前，还包括：
41.s102-3：特征数据清洗、数值化处理、归一化处理和结构化处理。
42.进一步地，所述单分类神经网络为oc-gru(one class-gate recurrent unit)模型；oc-gru模型，包括：依次连接的输入层、gru层和输出层。
43.进一步地，所述训练后的单分类神经网络，训练过程包括：
44.构建训练集；其中，训练集，包括已知流量标签的流量数据；
45.将训练集，输入到oc-gru模型中；
46.使用交替最小化算法优化目标函数，先固定参数r，优化m和v，使用反向传播算法，再固定参数m和v，优化r，停止训练，得到训练后的单分类神经网络。
47.进一步地，所述目标函数，公式表达为：
[0048][0049]
其中，m代表全连接层的权重，v代表gru层的权重，xn代表输入数据，h(
·
)为gru的激活函数。
[0050]
当上述公式的导数为0时，为最小值，计算得出最优解为其中hn等于m
·
h(vxn)。最后的结果通过每个输入的决策分数sn来确定，sn等于oc-gru模型的输出与参数r的差，当sn大于等于0时，判定为输入为正常流量，否则判定输入为匿名流量。
[0051]
进一步地，所述s103：将提取的特征输入到训练后的单分类神经网络中，得到匿名流量或正常流量的识别结果之后，还包括：
[0052]
s104：对匿名流量进行报警。
[0053]
应理解地，当检测到匿名流量时，可视化展示的大屏上警报的指示灯亮起，同时评估整体的安全状况，对相应的流量数据进行获取并提取有效的信息。
[0054]
应理解地，使用oc-gru的算法模型，能够有效的捕获单个类别的特征，学习评分函数，输出结果。
[0055]
进一步地，所述s104：对匿名流量进行报警之后，还包括：
[0056]
s105：对匿名流量的占比、来源和类型进行展示。
[0057]
应理解地，通过态势感知，可视化大屏实现，展示实时流量中匿名流量所占比例，匿名流量是来自哪个匿名操作系统，匿名流量所属于的类型及其比例。
[0058]
实施例二
[0059]
本实施例提供了基于单分类神经网络的匿名流量识别系统；
[0060]
基于单分类神经网络的匿名流量识别系统，包括：
[0061]
获取模块，其被配置为：获取实时监控的流量数据；
[0062]
特征提取模块，其被配置为：对获取的流量数据进行特征提取；
[0063]
识别模块，其被配置为：将提取的特征输入到训练后的单分类神经网络中，得到匿名流量或正常流量的识别结果。
[0064]
此处需要说明的是，上述获取模块、特征提取模块和识别模块对应于实施例一中的步骤s101至s103，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为系统的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
[0065]
上述实施例中对各个实施例的描述各有侧重，某个实施例中没有详述的部分可以参见其他实施例的相关描述。
[0066]
所提出的系统，可以通过其他的方式实现。例如以上所描述的系统实施例仅仅是示意性的，例如上述模块的划分，仅仅为一种逻辑功能划分，实际实现时，可以有另外的划分方式，例如多个模块可以结合或者可以集成到另外一个系统，或一些特征可以忽略，或不执行。
[0067]
实施例三
[0068]
本实施例还提供了一种电子设备，包括：一个或多个处理器、一个或多个存储器、以及一个或多个计算机程序；其中，处理器与存储器连接，上述一个或多个计算机程序被存储在存储器中，当电子设备运行时，该处理器执行该存储器存储的一个或多个计算机程序，以使电子设备执行上述实施例一所述的方法。
[0069]
应理解，本实施例中，处理器可以是中央处理单元cpu，处理器还可以是其他通用处理器、数字信号处理器dsp、专用集成电路asic，现成可编程门阵列fpga或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0070]
存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如，存储器还可以存储设备类型的信息。
[0071]
在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。
[0072]
实施例一中的方法可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。
[0073]
本领域普通技术人员可以意识到，结合本实施例描述的各示例的单元及算法步骤，能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范
围。
[0074]
实施例四
[0075]
本实施例还提供了一种计算机可读存储介质，用于存储计算机指令，所述计算机指令被处理器执行时，完成实施例一所述的方法。
[0076]
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。