基于流形的网络数据包特征的降维及聚类的攻击识别方法

技术特征：
1.一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，其特征在于，包括以下步骤：s1、收集原始网络数据包特征，构成特征集，并进行数据预处理；s2、根据特征集生成模糊单纯形集；s3、通过随机梯度下降算法对模糊单纯形集进行流形降维，获得低维流形；s4、根据低维流形，通过无监督聚类算法判断原始网络数据包是否为网络攻击数据包。2.根据权利要求1所述的一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，其特征在于，所述的步骤s2的具体过程包括：s201、计算特征集中每一个数据点的k近邻，记录k近邻距离，构建k近邻边集合；s202、计算特征集中每一个数据点的局部连通距离，以每一个数据点到其最近的第m个最近邻点的距离作为这个点的局部连通距离；s203、使用二分法获取连通基准；根据局部连通距离和连通基准将特征集中每一个数据点的k近邻边集合，计算特征集中每一个数据点的局部度量距离，构成单向模糊单纯形集；s204、通过取并集的方式将单向模糊单纯形集转化为双向的模糊单纯形集。3.根据权利要求1所述的一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，其特征在于，所述的数据预处理的过程包括：将特征集划分为连续特征集和离散特征集；计算连续特征集中每一列特征的四分位数，根据上下四分位距和中位数进行数据标准化；对离散特征集中每一列特征进行哑元化，将离散的类别变量转化为01数值型变量。4.根据权利要求3所述的一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，对于连续特征集，使用局部闵可夫斯基距离构建第一模糊单纯形集，对于离散特征集，使用局部闵可夫斯基距离构建第二模糊单纯形集。5.根据权利要求4所述的一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，所述的步骤s3的具体过程包括：通过随机梯度下降算法对第一模糊单纯形集和第二模糊单纯形集进行降维，对应获得第一低维流形和第二低维流形；对第一低维流形和第二低维流形进行取交集或取并集的操作，获得最终的低维流形。6.根据权利要求4所述的一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，所述的步骤s3的具体过程包括：对第一模糊单纯形集和第二模糊单纯形集进行拼接，获得拼接模糊单纯形集；通过随机梯度下降算法对拼接模糊单纯形集进行降维，获得最终的低维流形。7.根据权利要求1所述的一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，其特征在于，所述的随机梯度下降算法采用的损失函数为交叉熵形式，表达式为：其中，e为模糊单纯形集中的数据点，w
high
(e)为高维下表现的模糊单纯形，表现为两点
的连接概率，w
low
(e)为低维下表现的模糊单纯形，表现为两点的实际距离。8.根据权利要求1所述的一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，所述的步骤s4的具体过程包括：通过hdbscan算法对低维流形进行簇划分，通过k-means对每一簇进行类别划分，根据簇和类的类别判断原始网络数据包是否为现有形式的攻击数据包或新型攻击数据包。9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器调用所述程序指令能够执行如权利要求1至8任一所述的攻击识别方法。10.一种计算机可读存储介质，其特征在于，包括计算机程序，所述计算机程序能够被处理器执行以实现如权利要求1-8任一所述的攻击识别方法。

技术总结
本发明涉及一种基于流形的网络数据包特征的降维及聚类的攻击识别方法，包括以下步骤：S1、收集原始网络数据包特征，构成特征集，并进行数据预处理S2、根据特征集生成模糊单纯形集；S3、通过随机梯度下降算法对模糊单纯形集进行流形降维，获得低维流形；S4、根据低维流形，通过无监督聚类算法判断原始网络数据包是否为网络攻击数据包。与现有技术相比，本发明提高了识别新型攻击的准确性，可解释性强。可解释性强。可解释性强。


技术研发人员：潘建国 胡正欣 李欢 李美子 彭伟民
受保护的技术使用者：上海师范大学
技术研发日：2022.02.17
技术公布日：2022/6/4