云平台入口实时流量复制方法、系统和电子设备与流程

1.本发明涉及网络安全的领域，且更为具体地，涉及一种云平台入口实时流量复制方法、系统和电子设备。


背景技术：

2.当前网络安全态势异常严峻，网络攻击越来越多地见诸报道，对重点企业、个人和重要部门机关带来了严重的网络安全威胁。这种高级持续性威胁利用其极强的针对性、伪装性和阶段性等特性能够很容易地躲避传统检测技术的识别。新型攻击手段技术层出不穷，使得一般的入侵防御系统不能有效匹配识别。与此同时，任何网络攻击都是通过网络传输，在攻击主机与被攻击主机之间必然会有相关数据包传输，这给予了很多网络安全工程师与灵感。
3.从分析、处理网络之间传输流量的角度去检测网络攻击是一种最有效途径之一。也就是，可通过复制各个云平台入口的实时流量数据，并通过复制的各个云平台入口的实施流量数据来分析是否存在攻击流量，如果存在攻击流量则停止复制。因此，为了更好地检测出网络攻击，期望提供一种云平台入口实时流量复制方案。


技术实现要素：

4.为了解决上述技术问题，提出了本技术。本技术的实施例提供了一种云平台入口实时流量复制方法、系统和电子设备，其通过卷积神经网络模型以及时序编码器对各个客户端在多个预定时间点的传输网络数据包进行时间和样本维度上的高维关联特征提取以获得第一特征矩阵，并且针对网络攻击在传输流量上具有一定程度的样本间的随机性和时间上的周期性的数据范式，通过对所述第一特征矩阵的特征值进行周期混沌映射，可以使得所述第二特征矩阵在高维特征空间内从特征分布层面模拟样本数据的范式特性，同时，又能够通过改进初始的特征分布来周期性间隔地按位置间隔生成混沌序列，来增强特征分布的按位置多样性，从而扩展分类器对于特征分布整体作为一个集合在高维特征空间内的搜索范围，改进全局分类精度。
5.根据本技术的一个方面，提供了一种云平台入口实时流量复制方法，其包括：
6.获取各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包；
7.将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量；
8.将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵；
9.对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵，其中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射表示将所述第
一特征矩阵中各个位置的特征值整合到周期性函数中；
10.从所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量；
11.将所述待预测的客户端的第一特征向量作为查询向量与所述第二特征向量进行矩阵相乘以获得分类特征向量；以及
12.将所述分类特征向量通过分类器以获得分类结果，所述分类结果用于表示所述待预测的客户端的源ip是否为攻击ip。
13.在上述云平台入口实时流量复制方法中，将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量，包括：将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包按照时间维度排列为对应于各个所述客户端的一维的输入向量；使用所述时序编码器的全连接层以如下公式对所述输入向量进行全连接编码以提取出所述输入向量中各个位置的特征值的高维隐含特征，其中，所述公式为：其中x是输入向量，y是输出向量，w是权重矩阵，b是偏置向量，表示矩阵乘；使用时序编码器的一维卷积层以如下公式对所述输入向量进行一维卷积编码以提取出所述输入向量中各个位置的特征值间的关联的高维隐含关联特征，其中，所述公式为：
[0014][0015]
其中，a为卷积核在x方向上的宽度、f为卷积核参数向量、g为与卷积核函数运算的局部向量矩阵，w为卷积核的尺寸。
[0016]
在上述云平台入口实时流量复制方法中，将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵，包括：将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵；以及，所述卷积神经网络的各层在层的正向传递中分别对输入数据进行基于二维卷积核的卷积处理、沿通道维度的池化处理和激活处理以由所述卷积神经网络的最后一层输出所述第一特征矩阵，其中，所述卷积神经网络的第一层的输入为所述特征矩阵。
[0017]
在上述云平台入口实时流量复制方法中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵，包括：以如下公式对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵；其中，所述公式为：
[0018][0019]
其中f
i,j
为映射前的所述第一特征矩阵的每个位置的特征值，f
i,j
′
为映射后的所述第二特征矩阵的每个位置的特征值，f
i,j
mod(1)表示对f
i,j
进行模1的运算，也就是取f
i,j
的余数，并且a和b是超参数。
[0020]
在上述云平台入口实时流量复制方法中，将所述分类特征向量通过分类器以获得分类结果，包括：使用所述分类器以如下公式对所述分类特征向量进行处理以获得所述分
类结果；其中，所述公式为：softmax{(wn,bn):
…
:(w1,b1)|x}，其中，w1到wn为权重矩阵，b1到bn为偏置向量，x为分类特征向量。
[0021]
在上述云平台入口实时流量复制方法中，进一步包括：响应于所述分类结果为所述待预测的客户端的源ip是攻击ip，停止对由所述待预测的客户端的源ip所发送的网络数据包进行复制。
[0022]
根据本技术的另一方面，提供了一种云平台入口实时流量复制系统，其包括：
[0023]
网络数据包获取单元，用于获取各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包；
[0024]
时序编码单元，用于将各个所述网络数据包获取单元获得的所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量；
[0025]
特征提取单元，用于将所述时序编码单元获得的所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵；
[0026]
周期性混沌映射单元，用于对所述特征提取单元获得的所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵，其中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射表示将所述第一特征矩阵中各个位置的特征值整合到周期性函数中；
[0027]
提取单元，用于从所述时序编码单元获得的所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量；
[0028]
分类特征向量生成单元，用于将所述提取单元获得的所述待预测的客户端的第一特征向量作为查询向量与所述周期性混沌映射单元获得的所述第二特征向量进行矩阵相乘以获得分类特征向量；以及
[0029]
分类单元，用于将所述分类特征向量生成单元获得的所述分类特征向量通过分类器以获得分类结果，所述分类结果用于表示所述待预测的客户端的源ip是否为攻击ip。
[0030]
在上述云平台入口实时流量复制系统中，所述时序编码单元，进一步用于：将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包按照时间维度排列为对应于各个所述客户端的一维的输入向量；使用所述时序编码器的全连接层以如下公式对所述输入向量进行全连接编码以提取出所述输入向量中各个位置的特征值的高维隐含特征，其中，所述公式为：其中x是输入向量，y是输出向量，w是权重矩阵，b是偏置向量，表示矩阵乘；使用时序编码器的一维卷积层以如下公式对所述输入向量进行一维卷积编码以提取出所述输入向量中各个位置的特征值间的关联的高维隐含关联特征，其中，所述公式为：
[0031][0032]
其中，a为卷积核在x方向上的宽度、f为卷积核参数向量、g为与卷积核函数运算的局部向量矩阵，w为卷积核的尺寸。
[0033]
在上述云平台入口实时流量复制系统中，所述特征提取单元，进一步用于：将所述
对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵；以及，所述卷积神经网络的各层在层的正向传递中分别对输入数据进行基于二维卷积核的卷积处理、沿通道维度的池化处理和激活处理以由所述卷积神经网络的最后一层输出所述第一特征矩阵，其中，所述卷积神经网络的第一层的输入为所述特征矩阵。
[0034]
在上述云平台入口实时流量复制系统中，所述周期性混沌映射单元，进一步用于：以如下公式对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵；
[0035]
其中，所述公式为：
[0036][0037]
其中f
i,j
为映射前的所述第一特征矩阵的每个位置的特征值，f
i,j
′
为映射后的所述第二特征矩阵的每个位置的特征值，f
i,j
mod(1)表示对f
i,j
进行模1的运算，也就是取f
i,j
的余数，并且a和b是超参数。
[0038]
在上述云平台入口实时流量复制系统中，所述分类单元，进一步用于：使用所述分类器以如下公式对所述分类特征向量进行处理以获得所述分类结果；其中，所述公式为：softmax{(wn,bn):
…
:(w1,b1)|x}，其中，w1到wn为权重矩阵，b1到bn为偏置向量，x为分类特征向量。
[0039]
在上述云平台入口实时流量复制系统中，响应于所述分类结果为所述待预测的客户端的源ip是攻击ip，停止对由所述待预测的客户端的源ip所发送的网络数据包进行复制。
[0040]
根据本技术的再一方面，提供了一种电子设备，包括：处理器；以及，存储器，在所述存储器中存储有计算机程序指令，所述计算机程序指令在被所述处理器运行时使得所述处理器执行如上所述的云平台入口实时流量复制方法。
[0041]
根据本技术的再又一方面，提供了一种计算机可读介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行如上所述的云平台入口实时流量复制方法。
[0042]
与现有技术相比，本技术提供的云平台入口实时流量复制方法、系统和电子设备，其通过卷积神经网络模型以及时序编码器对各个客户端在多个预定时间点的传输网络数据包进行时间和样本维度上的高维关联特征提取以获得第一特征矩阵，并且针对网络攻击在传输流量上具有一定程度的样本间的随机性和时间上的周期性的数据范式，通过对所述第一特征矩阵的特征值进行周期混沌映射，可以使得所述第二特征矩阵在高维特征空间内从特征分布层面模拟样本数据的范式特性，同时，又能够通过改进初始的特征分布来周期性间隔地按位置间隔生成混沌序列，来增强特征分布的按位置多样性，从而扩展分类器对于特征分布整体作为一个集合在高维特征空间内的搜索范围，改进全局分类精度。
附图说明
[0043]
通过结合附图对本技术实施例进行更详细的描述，本技术的上述以及其他目的、特征和优势将变得更加明显。附图用来提供对本技术实施例的进一步理解，并且构成说明书的一部分，与本技术实施例一起用于解释本技术，并不构成对本技术的限制。在附图中，
相同的参考标号通常代表相同部件或步骤。
[0044]
图1为根据本技术实施例的云平台入口实时流量复制方法的流程图；
[0045]
图2为根据本技术实施例的云平台入口实时流量复制方法的系统架构示意图；
[0046]
图3为根据本技术实施例的云平台入口实时流量复制系统的框图；
[0047]
图4为根据本技术实施例的电子设备的框图。
具体实施方式
[0048]
下面，将参考附图详细地描述根据本技术的示例实施例。显然，所描述的实施例仅仅是本技术的一部分实施例，而不是本技术的全部实施例，应理解，本技术不受这里描述的示例实施例的限制。
[0049]
场景概述
[0050]
如前所述，当前网络安全态势异常严峻，网络攻击越来越多地见诸报道，对重点企业、个人和重要部门机关带来了严重的网络安全威胁。这种高级持续性威胁利用其极强的针对性、伪装性和阶段性等特性能够很容易地躲避传统检测技术的识别。新型攻击手段技术层出不穷，使得一般的入侵防御系统不能有效匹配识别。与此同时，任何网络攻击都是通过网络传输，在攻击主机与被攻击主机之间必然会有相关数据包传输，这给予了很多网络安全工程师与灵感。
[0051]
从分析、处理网络之间传输流量的角度去检测网络攻击是一种最有效途径之一。也就是，可通过复制各个云平台入口的实时流量数据，并通过复制的各个云平台入口的实施流量数据来分析是否存在攻击流量，如果存在攻击流量则停止复制。因此，为了更好地检测出网络攻击，期望提供一种云平台入口实时流量复制方案。
[0052]
目前，深度学习以及神经网络已经广泛应用于计算机视觉、自然语言处理、语音信号处理等领域。此外，深度学习以及神经网络在图像分类、物体检测、语义分割、文本翻译等领域，也展现出了接近甚至超越人类的水平。
[0053]
深度学习以及神经网络的发展为网络安全中的云平台入口实时流量复制提供了新的解决思路和方案。
[0054]
相应地，在本技术的技术方案中，各个客户端通过源ip向各个云平台的目标ip传输网络数据包。由于要判断哪个源ip或者哪些源ip可能是攻击ip，不仅要考虑各个源ip向各个目标ip在多个预定时间点的网络数据包，还需要考虑所有源ip向所有目标ip的在所属多个预定时间点的整体情况，这可以利用卷积神经网络模型以及时序编码器来进行关联特征提取。本质上这也是一个分类的问题，也就是，通过各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包来对待预测的客户端的源ip是否为攻击ip进行分类判断。
[0055]
基于此，在本技术的技术方案中，首先，获取各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的网络数据包，并分别通过时序编码器进行编码处理，以提取出各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包在时间维度上的隐含关联特征信息，以获得多个第一特征向量。
[0056]
然后，将对应于各个客户端的多个第一特征向量按照客户端样本维度排列为特征矩阵后通过卷积神经网络模型中进行处理，以提取出各个客户端的样本维度的高维关联特
征信息，从而获得第一特征矩阵。
[0057]
应可以理解，针对第一特征矩阵所包含的时间维度和样本维度上的各数据之间的关联特征，如何能够从网络攻击的传输流量角度来对特征分布进行约束，从而使得第一特征矩阵的高维特征分布能够更加符合网络攻击的传输流量的范式特性，是需要解决的问题。
[0058]
因此，对于第一特征矩阵中的每个位置的特征值进行周期混沌映射，以获得第二特征矩阵，表示为：
[0059][0060]
其中f
i,j
为映射前的第一特征矩阵的每个位置的特征值，f
i,j
′
为映射后的第二特征矩阵的每个位置的特征值，f
i,j
mod(1)表示对f
i,j
进行模1的运算，也就是取f
i,j
的余数。a和b是超参数，其初始值例如可以取为中a＝0.5，b＝0.2。
[0061]
进一步地，就可以从对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量，并以此作为查询向量与第二特征向量进行矩阵相乘以得到分类特征向量。进而，将所述分类特征向量通过分类器就能够获得用于表示所述待预测的客户端的源ip是否为攻击ip的分类结果。
[0062]
这样，针对网络攻击在传输流量上具有一定程度的样本间的随机性和时间上的周期性的数据范式，通过对第一特征矩阵的特征值进行周期混沌映射，可以使得第二特征矩阵在高维特征空间内从特征分布层面模拟样本数据的范式特性，同时，又能够通过改进初始的特征分布来周期性间隔地按位置间隔生成混沌序列，来增强特征分布的按位置多样性，从而扩展分类器对于特征分布整体作为一个集合在高维特征空间内的搜索范围，改进全局分类精度。
[0063]
基于此，本技术提出了一种云平台入口实时流量复制方法，其包括：获取各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包；将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量；将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵；对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵，其中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射表示将所述第一特征矩阵中各个位置的特征值整合到周期性函数中；从所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量；将所述待预测的客户端的第一特征向量作为查询向量与所述第二特征向量进行矩阵相乘以获得分类特征向量；以及，将所述分类特征向量通过分类器以获得分类结果，所述分类结果用于表示所述待预测的客户端的源ip是否为攻击ip。
[0064]
在介绍了本技术的基本原理之后，下面将参考附图来具体介绍本技术的各种非限制性实施例。
[0065]
示例性方法
[0066]
图1图示了云平台入口实时流量复制方法的流程图。如图1所示，根据本技术实施例的云平台入口实时流量复制方法，包括：s110，获取各个客户端通过源ip向各个云平台的
目标ip在多个预定时间点的传输的网络数据包；s120，将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量；s130，将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵；s140，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵，其中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射表示将所述第一特征矩阵中各个位置的特征值整合到周期性函数中；s150，从所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量；s160，将所述待预测的客户端的第一特征向量作为查询向量与所述第二特征向量进行矩阵相乘以获得分类特征向量；以及，s170，将所述分类特征向量通过分类器以获得分类结果，所述分类结果用于表示所述待预测的客户端的源ip是否为攻击ip。
[0067]
图2图示了根据本技术实施例的云平台入口实时流量复制方法的架构示意图。如图2所示，在所述云平台入口实时流量复制方法的网络架构中，首先，将获得的各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包(例如，如图2中所示意的p1)通过包含一维卷积层和全连接层的时序编码器(例如，如图2中所示意的e)以获得对应于各个客户端的第一特征向量(例如，如图2中所示意的vf1)；接着，将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵(例如，如图2中所示意的mf1)后通过卷积神经网络模型(例如，如图2中所示意的cnn)以获得第一特征矩阵(例如，如图2中所示意的mf2)；然后，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵(例如，如图2中所示意的mf3)；接着，从所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量(例如，如图2中所示意的vf2)；然后，将所述待预测的客户端的第一特征向量作为查询向量与所述第二特征向量进行矩阵相乘以获得分类特征向量(例如，如图2中所示意的vf)；以及，最后，将所述分类特征向量通过分类器(例如，如图2中所示意的圈s)以获得分类结果，所述分类结果用于表示所述待预测的客户端的源ip是否为攻击ip。
[0068]
在步骤s110和步骤s120中，获取各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包，并将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量。应可以理解，在本技术的技术方案中，各个客户端通过源ip向各个云平台的目标ip传输网络数据包。由于要判断哪个源ip或者哪些源ip可能是攻击ip，不仅要考虑所述各个源ip向所述各个目标ip在多个预定时间点的网络数据包，还需要考虑所述所有源ip向所述所有目标ip的在所属多个预定时间点的整体情况，这可以利用卷积神经网络模型以及时序编码器来进行关联特征提取。并且本质上这也是一个分类的问题，也就是，通过各个所述客户端通过源ip向各个所述云平台的目标ip在多个预定时间点的传输的网络数据包来对所述待预测的客户端的源ip是否为攻击ip进行分类判断。
[0069]
因此，在本技术的技术方案中，首先，通过流量检测器获取各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包。然后，分别将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过时序编码器进行编码处理，以提取出所述各个客户端通过源ip向各个云平台的目标ip在多个预定时
间点的传输的网络数据包在时间维度上的隐含关联特征信息，从而获得多个第一特征向量。
[0070]
具体地，在本技术实施例中，将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量的过程，包括：首先，将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包按照时间维度排列为对应于各个所述客户端的一维的输入向量。然后，使用所述时序编码器的全连接层以如下公式对所述输入向量进行全连接编码以提取出所述输入向量中各个位置的特征值的高维隐含特征，其中，所述公式为：其中x是输入向量，y是输出向量，w是权重矩阵，b是偏置向量，表示矩阵乘。最后，使用时序编码器的一维卷积层以如下公式对所述输入向量进行一维卷积编码以提取出所述输入向量中各个位置的特征值间的关联的高维隐含关联特征，其中，所述公式为：
[0071][0072]
其中，a为卷积核在x方向上的宽度、f为卷积核参数向量、g为与卷积核函数运算的局部向量矩阵，w为卷积核的尺寸。
[0073]
在步骤s130中，将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵。也就是，在本技术的技术方案中，在得到对应于各个客户端的第一特征向量后，进一步将所述第一特征向量按照客户端样本维度排列为特征矩阵，再将其通过卷积神经网络模型中进行处理，以提取出所述各个客户端传输的网络数据包的样本维度的高维关联特征信息，从而获得第一特征矩阵。
[0074]
具体地，在本技术的实施例中，将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵的过程，包括：首先，将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵；然后，所述卷积神经网络的各层在层的正向传递中分别对输入数据进行基于二维卷积核的卷积处理、沿通道维度的池化处理和激活处理以由所述卷积神经网络的最后一层输出所述第一特征矩阵，其中，所述卷积神经网络的第一层的输入为所述特征矩阵。
[0075]
在步骤s140中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵，其中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射表示将所述第一特征矩阵中各个位置的特征值整合到周期性函数中。应可以理解，由于针对所述第一特征矩阵所包含的时间维度和样本维度上的各数据之间的关联特征，如何能够从网络攻击的传输流量角度来对特征分布进行约束，从而使得所述第一特征矩阵的高维特征分布能够更加符合网络攻击的传输流量的范式特性，是需要解决的问题。因此，在本技术的技术方案中，进一步对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵。值得一提的是，这里，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射表示将所述第一特征矩阵中各个位置的特征值整合到周期性函数中。
[0076]
特别地，应可以理解，针对网络攻击在传输流量上具有一定程度的样本间的随机
性和时间上的周期性的数据范式，通过对所述第一特征矩阵的特征值进行周期混沌映射，可以使得所述第二特征矩阵在高维特征空间内从特征分布层面模拟样本数据的范式特性，同时，又能够通过改进初始的特征分布来周期性间隔地按位置间隔生成混沌序列，来增强所述特征分布的按位置多样性，从而扩展分类器对于特征分布整体作为一个集合在高维特征空间内的搜索范围，改进全局分类精度。
[0077]
具体地，在本技术实施例中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵的过程，包括：以如下公式对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵；其中，所述公式为：
[0078][0079]
其中f
i,j
为映射前的所述第一特征矩阵的每个位置的特征值，f
i,j
′
为映射后的所述第二特征矩阵的每个位置的特征值，f
i,j
mod(1)表示对f
i,j
进行模1的运算，也就是取f
i,j
的余数，并且a和b是超参数，其初始值例如可以取为中a＝0.5，b＝0.2。
[0080]
在步骤s150和步骤s160中，从所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量，并将所述待预测的客户端的第一特征向量作为查询向量与所述第二特征向量进行矩阵相乘以获得分类特征向量。也就是，在本技术的技术方案中，为了对所述待预测的客户端的源ip是否为攻击ip进行准确地判断，就需要从所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量。然后，进一步将所述待预测的客户端的第一特征向量作为查询向量与所述第二特征向量进行矩阵相乘以获得用于分类的分类特征向量。
[0081]
在步骤s170中，将所述分类特征向量通过分类器以获得分类结果，所述分类结果用于表示所述待预测的客户端的源ip是否为攻击ip。也就是，在本技术的技术方案中，进一步将所述分类特征向量通过分类器以获得用于表示所述待预测的客户端的源ip是否为攻击ip的分类结果。特别地，响应于所述分类结果为所述待预测的客户端的源ip是攻击ip，停止对由所述待预测的客户端的源ip所发送的网络数据包进行复制。
[0082]
具体地，在本技术实施例中，将所述分类特征向量通过分类器以获得分类结果的过程，包括：使用所述分类器以如下公式对所述分类特征向量进行处理以获得所述分类结果；其中，所述公式为：softmax{(wn,bn):
…
:(w1,b1)|x}，其中，w1到wn为权重矩阵，b1到bn为偏置向量，x为分类特征向量。
[0083]
综上，本技术实施例的云平台入口实时流量复制方法被阐明，其通过卷积神经网络模型以及时序编码器对各个客户端在多个预定时间点的传输网络数据包进行时间和样本维度上的高维关联特征提取以获得第一特征矩阵，并且针对网络攻击在传输流量上具有一定程度的样本间的随机性和时间上的周期性的数据范式，通过对所述第一特征矩阵的特征值进行周期混沌映射，可以使得所述第二特征矩阵在高维特征空间内从特征分布层面模拟样本数据的范式特性，同时，又能够通过改进初始的特征分布来周期性间隔地按位置间隔生成混沌序列，来增强特征分布的按位置多样性，从而扩展分类器对于特征分布整体作为一个集合在高维特征空间内的搜索范围，改进全局分类精度。
[0084]
示例性系统
[0085]
图3图示了根据本技术实施例的云平台入口实时流量复制系统的框图。如图3所
示，根据本技术实施例的云平台入口实时流量复制系统400，包括：网络数据包获取单元410，用于获取各个客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包；时序编码单元420，用于将各个所述网络数据包获取单元410获得的所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包通过包含一维卷积层和全连接层的时序编码器以获得对应于各个客户端的第一特征向量；特征提取单元430，用于将所述时序编码单元420获得的所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵后通过卷积神经网络模型以获得第一特征矩阵；周期性混沌映射单元440，用于对所述特征提取单元430获得的所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵，其中，对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射表示将所述第一特征矩阵中各个位置的特征值整合到周期性函数中；提取单元450，用于从所述时序编码单元420获得的所述对应于各个客户端的第一特征向量中提取待预测的客户端的第一特征向量；分类特征向量生成单元460，用于将所述提取单元450获得的所述待预测的客户端的第一特征向量作为查询向量与所述周期性混沌映射单元440获得的所述第二特征向量进行矩阵相乘以获得分类特征向量；以及，分类单元470，用于将所述分类特征向量生成单元460获得的所述分类特征向量通过分类器以获得分类结果，所述分类结果用于表示所述待预测的客户端的源ip是否为攻击ip。
[0086]
在一个示例中，在上述云平台入口实时流量复制系统400中，所述时序编码单元420，进一步用于：将各个所述客户端通过源ip向各个云平台的目标ip在多个预定时间点的传输的网络数据包按照时间维度排列为对应于各个所述客户端的一维的输入向量；使用所述时序编码器的全连接层以如下公式对所述输入向量进行全连接编码以提取出所述输入向量中各个位置的特征值的高维隐含特征，其中，所述公式为：其中x是输入向量，y是输出向量，w是权重矩阵，b是偏置向量，表示矩阵乘；使用时序编码器的一维卷积层以如下公式对所述输入向量进行一维卷积编码以提取出所述输入向量中各个位置的特征值间的关联的高维隐含关联特征，其中，所述公式为：
[0087][0088]
其中，a为卷积核在x方向上的宽度、f为卷积核参数向量、g为与卷积核函数运算的局部向量矩阵，w为卷积核的尺寸。
[0089]
在一个示例中，在上述云平台入口实时流量复制系统400中，所述特征提取单元430，进一步用于：将所述对应于各个客户端的第一特征向量按照客户端样本维度二维排列为特征矩阵；以及，所述卷积神经网络的各层在层的正向传递中分别对输入数据进行基于二维卷积核的卷积处理、沿通道维度的池化处理和激活处理以由所述卷积神经网络的最后一层输出所述第一特征矩阵，其中，所述卷积神经网络的第一层的输入为所述特征矩阵。
[0090]
在一个示例中，在上述云平台入口实时流量复制系统400中，所述周期性混沌映射单元440，进一步用于：以如下公式对所述第一特征矩阵中各个位置的特征值进行周期性混沌映射以获得第二特征矩阵；
[0091]
其中，所述公式为：
[0092][0093]
其中f
i,j
为映射前的所述第一特征矩阵的每个位置的特征值，f
i,j
′
为映射后的所述第二特征矩阵的每个位置的特征值，f
i,j
mod(1)表示对f
i,j
进行模1的运算，也就是取f
i,j
的余数，并且a和b是超参数。
[0094]
在一个示例中，在上述云平台入口实时流量复制系统400中，所述分类单元470，进一步用于：使用所述分类器以如下公式对所述分类特征向量进行处理以获得所述分类结果；其中，所述公式为：softmax{(wn,bn):
…
:(w1,b1)|x}，其中，w1到wn为权重矩阵，b1到bn为偏置向量，x为分类特征向量。
[0095]
在一个示例中，在上述云平台入口实时流量复制系统400中，进一步包括：响应于所述分类结果为所述待预测的客户端的源ip是攻击ip，停止对由所述待预测的客户端的源ip所发送的网络数据包进行复制。
[0096]
这里，本领域技术人员可以理解，上述云平台入口实时流量复制系统400中的各个单元和模块的具体功能和操作已经在上面参考图1到图2的云平台入口实时流量复制方法的描述中得到了详细介绍，并因此，将省略其重复描述。
[0097]
如上所述，根据本技术实施例的云平台入口实时流量复制系统400可以实现在各种终端设备中，例如云平台入口实时流量复制算法的服务器等。在一个示例中，根据本技术实施例的云平台入口实时流量复制系统400可以作为一个软件模块和/或硬件模块而集成到终端设备中。例如，该云平台入口实时流量复制系统400可以是该终端设备的操作系统中的一个软件模块，或者可以是针对于该终端设备所开发的一个应用程序；当然，该云平台入口实时流量复制系统400同样可以是该终端设备的众多硬件模块之一。
[0098]
替换地，在另一示例中，该云平台入口实时流量复制系统400与该终端设备也可以是分立的设备，并且该云平台入口实时流量复制系统400可以通过有线和/或无线网络连接到该终端设备，并且按照约定的数据格式来传输交互信息。
[0099]
示例性电子设备
[0100]
下面，参考图4来描述根据本技术实施例的电子设备。如图4所示，电子设备包括10包括一个或多个处理器11和存储器12。所述处理器11可以是中央处理单元(cpu)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备10中的其他组件以执行期望的功能。
[0101]
存储器12可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(ram)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(rom)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器11可以运行所述程序指令，以实现上文所述的本技术的各个实施例的云平台入口实时流量复制方法的功能以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如第一特征向量、分类特征向量等各种内容。
[0102]
在一个示例中，电子设备10还可以包括：输入系统13和输出系统14，这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
[0103]
该输入系统13可以包括例如键盘、鼠标等等。
[0104]
该输出系统14可以向外部输出各种信息，包括分类结果等。该输出系统14可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
[0105]
当然，为了简化，图4中仅示出了该电子设备10中与本技术有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备10还可以包括任何其他适当的组件。
[0106]
示例性计算机程序产品和计算机可读存储介质
[0107]
除了上述方法和设备以外，本技术的实施例还可以是计算机程序产品，其包括计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本技术各种实施例的云平台入口实时流量复制方法中的功能中的步骤。
[0108]
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本技术实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如java、c 等，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
[0109]
此外，本技术的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的云平台入口实时流量复制方法中的步骤。
[0110]
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、系统或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0111]
以上结合具体实施例描述了本技术的基本原理，但是，需要指出的是，在本技术中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本技术的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本技术为必须采用上述具体的细节来实现。
[0112]
本技术中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。
[0113]
还需要指出的是，在本技术的装置、设备和方法中，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本技术的等效方案。
[0114]
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本技术。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义
的一般原理可以应用于其他方面而不脱离本技术的范围。因此，本技术不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。
[0115]
为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本技术的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。