[发明专利]一种基于深度学习的异常网络连接检测方法

权利要求书

1.一种深度学习的异常网络连接检测方法，其特征在于，包括以下步骤：

第一步，对输入的原始网络流记录数据进行数据清洗，得到干净网络流记录数据集，并将所述干净网络流记录数据集拆分为训练数据集和验证数据集；

第二步，对所述干净网络流记录数据集进行特征抽取，并对抽取后的特征进行标准化处理，从而对网络流记录数据集中的每个网络流记录生成特征向量；

第三步，对所述干净网络流记录数据集中的网络流记录提取网络连接标识字段，并根据所述网络连接标识字段对网络流记录进行聚合，生成所述网络流记录数据集中的所有网络连接，所述网络连接由第二步中特征向量构成的特征向量序列进行描述；

第四步，构建网络连接模型，使用第三步中的特征向量序列对网络连接模型进行训练，完成对正常网络连接模式和异常网络连接模式的建模，网络连接模型输出最终输出为网络连接的向量表达形式；

第五步，构建一个异常网络连接检测器，使用网络连接模型的输出作为输入，与网络连接模型同步进行训练，完成对正常网络连接和异常网络连接的检测，得到网络连接的检测结果；

第六步，使用验证数据集中的网络连接特征向量序列对异常网络连接检测器进行测试，根据异常网络连接检测器的检测效果，对网络连接模型和异常网络连接检测器进行调参优化与误报控制，如果达到期望检测效果，则训练结束并保存网络参数及结构，从而完成异常网络连接检测；

所述第三步中，所述特征向量序列指由一组特征向量构成的一个序列；

所述特征向量序列中包含的特征向量个数不一定相同，对于不定长的特征向量序列输入，导致的模型不收敛情况，对不定长的特征向量序列处理的方法包括：

1）将所有网络连接的特征向量序列统一为一个指定的最大长度的特征向量序列；

2）在网络连接模型中对统一序列长度后的特征向量序列进行还原；

3）对深度神经网络进行权值初始化，并使用还原后的特征向量序列进行模型训练；

所述第四步中，所述网络连接模型构建与训练是基于深度神经网络的网络连接模型，所述深度神经网络的网络连接模型采用深度循环神经网络模型；

所述深度循环神经网络模型由Masking层、两层GRU层加BatchNormalization层的组合层构成，用于完成对网络连接模式的建模。

2.根据权利要求1所述的一种深度学习的异常网络连接检测方法，其特征在于：所述第一步中，数据清洗包括去除重复网络数据流记录和删除格式非法网络数据流记录。

3.根据权利要求1所述的一种深度学习的异常网络连接检测方法，其特征在于：所述第二步中，生成特征向量中的特征包括：开始时间、持续时间、传输数据包总量、传输数据总大小、源IP发送数据总大小。

4.根据权利要求1所述的一种深度学习的异常网络连接检测方法，其特征在于：所述第三步中，所述对网络流记录进行聚合中，网络连接标识字段包括源IP、目的IP、目的端口和所用协议。

5.根据权利要求1所述的一种深度学习的异常网络连接检测方法，其特征在于：所述第三步中，所述特征向量序列中包含的特征向量个数不相同。

6.根据权利要求1所述的一种深度学习的异常网络连接检测方法，其特征在于：所述第五步中，所述异常网络连接检测器模型由全连接层加Sigmoid层构成，用于完成对异常网络连接的识别。