[发明专利]一种基于GRU网络的协议流量识别方法

权利要求书

1.一种基于GRU网络的协议流量识别方法，其特征在于，包括以下步骤：

S1：对不同协议流量样本进行数据预处理，得到符合GRU网络输入数据格式的训练样本集，并使用该训练样本集对GRU网络模型进行训练；

S2：对未知协议流量进行数据预处理，得到具有时间序列的空间位置特征数据，并输入至训练完成的GRU网络模型中；

S3：使用训练完成的GRU网络模型对数据预处理后的未知协议流量进行识别，最终得到预测标签；

步骤S1、S2中所述数据预处理包括流量切分、数据包聚类、会话数据转换；其中：流量切分，负责将未知协议流量按照一定依据切分成对应形式的数据集；数据包聚类，负责对数据集中的所有数据包进行聚类，并得到聚类中心；会话数据转换，负责将所有数据包的内容转换为各数据包与各聚类中心之间的距离；最后，按照各数据包的时序关系进行整合，将未知协议流量转化为具有时间序列的空间位置特征数据。

2.根据权利要求1所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述流量切分的基本单元为会话。

3.根据权利要求1所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述数据包聚类采用K均值算法进行。

4.根据权利要求1所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述会话数据转换是将流量切分后的各数据包的内容格式替换为距离集合，所采用的距离计算公式为：

其中，Max Subsequence函数为各数据包与各聚类中心之间的最长公共连续序列识别算法；D_(x,centroid)为各数据包与各聚类中心的距离。

5.根据权利要求1所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述GRU网络模型包括输入层、Masking层、第一GRU层、第二GRU层、全连接层、输出层；其中：

所述Masking层分别连接至输入层和第一GRU层；

所述第二GRU层分别连接至第一GRU层和全连接层；

所述输出层与全连接层连接。

6.根据权利要求5所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述第一GRU层、第二GRU层提取特征值的维度均设置为64。

7.根据权利要求5所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述全连接层采用ReLU函数作为激活函数。

8.根据权利要求5所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述全连接层采用Dropout设置其比率为0.5。

9.根据权利要求5所述的一种基于GRU网络的协议流量识别方法，其特征在于，所述输出层采用Sigmoid函数作为激活函数。