[发明专利]基于卷积神经网络与LSTM结合的网络流量异常检测方法

权利要求书

1.基于卷积神经网络与LSTM结合的网络流量异常检测方法，其特征在于所述方法包括：

利用SCADA系统采集的网络数据，并对数据进行预处理，筛选得到符合实验要求的数据；

将预处理的数据转化为对应灰度图像；

建立CNN-LSTM模型，通过交叉熵最小化的方式确定模型最优化参数；

以准确率、真阳性率、假阳性率和F1-score为指标对CNN-LSTM模型进行训练，基于训练后的模型对检测分类效果进行评估。

2.如权利要求1所述的基于卷积神经网络与LSTM结合的网络流量异常检测方法，其特征在于，所述数据预处理包括以下过程：

步骤101，从原始PCAP文件中截取相应周期的PCAP文件；

步骤102，根据每个时间段对应的攻击主机和受害者主机的IP进行流量划分；

步骤103，使用pickle工具将流量保存为KPL文件，生产矩阵数据；

步骤104，为了有效地学习和分类模型，通过one_hot编码对数据进行处理，将定性特征转换为定量特征。

3.如权利要求2所述的基于卷积网络与LSTM相结合的异常检测方法，其特征在于，所述将预处理的数据转化为对应灰度图像：

步骤201，在对数据集特征进行数据预处理扩展后，进行降维操作以得到处理成n×n图像数据格式作为模型的输入，采用方差系数作为降维筛选依据，函数定义为

其中σ为标准差，μ为均值，方差系数越大，特征分布越集中，比较后去除方差系数较小的维度；

步骤202，将其组合成N*N的矩阵，转换成一个N*N像素大小的灰度图，每个数字分别代表对应的像素灰度值，数字越大所对应的像素点越接近白色。

4.如权利要求3所述的基于卷积神经网络与LSTM结合的网络流量异常检测方法，其特征在于，所述构建最优化CNN-LSTM模型包括：

步骤301，CNN部分前一个卷积层和池化层中使用具有小卷积核的卷积层来提取流量图像中的局部特征如IP和端口，在池化层中可以获得清晰的特征，后一个卷积层和池化层中使用大卷积核分析相距较远的特征之间的关系；

步骤302，将整个流量图像提取成一个较小的特征块，表示整个流量包的特征信息，再将块作为LSTM层的输入到LSTM系统中；

步骤303，LSTM以单个连接的数据为一个组，并判断该组中所有数据包的特性以及它们之间的关系作为判断流量性质的基础。

5.如权利要求1或2所述的基于卷积神经网络与LSTM结合的网络流量异常检测方法，其特征在于，所述对模型预测效果进行评估包括以下过程：

采用准确率、真阳性率、假阳性率和F1-score四个指标构建模型预测效果评价体系，四个评价方式公式如下，

准确率：

真阳性率：

假阳性率：

F1-score：

其中TP是正确分类为此类型的样本数量，TN是正确分类为非此类型的样本数量，FP是错误分类为此类型的样本数量，FN是错误分类为非此类型的样本数量。