[发明专利]融合流模型对抗生成网络和聚类算法的网络异常流量检测方法

权利要求书

1.融合流模型对抗生成网络和聚类算法的网络异常流量检测方法，其特征在于，包含以下步骤：

步骤S1：获取网络中的流量数据并将其分类存储；

步骤S2：数据预处理，将网络流量数据处理成尺寸为m*m的灰度图；

步骤S3：根据流量特征设计神经网络模型，设计的网络模型结构包括三大部分，特征提取部分，特征分类部分和可扩展实现部分，其中特征提取部分包括多尺寸空间特征提取部分，时序特征提取部分；其中多尺寸空间特征提取部分分为三层：第一层包含三个卷积层，每个卷积层后面跟着池化层、归一化层和激活层；第二层包含两个卷积层，每个卷积层后面跟着池化层、归一化层和激活层；第三层包含四个卷积层，每个卷积层后面跟着池化层、归一化层和激活层；其中时序特征提取部分包含两层双向的长短期记忆神经网络，第一个长短期记忆神经网络学习流量数据数据包间时序特征；第二个长短期记忆神经网络学习流量数据数据包内的时序特征；特征分类部分包括一个全局卷积层、一个平均池化层和两个全连接层，全连接层后面接着普通的sotfmax分类器；

步骤S4：将步骤S2得到的灰度图送入步骤S3设计的神经网络模型进行训练，训练过程中保存流模型的输出用于计算阈值γ，并保存训练结果最好的模型参数，其中p_G(x_i)代表训练数据集的分布x_i代表训练数据集中的第i个数据；

步骤S5：将含有未知类型网络流量的数据送入步骤S4训练好的网络模型加载保存的模型参数进行预测，若为未知类型的网络流量则执行步骤S6，否则直接执行步骤S8即对该网络流量数据直接进行分类；

步骤S6:将步骤S5中判断为未知类型的网络流量数据所对应的灰度图片送入对抗生产网络来合成与输入图像相似灰度图；

步骤S7:根据密度聚类算法的聚类结果来合并属于同一类型的未知类型的网络流量，使用合并后的未知类型的网络流量数据作为已知类型的网络流量来更新训练集，并回到步骤S4重新训练网络；

步骤S8:对网络流量进行分类得到分类结果。

2.如权利要求1述的融合流模型对抗生产网络和聚类算法的网络异常流量检测方法，其特征在于，所述步骤S4的详细步骤包括：

步骤S4.1:将原始的灰度图使用resize函数得到图像尺寸缩小一倍和图像尺寸扩大一倍的灰度图；

步骤S4.2:分别将原始灰度图、尺寸缩小后的灰度图、尺寸扩大后的灰度图送入网络模型的空间特征提取部分的第一层、第二层，第三层进行特征提取，并同时将原始的灰度图送入时序特征提取模块，提取时序特征；

步骤S4.3:将提取到的特征利用特征融合技术进行融合，然后使用全局卷积与平均池化层来提取特征；

步骤S4.4将提取到的特征分别送入流模型与普通分类器模块进行训练；

步骤S4.5保存流模型的输出用于计算初始阈值γ，从保存的流模型输出结果中选取N个最小结果计算平均值并加上一个边界松弛自由参数S作为初始阈值，公式如(1)，(2)所示，常用的阈值计算方法直接使用公式

计算流模型所需要的阈值；

公式(1)，(2)中sorted表示一个排序函数，可以对输入的数据从小到大进行排序，其中表示对流模型输出结果进行从小到大排序后得到的结果，X表示训练数据集，x_i表示第i个数据，表示流模型的输出值，γ表示阈值，N表示排序后前N个最小的结果。

3.如权利要求1所述的融合流模型对抗生成网络和聚类算法的网络异常流量检测方法，其特征在于所述步骤S5，流模型结合普通softmax分类器实现对未知类型流量的分类，具体步骤如下：

步骤S5.1：将含有未知类型网络流量的数据送入S4训练好的网络模型进行预测，将流模型得到的输出与权利要求书2中的具体步骤S4.5中计算出的阈值γ进行对比来判断该预测的网络流量是否为未知类型的网络流量；

步骤S5.2：如果得到的输出值小于阈值γ则表示该网络流量数据为未知类型的网络流量数据，相反的则表示该网络流量为已知类型的网络流量数据，则将该网络流量数据送入训练好的分类器进行分类，具体判别公式如(3)所示，假设已知类型的网络流量数据的类型数为k；

其中predict()是一个预测输入流量x_i是否为未知类型网络流量的函数。