[发明专利]一种基于深度学习的网络流量过滤规则转化方法

权利要求书

1.一种基于深度学习的网络流量过滤规则转化方法，其特征在于，包括以下步骤：

(1)捕获网络节点入口处的流量数据，保存至本地文件；所述流量数据包含正常网络流量数据与DDoS攻击流量数据；

(2)对步骤(1)捕获的流量数据进行特征提取与标签生成：对于步骤(1)捕获的流量数据中的每个数据包，直接提取数据包原始字节序列的前m字节作为特征向量，对每个数据包分别标记正常标签或DDoS攻击标签作为其真实标签；对特征向量中涉及地址信息的字段进行置0处理；

(3)将步骤(2)得到的真实标签输入三层感知机神经网络模型得到预测标签，将该预测标签输入CART决策树，训练CART决策树，输出CART决策树的APL、准确率、精确度、召回率和F1值：所述步骤(3)包括以下子步骤：

(3.1)建立三层感知机神经网络模型和三层感知机代理模型；

(3.2)将步骤(2)中得到的特征向量输入步骤(3.1)建立的三层感知机神经网络模型进行训练，当三层感知机神经网络模型的迭代次数大于6000次或损失函数值变化幅度小于0.01时或准确率达到99.9％时，完成三层感知机神经网络模型的训练；所述步骤(3.2)包括以下子步骤：

(3.2.1)使用步骤(2)构建的特征向量和真实标签训练步骤(3.1)建立的三层感知机神经网络模型，每次训练迭代Epoch₁次，将步骤(2)中得到的特征向量输入迭代完成得到的三层感知机神经网络模型，得到预测标签；

(3.2.2)使用步骤(2)构建的特征向量与步骤(3.2.1)得到的预测标签训练CART决策树；

(3.2.3)使用三层感知机神经网络模型的权重系数与CART决策树的真实APL、真实准确率、真实精确度、真实召回率和真实F1值训练三层感知机代理模型，每次训练迭代Epoch₂次；

所述三层感知机神经网络模型训练使用的损失函数Loss为：

Loss＝DNN_H+λ_APLAPL_sur-λ_accACC_sur-λ_prePrecision_sur-λ_recallRecall_sur-λ_f1F1_sur

其中，DNN_H为DNN交叉熵分类损失，APL_sur、ACC_sur、Precision_sur、Recall_sur和F1_sur分别为三层感知机代理模型估计的CART决策树的APL、准确率、精确度、召回率和F1值，λ_APL、λ_acc、λ_pre、λ_recall和λ_f1为对应权重系数；

其中，CART决策树的APL值为：

其中，deep(x_i)表示CART决策树对x_i进行分类所使用的节点的最大深度，n为样本总数；

(3.2.4)重复步骤(3.2.1)～步骤(3.2.3)Epoch₃次，得到完成训练的三层感知机神经网络模型；

(3.3)将步骤(2)中得到的特征向量输入步骤(3.2.4)中训练得到的三层感知机神经网络模型，得到预测标签；

(3.4)将步骤(2)中得到的特征向量与步骤(3.3)得到的预测标签输入CART决策树模型进行训练，当模型的迭代次数大于6000次或者准确率达到99.9％时，完成对CART决策树的训练；

(4)对步骤(3)中得到的CART决策树进行剪枝处理；

(5)CART决策树进行规则转化：对步骤(4)中得到的剪枝处理后的CART决策树进行先序遍历，并将遍历得到的正常流量规则存储于规则表中；

(6)规则选取：对步骤(5)中得到的规则进行按需选取操作，根据实际需求选择相应数量的规则，并将选取的规则存储于规则表中；

(7)匹配规则表：将步骤(2)得到的流量数据的特征向量输入训练阶段步骤(6)得到的规则表中，根据规则表中的规则进行匹配。