[发明专利]一种基于深度学习的网络流量过滤规则转化方法

说明书

本发明公开了一种基于深度学习的网络流量过滤规则转化方法，该方法包括数据包原始字节特征提取、决策树提取神经网络内容、决策树剪枝、决策树规则转化、规则选取。本发明使用数据包原始字节作为特征，提高了模型训练和预测的效率，使得模型更具备可扩展性；其次本发明使用决策树提取神经网络内容，将剪枝后的决策树转化为一系列规则，并能按需选取规则，利用得到的规则实现了对网络中流量的识别与分类，该方法检测准确率高，可解释性强，处理速度快，在网络节点中部署，可以高效地识别网络攻击流量，保证了实时性和应用性。

技术领域

本发明涉及计算机网络安全技术领域，属于入侵检测(Intrusion DetectionSystem，IDS)领域，尤其涉及一种基于深度学习的网络流量过滤规则转化方法。

背景技术

互联网应用在人们生活的各个方面，网络交互的同时留下了大量的网络痕迹。以往在网络中的流量数据大多以明文形式存在，例如HTTP协议的交互过程。随着网络技术的更新，现在网络中的流量数据都采用TLS/SSL加密协议进行加密。以往的一些基于字段的网络入侵检测方法不再有效，所以加密流量背景下的入侵检测方法是具有研究意义的。

传统的流量识别包括基于IP和端口、基于有效负载的方法，现在恶意攻击者常常会伪装自己的IP地址和端口号，并且有效负载进行了加密，大大增加了流量分类的难度。

基于机器学习和深度学习的流量识别具有准确率高、能够识别加密流量的优点，但也存在计算资源消耗大、可解释性弱、统计特征可扩展性差的缺点。基于深度学习，设计一种高效、准确且可解释性强的网络流量过滤规则转化模型具有广泛的前景。

发明内容

本发明的目的在于针对现有技术的不足，提出了一种使用数据包原始字节序列作为特征，利用决策树提取神经网络内容，对剪枝后的决策树进行规则转化和规则选取的基于深度学习的网络流量过滤规则转化方法，有效提高入侵检测的高效性、准确性和可解释性。

本发明的目的是通过以下技术方案来实现的：一种基于深度学习的网络流量过滤规则转化方法，包括以下步骤：

(1)捕获网络节点入口处的流量数据，保存至本地文件；所述流量数据包含正常网络流量数据与DDoS攻击流量数据；

(2)对步骤(1)捕获的流量数据进行特征提取与标签生成：对于步骤(1)捕获的流量数据中的每个数据包，直接提取数据包原始字节序列的前m字节作为特征向量，对每个数据包分别标记正常标签或DDoS攻击标签作为其真实标签；对特征向量中涉及地址信息的字段进行置0处理；

(3)将步骤(2)得到的真实标签输入三层感知机神经网络模型得到预测标签，将该预测标签输入CART决策树，训练CART决策树，输出CART决策树的APL、准确率、精确度、召回率和F1值：

(4)对步骤(3)中得到的CART决策树进行剪枝处理；

(5)CART决策树进行规则转化：对步骤(4)中得到的剪枝处理后的CART决策树进行先序遍历，并将遍历得到的正常流量规则存储于规则表中；

(6)规则选取：对步骤(5)中得到的规则进行按需选取操作，根据实际需求选择相应数量的规则，并将选取的规则存储于规则表中；

(7)匹配规则表：将步骤(2)得到的流量数据的特征向量输入训练阶段步骤(6)得到的规则表中，根据规则表中的规则进行匹配。

进一步地，所述步骤(3)包括以下子步骤：

(3.1)建立三层感知机神经网络模型和三层感知机代理模型；

(3.2)将步骤(2)中得到的特征向量输入步骤(3.1)建立的三层感知机神经网络模型进行训练，当三层感知机神经网络模型的迭代次数大于6000次或损失函数值变化幅度小于0.01时或准确率达到99.9％时，完成三层感知机神经网络模型的训练；