[发明专利]一种异常流量检测方法及系统

权利要求书

1.一种异常流量检测方法，其特征在于，包括云端处理阶段及雾端处理阶段，其中所述云端处理阶段包括以下步骤：

S1、构建原始数据集，原始数据集中包含物联网设备发送的流量；

S2、将所述原始数据集在边缘服务器上进行预处理，得到规范化数据集；

S3、针对所述规范化数据集，采用Borderline SMOTE算法进行过采样，合成少数类样本以平衡所述规范化数据集，得到平衡数据集；

S4、构建DSC-BiRGRU网络模型，将所述平衡数据集输入深度可分离卷积神经网络进行深度特征提取，获取所述平衡数据集中数据的空间特征；

S5、将步骤S4中获取的数据输入所述DSC-BiRGRU网络模型中，训练得到分类模型；

所述雾端处理阶段包括以下步骤：

接收物联网设备发送的流量，并将所述流量通过数据预处理转换为预设格式；

将云端训练好的分类模型权重共享到雾节点，将预处理后的流量数据输入所述分类模型以识别异常流量。

2.根据权利要求1所述的一种异常流量检测方法，其特征在于，所述云端处理阶段还包括以下步骤：

构建测试集，所述测试集通过预处理及降维操作；

基于所述测试集，采用通用性指标对所述分类模型的分类结果进行评估。

3.根据权利要求1所述的一种异常流量检测方法，其特征在于，步骤S2中，BorderlineSMOTE算法包括以下步骤：

步骤a，将数据集D按标签分为少数类样本P＝{p₁，p₂，p₃，…，p_pnum}及多数类样本N＝{n₁，n₂，n₃，…，n_nnum}；

步骤b，对任一p_i∈P，计算p_i在训练集T中的m个最邻近样本点，且其中多类样本点数量为m′，0≤m′≤m；

步骤c，若m′＝m，则认为p_i为噪声，不做操作；

步骤d，若m/2≤m′＜m，则认为p_i最邻近样本中多数类样本多于少数类样本，将p_i放入集合Danger中；

步骤e，若0≤m′＜m/2，则认为p_i安全，不做操作；

步骤f，取少数类边界数据集其中dnum为少数类边界数据样本个数，0≤dnum≤pnum；

步骤g，对于任意p′_i∈Danger，计算p′_i的k个临近同类样本，选取s个同类样本，计算p′_i与同类样本之间的差值diff_j，则新生成的样本p′_new的计算公式为p′_new＝p′_i+r*diff_j；其中，1≤s≤k，j＝1，2，3，…，s，r∈(0，1)；

步骤h，将新生成的样本p′_new加入原始数据集；

步骤i，重复步骤g及步骤h操作，获取最终数据集D_new。

4.根据权利要求1所述的一种异常流量检测方法，其特征在于，步骤S4中，所述深度可分离卷积神经网络采用逐通道卷积和逐点卷积来提取数据的时序特征，其中逐通道卷积获取和输入通道相同的特征图，逐点卷积获取不同特征图在相同位置上的特征信息。

5.根据权利要求1所述的一种异常流量检测方法，其特征在于，所述DSC-BiRGRU网络模型包括DSCNN层、BiRGRU层及分类层；

所述DSCNN层采用深度可分离卷积网络捕获网络流量的隐含特征；

所述BiRGRU层用于进行双向时序建模，捕获流量时序特征；

所述分类层用于输出分类结果。

6.根据权利要求5所述的一种异常流量检测方法，其特征在于，所述分类层中，通过dropout层防止模型过拟合，并采用softmax层进行结果预测。