[发明专利]基于经验特征与卷积神经网络的数据流异常检测系统

权利要求书

1.一种基于经验特征与卷积神经网络的数据流异常检测系统，其特征在于包括：

经验特征提取模块，用于识别数据包异常识别作用较大的统计特征和包头特征共同作为基于人工经验的特征，并训练基于人工经验特征的SVM分类器；

比特流转化图片模块，用于将数据流从01比特的形式转化为二维灰度图片的形式，再通过卷积神经网络对其进行感知，提取全局的高层感知特征；

融合拼接模块，用于融合拼接经验特征提取模块和比特流转化图片模块的基于深度学习的全局特征作为数据流特征，利用神经网络的全连接层进行异常数据流识别；

蒸馏模型模块，用于设计简单浅层的网络近似复杂深层网络的检测效果，在实际部署时替代复杂网络；

概念漂移微调模块，用于实际检测到发生了概念漂移，则利用最近数据流对深度网络进行模型微调，更新检测模型，并将新的模型放入模型库备用；

更新经验数据库模块，用于随机采样样本，分别采用人工经验特征检测模型和融合特征检测模型对其进行异常检测，若结果不同，则对其进行人工分析，将新的网络攻击手段或是隐藏攻击指令的方式，加入人工经验数据库；

用于识别数据包异常识别作用较大的统计特征和包头特征共同作为基于人工经验的特征具体为：

(1)统计特征，查询数据流统计信息数据库，得到数据流层面对检测异常数据流有效的统计量，包括四层协议端口号、流的包数目、包大小、包之间的时间间隔，对此种特征进行提取；

(2)查询包头信息数据库，得到数据包层面对检测异常数据流有效的敏感包头字，对此种特征进行提取；

(3)拼接(1)和(2)中特征得到人工经验特征。

2.根据权利要求1所述的基于经验特征与卷积神经网络的数据流异常检测系统，其特征在于所述的比特流转化图片模块包括：

比特流转化数字序列模块，用于将01比特流按照八个比特一组进行划分，将一个字节转化为一个0-255之间的整数，此时数据流由01比特序列变为数字序列；

数字序列转化图像模块，用于将数字序列中的每个数字视为像素值，对数字序列进行重新排列，使之成为二维图像的形式，从而转化为二维灰度图。

3.根据权利要求2所述的基于经验特征与卷积神经网络的数据流异常检测系统，其特征在于比特流转化图片模块，对数据流转化为的灰度图像进行感知的网络采用Imagenet预训练的Resnet-101网络。

4.根据权利要求1所述的基于经验特征与卷积神经网络的数据流异常检测系统，其特征在于融合拼接模块：将人工经验特征和拼接加入已经训练好的比特流转化图片模块中卷积神经网络的倒数第二个全连接层中，之后对模型进行再训练，即可以得到端对端的异常数据流检测网络，网络的输入分别是数据流中提取的人工经验和数据流转化得到的二维灰度图，网络输出为检测结果。

5.根据权利要求1所述的基于经验特征与卷积神经网络的数据流异常检测系统，其特征在于：在蒸馏模型模块中，采用的简单网络采用lenet结构，含有两个卷积层、两个下采样层和两个全连接层。

6.根据权利要求1所述的基于经验特征与卷积神经网络的数据流异常检测系统，其特征在于：在概念漂移微调模块中，模型微调只需要少量训练样本，迭代训练少量轮数。