[发明专利]一种基于深度神经网络的网络异常行为识别方法

权利要求书

1.一种基于深度神经网络的网络异常行为识别方法，其特征在于，所述方法包括以下步骤：

步骤一：对网络相关数据包的各层信息及会话信息标记进行规格化；

步骤二：对需要进行处理的相关网络连接会话数据进行过滤；

步骤三：对各类协议数据进行特征预抽取；

步骤四：将特征数据进行归一化处理；

步骤五：将获取的向量进行标记；

步骤六：对数据集进行一定程度的变形；

步骤七：训练数据；

步骤八：构建深度神经网络结构，生成神经网络描述文件；

所述步骤四：将上述特征数据进行归一化处理；具体如下：

使用Min-Max方法，

其中，packet_avg为平均包大小，packet_min为最小尺寸包，而packet_max为最大尺寸包，而packet_avg_norm为正则化后的平均包大小，公式中乘以255是为了最终将结果转换为256级灰度图中的像素；

平均信息熵值，计算公式如下：

其中，n为分类的数量，而p_i为每个分类的占比；

所述步骤五：将获取的向量进行标记，具体如下，需要获取正向即模式正常和负向即模式异常的学习数据，将它们的标志分别赋值为1和-1；所述步骤六：对数据集进行一定程度的变形，包括少量平移、小角度旋转；

所述步骤七：训练数据，具体如下，

将多个时段的向量数据按时间序列拼接成一个图，则一个图的像素，每个像素使用1个字节表示，数量为D*DurationCount，其中D为向量维度数量，DurationCount就是时段的数量；所述步骤八：对标识为正常的网络连接模式及标识为异常的网络连接模式进行训练，输出各层神经元的权值和偏置，将它们保存在特定的文件中；

在应用时，预先从之前保存的文件中读入数据，重新构建整个网络；将某个时段的网络连接行为按约定的方式进行向量化，然后将向量化后的数据通过重新构建的网络进行验证分类。

2.根据权利要求1所述的基于深度神经网络的网络异常行为识别方法，其特征在于，所述步骤一对网络相关数据包的各层信息及会话信息标记进行规格化，具体定义如下：

数据链路层：源、目的MAC地址；

网络层：IPv4或IPv6、网络IP源/目的地址；

传输层：UDP或TCP协议；

应用层：对HTTP、DNS以及HTTPS常见协议进行深度解包，针对HTTP、DNS的请求域名、针对DNS、User Agent的返回IP地址、证书信息进行抽取，对无法识别的协议也进行特殊标识。

3.根据权利要求1所述的基于深度神经网络的网络异常行为识别方法，其特征在于，所述步骤二：对需要进行处理的相关网络连接会话数据进行过滤；具体如下：过滤的方法采用基于树形的过滤器，过滤内容主要针对各层网络元数据。

4.根据权利要求1所述的基于深度神经网络的网络异常行为识别方法，其特征在于，所述步骤二中还包括对满足过滤条件的数据按相关会话字段进行归并方式的选择。