[发明专利]一种基于深度神经网络的网络异常行为识别方法

说明书

本发明涉及一种基于深度神经网络的网络异常行为识别方法，所述方法包括以下步骤：步骤一：对网络相关数据包的各层信息及会话信息标记进行规格化；步骤二：对需要进行处理的相关网络连接会话数据进行过滤；步骤三：对各类协议数据进行特征预抽取；步骤四：将上述特征数据进行归一化处理；步骤五：将获取的向量进行标记；步骤六：对数据集进行一定程度的变形；步骤七：训练数据；步骤八：构件深度神经网络结构，生成神经网络描述文件。该方案为网络信息的安全审计提供了更为全面的手段，从而为各企业在网络安全管理、信息安全管控、信息安全管理的合规性检查提供有力支撑。

技术领域

本发明涉及一种识别方法，具体涉及一种基于深度神经网络的网络异常行为识别方法，属于深度包检测技术领域。

背景技术

神经网络是从信息处理角度对人脑神经元网络进行抽象，建立某种简单模型，按不同的连接方式组成不同的网络。在工程与学术界也常直接简称为神经网络或类神经网络。神经网络是一种运算模型，由多层的、大量的节点(或称神经元)之间相互联接构成。每个节点代表一种特定的输出函数，称为激励函数(Activation Function)。每两个节点间的连接都代表一个对于通过该连接信号的加权值，称之为权重，这相当于人工神经网络的记忆。网络的输出则依网络的连接方式，权重值和激励函数的不同而不同。而网络自身通常都是对自然界某种算法或者函数的逼近，也可能是对一种逻辑策略的表达。

传统神经网络由于随着层数的增加，存在梯度消失或梯度爆炸现象，故一般网络层数不会超过5层，这样会导致神经网络的表达能力、检测能力的限制(理论上神经元越多、层数越深，网络的表达能力也越强)；而随着技术的发展，如采用正则化方法、随机激活神经元(即Dropout技术)、线性激活函数的应用(如ReLU及其变种，而非传统的、基于非线性的方法，如Tanh或Sigmoid等)、局部感受，使得梯度消失或爆炸问题得以较为完满的解决，从而对神经网络层数的增加成为现实，即令神经网络可以进行纵向扩展和增长，最终使网络的能力得到极大的提高。

网络行为异常识别：通过对各类网络数据的相关收集、分类、统计等手段，对于模式上存在与其它正常的网络通讯行为模式有较大差异的连接进行识别或标记，以便于网络管理人员或安全管理人员进行定位和分析，从而在网络渗透或网络攻击的早期即发现痕迹，尽早采取相关措施以降低损失。

传统的网络行为异常识别是对数据包的结构化头部进行分析并基于网络会话进行统计。然而随着网络的不断发展,许多病毒、恶意代码、入侵指令、垃圾邮件、挖矿行为等信息都隐藏在数据包的内容之中。因此,当前在进行安全检测时,除了要对数据包头部进行检查之外,也不仅要对数据包的内容进行检测，而且需要对网络的各种连接行为模式进行总体上的识别。

基于深度包检测(DPI，Deep Packet Inspect)技术的网络异常行为识别是一种基于应用层的流量检测和控制技术。当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。深度包检测法就是基于这种原理，通过检测各种应用协议使用的固定特征字来进行各种网络安全检测。在这种意义上，基于网络数据包深度检测技术具有一定的意义，这体现在如下几个方面：

1.在应用层面提供对于网络数据的深度识别，即不仅依赖于网络层、传输层而单独识别应用层数据；

2.在应用层面协议识别的基础上，对下一代防火墙的策略制定、过滤等提供支持；

3.在应用层面协议识别的基础上，对特殊的应用进行流量的控制，如针对某些P2P应用进行限流；

4.在应用层面协议识别的基础上，对网络流量提供更深层次的审计和监控；

5.在应用层面协议识别的基础上，对可能承载的恶意软件(如病毒、木马、蠕虫等)进行更为细致的检测，以及对异常协议事先进行预警，从而尽早从源头控制网络风险的发生。