[发明专利]一种基于深度学习策略的异常加密流量检测与分类方法

权利要求书

1.一种基于深度学习策略的异常加密流量检测与分类方法，其特征在于，包括：利用相邻做差法对原始流量数据进行特征加强；利用加强后的数据集中带有协议标签的数据训练1dCNN模型，利用k-means算法对加强后的数据集中没有协议标签的数据进行分类。

2.如权利要求1所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述利用相邻做差法对原始流量数据进行特征加强，具体包括：

获取数据集后进行图像化处理，再采用相邻做差法将所述数据集中图像化后的流量数据相邻字节做差值。

3.如权利要求2所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述获取数据集采用以下方式：

捕获pcap包文件，去掉所述pcap包文件的文件头信息，将剩下的pcap包文件切分成独立的数据包，所述独立的数据包构成数据集。

4.如权利要求2或3所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述采用相邻做差法将所述数据集中图像化后的流量数据相邻字节做差值采用以下方式：

获取异常加密流量平均值序列，然后将所述流量平均值序列相邻数据两两做差。

5.如权利要求1或2所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述利用加强后的数据集中带有协议标签的数据训练1dCNN模型，其中所述1dCNN模型依次包括：输入层、卷积层、池化层、卷积层、池化层、全连接层、输出层；所述输入层输入一维流量数据。

6.如权利要求5所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述卷积层采用128组单通道9*1卷积核进行卷积。

7.如权利要求5或6所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述池化层利用步长为2，过滤器大小为2*1的最大池化函数进行池化。

8.如权利要求5或6所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述1dCNN模型的学习率Learning rate设定为0.001，dropout设定为0.5。

9.如权利要求8所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，采用指数衰减法调整所述学习率。

10.如权利要求1或2所述的基于深度学习策略的异常加密流量检测与分类方法，其特征在于，所述k-means算法模型引入调节参数α，β，具体为：

对于数据集中的样本点，如果该点的密度Density(X)小于β与数据集密度标准差SDensity(X)乘积时，则将该点确定为k-means算法中的孤立点；

对于数据集中的样本点，如果该点的密度Density(X)大于α与数据集密度标准差SDensity(X)乘积时，则将该点确定为k-means算法中的中心点；

并通过中心点的个数来确定聚类的数目，即k值等于中心点的数目；

其中，

当k-means算法中k的值等于1时，0＜α＜1，0＜β＜1；

当k-means算法中k的值大于等于2时，α＞1，β＞1。