[发明专利]一种基于灰度图的异常流量检测方法

权利要求书

1.一种基于灰度图的异常流量检测方法，其特征在于，包括以下步骤：

S1：对网络的原始流量进行可视化处理，将原始流量转换为灰度图；

S2：使用模糊度对灰度图进行特征提取；

所述步骤S2包括以下子步骤：

S21：提取灰度图中具有重要信息的图像区域作为灰度图的样本特征对象，扫描灰度图获取目标图像区域并提取灰度图的目标特征对象；

S22：根据灰度图的样本特征对象和目标特征对象建立灰度图的样本模糊集X＝{x}和目标模糊集Y＝{y₁,y₂,…y_n}；

S23：根据样本模糊集X＝{x}和目标模糊集Y＝{y₁,y₂,…y_n}描述灰度图的特征模糊相似关系式，其特征模糊相似关系式为：

其中，j＝1，2，…n，n为有序对(x，y_j)的数量，为有序对(x，y_j)的关系值，为隶属度函数；

S24：根据灰度图的特征模糊相似关系式确定样本特征对象和目标特征对象的相似集合R_α，其计算公式为：

R_α＝{(x，y_j)|μ_R(x，y_j)≥α}

其中，μ_R为灰度图的特征模糊相似关系式，α为样本特征对象和目标特征对象的相似度；

S25：提取相似集合R_α中目标特征对象的图像像素中心点；

S26：标记目标特征对象的图像像素中心点，完成灰度图的特征提取；

S3：基于Apache Spark框架，利用分布式极限学习机对灰度图的特征进行训练，输出权重矩阵β，得到训练参数，完成灰度图的异常流量检测。

2.根据权利要求1所述的基于灰度图的异常流量检测方法，其特征在于，所述步骤S1中，原始流量的可视化处理针对原始流量的前10KB进行。

3.根据权利要求1所述的基于灰度图的异常流量检测方法，其特征在于，所述步骤S1包括以下子步骤：

S11：选择CICIIDS 2017数据集作为异常流量检测的背景流量；

S12：基于CICIIDS 2017数据集，使用pcapplusplus工具对CICIIDS 2017数据集的pcap文件进行切割；

S13：按照pcap文件的时间与大小顺序对切割后的pcap文件进行批处理；

S14：将批处理后的的pcap文件转换为灰度图，完成网络原始流量的可视化处理。

4.根据权利要求1所述的基于灰度图的异常流量检测方法，其特征在于，所述步骤S3包括以下子步骤：

S31：利用分布式极限学习机设置网络的隐层神经元个数为L，随机初始化网络隐层神经元的输入权重W和偏置b；

S32：计算网络的隐层神经元输出矩阵H，其计算公式为：

其中，网络含有L个隐层神经元，W_i为网络的第i个隐层神经元的输入权重，b_i为网络的第i个隐层神经元的偏置，g(·)为激活函数，i＝1,2,...,L，X_j为第j个目标特征对象的提取特征，j＝1,2,...,N，网络有N个目标特征对象；

S33：基于隐层神经元输出矩阵H计算网络的期望输出矩阵T，其计算公式为：

其中，t_i为第i个目标特征对象的输出向量；

S34：根据隐层神经元输出矩阵H和期望输出矩阵T计算网络的输出权重矩阵β，其计算公式为：

β＝(H^TH)^-1H^TT

其中，H为隐层神经元输出矩阵，T为期望输出矩阵；

S35：筛选输出权重矩阵β，得到训练参数。

5.根据权利要求1所述的基于灰度图的异常流量检测方法，其特征在于，所述步骤S3中，异常流量的检测通过运用训练参数构建的模型完成。