[发明专利]一种基于深度字典学习的加密流量异常检测方法

权利要求书

1.一种基于深度字典学习的加密流量异常检测方法，其特征在于，该方法包括以下步骤：

(1)对从访问用户端传入的加密流量进行处理得到流量会话特征向量，包括以下子步骤：

(1.1)使用TCP/IP五元组为依据对流量进行聚合，得到流量会话集合S；

(1.2)对于S中每一个会话，其特征向量为F＝{f_i|i＝1,2,…,M}，其中f_i为第i个特征向量，M为特征向量的长度；

(2)基于流量会话特征向量构建并更新深度稀疏字典，包括以下子步骤：

(2.1)稀疏字典由D＝{d_j|j＝1,2,…,N}表示，其中d_j为第j个字典元素，N为字典的长度；

(2.2)对于新到来的每个流量会话特征向量F，以为目标函数使用梯度下降训练法对稀疏字典D以及字典元素和特征向量F之间的相关系数Γ＝{Γ_k|k＝1,2,…,K}集进行更新；其中K为字典所在的层数，Γ_k为第k层的相关系数矩阵，φ为ReLU非线性激活函数，为第二范数；

(3)计算更新完成的深度稀疏字典与特征向量的相关度，根据相关度判断特征向量是否为异常，包括以下子步骤：

(3.1)使用步骤(2.2)更新后的Γ_k，基于公式计算字典元素d_j的活跃度a_j，A＝{a_j|j＝1,2,…,N}为D的活跃度集合，其中表示第k层相关系数矩阵中第i个列向量的累加和；

(3.2)基于信息熵增益公式，计算出A的熵增益集合G＝{g_j|j＝1,2,…,N}；

(3.3)基于公式ξ＝|G×Γ_k|，计算出特征向量F与步骤(2.2)更新后的D的相关度ξ；

(3.4)将异常阈值设为T，若ξ大于T，则判定F为异常；反之若ξ小于等于T，则判定F为正常。

2.如权利要求1所述基于深度字典学习的加密流量异常检测方法，其特征在于，所述步骤(1.1)中，使用dpkt库对聚合后的流量进行处理得到流量会话集合S。

3.如权利要求1所述基于深度字典学习的加密流量异常检测方法，其特征在于，所述步骤(1.2)中，所述特征向量的内容包括TLS握手信息、所有数据包长度的平均值与标准差以及所有数据包到达时间间隔的平均值与标准差。