[发明专利]一种基于卷积神经网络的恶意流量检测方法

权利要求书

1.一种基于卷积神经网络的恶意流量检测方法，其特征在于，包括以下步骤：

A.采集已知恶意流量样本，依据图像处理技术将恶意流量样本转换为灰阶图像，建立图像数据集；

B.对目标检测流量进行卷积运算，应用卷积神经网络的特征提取器，对检测图像整体进行特征提取；

C.对目标检测流量卷积运算后的结果进行非线性激活运算，提取关联特征；

D.对目标检测流量非线性激活运算结果进行池化运算，获得最佳关联特征；

E.采用卷积神经网络分类器，将目标检测流量池化运算后获得的图像特征窗口，按特定步长滑动窗口，并与图像数据集中恶意流量样本特征窗口进行匹配，根据匹配结果对目标检测流量进行分类。

2.根据权利要求1所述的一种基于卷积神经网络的恶意流量检测方法，其特征在于，所述步骤A中具体是使用图像处理技术将恶意流量样本的二进制文件转换为可视化的灰阶图像。

3.根据权利要求2所述的一种基于卷积神经网络的恶意流量检测方法，其特征在于，所述步骤A包括：

A1.以二进制方式读取恶意流量样本文件；

A2.以一个字节为一个单元将文件转换成字节值，然后将字节值作为一个灰度图像的一个像素点值；

A3.将一维的字节值数据按指定宽度转换成二维的图像像素矩阵；

A4.将图像像素矩阵进行归一化后保存为灰阶图像，获得图像数据集。

4.根据权利要求1所述的一种基于卷积神经网络的恶意流量检测方法，其特征在于，所述步骤B中进行卷积运算时先是将滤波器即卷积核传递到检测图像上，然后基于滤波器的数值进行变换，且后续的卷积后的图像尺寸具体是通过以下公式计算：

其中，O＝输出图像的尺寸，I＝输入图像的尺寸，K＝卷积层的核尺寸，S＝移动步长，P＝填充数，且输出图像的通道数等于卷积核的核数量N。

5.根据权利要求1所述的一种基于卷积神经网络的恶意流量检测方法，其特征在于，所述步骤C中是使用神经网络中非线性激活函数Relu函数进行非线性激活运算。

6.根据权利要求1所述的一种基于卷积神经网络的恶意流量检测方法，其特征在于，所述步骤D中是采用Max Pooling最大池化进行池化运算。

7.根据权利要求6所述的一种基于卷积神经网络的恶意流量检测方法，其特征在于，池化后输出的图像尺寸计算式如下：

其中，O＝输出图像的尺寸，I＝输入图像的尺寸，S＝移动步长，Ps＝池化层尺寸，且且输出图像的通道数等于卷积核的核数量N。