[发明专利]网络流的特征提取方法、网络流异常检测方法及相关装置

说明书

本申请公开了一种网络流的特征提取方法、网络流异常检测方法及相关装置，其中，该网络流的特征提取方法包括：获取待处理的网络流，对网络流的空间特征进行提取，以得到网络流的空间特征表示；对空间特征表示的时序特征进行提取，以得到网络流的时空特征表示。通过上述方式，本申请中的网络流的特征提取方法能够提取出网络流的时空特征的综合表示，以在基于该综合表示进行分类检测时，能够得到更可靠、准确性更高的检测结果。

技术领域

本申请涉及网络流检测的技术领域，尤其涉及一种网络流的特征提取方法、网络流异常检测方法及相关装置。

背景技术

目前，基于深度特征学习的网络流量检测方法，需要使用深度特征学习模型进行自动地提取特征。网络检测的基本单元是网络流，而网络流量的底层实际是一串字节。依照网络协议规定，将流量字节组合成数据包，而数据包进一步组成网络流，其中，数据包里的字节间存在着空间关系，而网络流中的每个数据包间又存在时序关系。针对原始的网络流量，需构建合适的深度特征学习模型，以学习网络流量的时间特征和空间特征。

然而，在现有技术中，通常是使用卷积神经网络学习对网络流的空间特征进行提取，以分别进行加密流量分类和恶意流量分类相关的流量检测；或，对原始流量数据，建立循环神经网络进行时序特征提取的学习，以提高相应的检测性能，但现有的基于卷积神经网络或循环神经网络进行网络流的特征提取的方式，均存在有缺失的部分，以致在基于由此得到的特征表示进行分类检测时，相应检测的准确性也较低。

发明内容

本申请提供了一种网络流的特征提取方法、网络流异常检测方法及相关装置，该网络流的特征提取方法能够有效解决现有网络流的特征提取方法均存在有缺失的部分，进而使进一步进行的分类检测的准确性较低的问题。

为解决上述技术问题，本申请采用的一个技术方案是：提供一种网络流的特征提取方法，其中，该网络流的特征提取方法包括：获取待处理的网络流，对网络流的空间特征进行提取，以得到网络流的空间特征表示；对空间特征表示的时序特征进行提取，以得到网络流的时空特征表示。

其中，获取待处理的网络流，对网络流的空间特征进行提取，以得到网络流的空间特征表示的步骤包括：获取待处理的网络流的字节向量，对字节向量进行卷积运算；对卷积运算后的字节向量进行池化处理，以得到空间特征表示。

其中，获取待处理的网络流的字节向量，对字节向量进行卷积运算的步骤包括：获取待处理的网络流的字节向量，通过第一设定滑动窗口对字节向量进行运算，得到第一运算结果；将第一运算结果与第一设定权重矩阵相乘，并通过第一卷积滤波器对相乘后的乘积进行滤波运算，以得到第一卷积输出张量；对卷积运算后的字节向量进行池化处理，以得到空间特征表示的步骤包括：通过第一池化滤波器对第一卷积输出张量进行最大池化运算，以得到第一池化输出张量；通过第二设定滑动窗口对第一池化输出张量进行运算，得到第二运算结果；将第二运算结果与第二设定权重矩阵相乘，并通过第二卷积滤波器对相乘后的乘积进行滤波运算，得到第二卷积输出张量；通过第二池化滤波器对第二卷积输出张量进行最大池化运算，以得到网络流的空间特征表示。

其中，获取待处理的网络流，对网络流的空间特征进行提取，以得到网络流的空间特征表示的步骤包括:获取待处理的网络流，通过卷积神经网络模型对网络流的空间特征进行提取，以得到空间特征表示。

其中，获取待处理的网络流，通过卷积神经网络模型对网络流的空间特征进行提取，以得到空间特征表示步骤之前，还包括：通过网络流样本中的多个字节向量样本及其对应的多个时序特征对第一预设网络模型进行训练，以建立卷积神经网络模型。

其中，对空间特征表示的时序特征进行提取，以得到网络流的时空特征表示的步骤包括：将当前时刻的空间特征表示与设定空间参数矩阵相乘，并将相乘后的乘积与当前时刻的上一时刻的时空特征表示和设定时间参数矩阵的乘积相加，进而将相加得到的和与设定激活函数相乘，以得到时空特征表示。