[发明专利]一种网络流量分类检测方法、系统及存储介质

说明书

本发明公开了一种网络流量分类检测方法、系统及存储介质，对原始网络流量数据进行预处理，得到灰度图像后，输入CNN模型，提取原始网络流量数据的空间特征，将空间特征输入第一Softmax分类器，获得第一分类结果标签；将灰度图像输入LSTM模型，提取原始网络流量数据的时间特征，将时间特征输入第二Softmax分类器，获得第二分类结果标签；将灰度图像输入混合模型，获得第三分类结果标签；将灰度图像输入由多个自动编码器串联而成的模型，最后一个自动编码器的输出输入第四Softmax分类器，获得第四分类结果标签；比较第一分类结果标签、第二分类结果标签、第三分类结果标签、第四分类结果标签对应的精度，选择精度最高的分类结果标签对应的模型为最终的分类检测模型。

技术领域

本发明涉及机器学习领域，特别是一种网络流量分类检测方法、系统及存储介质。

背景技术

网络的快速发展给网络用户带来了极大的便利，但是随着网络的发展，也出现了一系列的网络攻击。有针对性的攻击者对特定网络进行适当的攻击会导致网络崩溃，使网络无法为用户提供安全可靠的服务，从而造成巨大的经济损失。

网络入侵检测的任务是发现可疑攻击，并采取相应的措施来保护网络免受持续的攻击并减少经济损失。流量分类是网络入侵检测的重要任务，它要求研究人员准确判断收集到的流量数据集，并检测具有攻击行为的流量。流量分类主要是对流量数据包中的一些关键字段进行分析，以确定网络是否受到攻击或是否存在违反网络安全性的异常行为。根据流量的分类测试结果，将反馈消息发送到网络，以确定网络是否需要断开连接或发出警报消息。

基于端口的流量检测方法在早期很普遍并且有效。在Internet的早期，用于网络流量的网络协议相对简单，并且特定的应用程序基本上使用固定的端口号。因此，当一个应用程序受到其他应用程序的攻击时，可以基于端口号有效地检测到异常流量包。但是，随着动态端口分配技术的出现，可以轻松重定向端口。因此，基于端口的流量检测方法无法充分表达网络的流量属性，流量检测效果往往较差。

基于有效负载的流量检测方法，使用应用层协议的信息来表示流量的特征，其中最具代表性的是深度包检查(DPI)技术。深度数据包检查技术需要对传输的流量数据进行解密和加密。通过对传输的数据信息进行建模和分析，可以非常有效地检测恶意流量数据包。尽管深度包检查技术是实际应用中广泛使用的异常流量检测技术，但是随着加密协议(例如https)的兴起和对隐私的日益重视，不再推荐使用深度包检查技术。另外，在业务的解密处理中使用深度包检查非常昂贵。随着Internet流量的快速增长，深度数据包检查技术在解密流量数据包时需要消耗大量的计算资源。

基于统计特征的话务检测方法通常使用分组到达时间，分组大小和话务分组字段的统计特征(例如，平均值，最大值，最小值)来表达话务的属性。使用这些人为设计的功能和机器学习算法来分析和检测异常流量已成为相对可靠的方法，但是在训练监督算法模型时，需要准确标记流量数据。

目前已有的各种网络流量分类和入侵检测模型，通常需要大量的存储和计算资源，检测效率较低，并且在流量分类准确性以及其他各项指标上还有待提高。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种网络流量分类检测方法、系统及存储介质，提高流量分类准确性。

为解决上述技术问题，本发明所采用的技术方案是：一种网络流量分类检测方法，包括以下步骤：

S1、对原始网络流量数据进行预处理，得到灰度图像；

S2、将所述灰度图像输入CNN模型，提取所述原始网络流量数据的空间特征，将所述空间特征输入第一Softmax分类器，获得第一分类结果标签；

将所述灰度图像输入LSTM模型，提取所述原始网络流量数据的时间特征，将所述时间特征输入第二Softmax分类器，获得第二分类结果标签；