[发明专利]一种基于神经网络的异常流量检测方法

权利要求书

1.一种基于神经网络的异常流量检测方法，其特征在于，包括以下步骤：

步骤1：获取待检测的原始数据集，对原始数据集进行预处理；将预处理后的数据集分为训练集和测试集，对训练集中的数据进行标注；

步骤2：利用过采样方法对训练集中的少数类别样本进行扩充；

步骤2.1：确定少数类样本k的扩充数量t，构造少数类样本k的同类近邻集合ndarray；

步骤2.2：对于每一个少数类样本p，在其K个邻近的同类中，随机选择一个样本nb，从0-1之间确定一个随机数rd，生成新的样本new；新的样本new中的连续型特征c以随机数以及两个样本p、nb对应特征c的取值进行确定：

new[c]＝nb[c]+rd×dis

dis＝p[c]-nb[c]

步骤2.3：根据少数类样本p的K个邻近的同类中出现次数最多的特征，确定新的样本new中的离散型特征dc；

new[dc]＝maxcount(ndarray[nb][dc])

步骤2.4：重复步骤2.2至步骤2.3，直至获得少数类样本k的t个新样本；

步骤3：利用欠采样方法对扩充后的训练集中的样本进行清洗；

对于多数类样本A和少数类样本B，若A与B互为最近的异类样本，则选择将多数类样本A剔除，或选择将两个样本A和B均剔除；

步骤4：将训练集输入至神经网络模型中进行训练，得到训练好的神经网络模型；

步骤4.1：将训练集中的一维数据进行二维化，特征数量不够则使用0进行填充；

步骤4.2：对训练集中的数据进行初始化，增加通道数；

步骤4.3：网络卷积部分使用多尺度跳跃激励模块，这一模块首先在卷积时使用多种尺度的滤波器，基于异常流量的特点考虑，在网络结构中尽量避免使用池化，防止丢失掉重要信息；在进行卷积之后，对卷积的结果进行特征加权，第一步是对每个通道中的特征图进行全局池化操作，然后需要学习通道间的关系，在池化之后，第一次建立通道之间的关系时，考虑每个通道及最近的2个通道来捕获局部跨通道交互信息，经过激活函数，最后进入一个全连接层，学习全部通道之间的相关性信息；得到结果后，通过sigmoid函数将结果归一化，即为权重，最后将权重作用于原始的特征矩阵上，得到新的加权过的特征矩阵；最后将两种模块进行连接后，再将原始输入与输出做恒等映射，防止网络退化；

步骤4.4：根据流量数据特点，采用卷积进行特征图尺寸的缩减，并且增加了通道数，避免了因池化导致的信息丢失；

步骤4.5：采取全局最大池化和全局平均池化，然后将它们的结果进行连接，将2个池化后的值拼成一个特征图，最后传递给全连接层进行处理；

步骤5：将测试集输入至训练好的神经网络模型中，得到异常流量检测结果。

2.根据权利要求1所述的一种基于神经网络的异常流量检测方法，其特征在于：所述的步骤1中对原始数据集进行预处理包括对数据的数值化、归一化；所述的数值化是将其中离散型字符变量用整型数据进行表示，便于处理；所述的归一化是将量纲不同的数据归一到0-1之间，避免数量级差距过大带来的影响。