[发明专利]一种基于AE-SVM模型的分布式拒绝服务攻击网络异常检测方法

权利要求书

1.一种基于AE-SVM模型的分布式拒绝服务攻击网络异常检测方法，其特征在于：所述异常检测方法包含：分布式拒绝服务攻击网络异常数据；以及AE-SVM模型检测分布式拒绝服务攻击的过程；

进入步骤201，将数据集输入，在使用的CICIDS数据集中有5个非数字特征和82个数字特征；

进入步骤202，对测量的非数值数据采用标签编码进行排列，以便AE-SVM正常工作，在编辑过程中，检查了降/升比、标志计数、协议和标志信息，标志和向下/向上信息分别传输到数据集，这些数据被标记为0和1，协议用协议号标记，协议标有协议编号，流ID，源IP，目标IP，时间戳和SimillarHTTP字段被直接丢弃，因为它们被放置在数据集中；

训练特征向量的16902行包含87种不同的网络流量测量数据，针对每个测量值标记训练向量中的每一行，数据集中的测量值和标签如式1所示：

在式(1)中，x表示包含87个特征数据的向量，而y包含标记数据，此外，通过执行DDOS攻击获得的未标记数据如等式2所示：

在式(2)中，x_u是指当流量实际上生成时的数据行，y_u被标识为DDOS攻击线，因为已知它们是DDOS攻击；

进入步骤203，对数据进行标准化，CICIDS数据集中数据的最小值和最大值在每列中都是不同的，由于这些差异，分类器不能产生良好的分类效果，分类器的每个输入都在一定范围内，这一事实提高了分类器的精度，执行最小-最大标准化，使数据集每列中的值介于0和1之间，公式(3)用于此计算：

在式(3)中x_c，i表示数据集中标准化的每个值，数据集的最小值用min表示，最大值用max表示，因此，x_c，i值在0和1之间归一化，索引c表示训练数据集中的列，而i表示第c列的行，为每列计算的最小值和最大值用于标准化测试阶段的数据；

进入步骤204，使用AE模型进行编码，使特征降维，在AE中，输入层和输出层具有相同数量的单位，并且它们包含的单位与特征向量元素的数量相同，隐藏层包含与训练前定义的瓶颈数一样多的单元，AE可以从输入数据向量中学习有效定义的瓶颈维度属性，该过程自动提取出适合低维特征的高效特征，AE的特征提取和降维包括两个步骤，它们是编码和解码，在编码步骤中，X输入数据与隐藏单元的表示相匹配，如等式4所示：

h＝g(WX+b) (4)

在式(4)中，X代表高维输入向量，W为权重矩阵，b为偏差值，g为AE函数，输入向量用这个函数编码，在编码过程的最后，得到了低维h向量，W表示大小为MxN的权重矩阵，偏差值以Mx1和Nx1维表示，Bias(偏差)尝试学习并重新配置输出值，使其等于每个X输入向量，当得到的同一函数相等时，AE模型学习使输出函数与输入函数相似；

应用反向传播算法来获得AE、权重矩阵和偏差值的最佳值，以最小化公式5中表示的成本函数；

式(5)的第一项是指所有m个输入数据的均方误差之和，第二项用于调整隐藏单元和输出单元的权重，以提高性能和预测，第二项也是一个权重降低参数，有助于防止等式中的过度学习，方程中的最后一项是少数惩罚项，它对隐藏层施加限制，以保持较低的平均激活值。KL表示Kullback-Leibler发散。KL由式6计算：

在等式中(6)，p是约束参数，范围是0到1，当p＝p'时，KL(p\p')达到最小值，在等式p'中，表示出了所有训练输入x上的隐藏单元j的平均激活值，在通过将AE应用于未标记数据x_u来学习W权重矩阵和b偏差向量的最合适值之后，将评估标记数据(x，y)的a＝h属性表示，表达式h是编码特征的简化向量表示，选择激活函数g(t)作为Sigmoid函数，此函数的输出范围在0到1之间。它由等式7计算得出：

在式(7)中，隐藏层和输出层中节点的激活用于h(W，b)，

然后进入步骤205，使用SVM进行分类，将编码后的特征向量转移到向量y，即SVM分类器的输入向量，这些在分类中没有任何贡献的特征通过编码过程被消除，支持向量机分类器的分类性能随着特征集的减少而提高；

支持向量机分类器是由VapnikChervonenkis开发的，它基于统计学习理论和受控机器学习算法，该算法利用第一个非线性选择映射将输入域转换为高维属性域，该算法利用选定的非线性映射将输入向量转化为高维属性向量，在这个向量中，得到了一个微分超平面，计算了不同类的最近向量到超平面的距离最大的向量，包含所获得的N元特征向量的训练数据由式8表示：

X＝{x₁，x₂，...，x_N} (8)

式(8)中的每个x代表编码特征，式(7)用于从X特征向量中获得一个超平面，该向量是通过组合特征来创建的；

ω.x_i+b≥1，ω.x_i+b＜1 (9)

式(9)中b的值表示超平面的阈值参数和超平面的正常计算值，得到的两个平面之间的距离为1/||ω||；

为了执行分类过程，必须提供两个平面之间的最大距离，||ω||值必须为最小值，才能达到最大距离，拉格朗日函数用于求[1/2||ω||]的最小值，利用拉格朗日函数优化的最小值，由式(10)得到最合适的超平面：

在等式中(10)，α_i是拉格朗日乘数，此参数用于优化，交易产生的决策函数用公式11表示；

式(11)中表示的f(x)是支持向量机分类器的径向基函数RBF，用RBF神经网络对输入向量进行分类。

2.根据权利要求1所述的一种基于AE-SVM模型的分布式拒绝服务攻击网络异常检测方法，其特征在于：所述分布式拒绝服务攻击网络异常数据包括CICIDS数据集。