[发明专利]一种基于网络时空特征的网络攻击检测方法

权利要求书

1.一种基于网络时空特征的网络攻击检测方法，其特征在于至少包括以下步骤：

1)构建原始流量数据集D_i：通过部署在网络中的流量采集器持续采集被监测网络的流量数据，将采集到的数据构建成网络原始流量数据集D_i；

2)构建可分析数据集D_p：根据TCP/IP协议簇的标准对原始流量数据集D_i进行解码，从原始流量数据集D_i中提取并构成可供本发明分类器使用的可分析数据集D_p；

3)构建网络流量特征数据集D_f：通过对可分析数据集D_p中的特征集进行获取并统计，构建用于本方法分类器模型使用的网络流量特征数据集D_f；

4)构建标注数据集D_fl：参照预设的黑名单和白名单特征库对网络流量特征数据集D_f中正常流量和攻击流量进行类别标注，构成攻击类型标注数据集D_fl；

5)对攻击类型标注数据集D_fl中数据进行预处理：首先对攻击类型标注数据集D_fl中的缺失值进行删除，对攻击类型标注数据集D_fl中的重复值进行剔除，以保证数据唯一性，保证模型识别准确性；通过使用二值转换完成字符型数据到数值型数据的转换，使用归一化进行数据处理；通过One-Hot编码将归一化处理后的标注类别转换成易于机器学习的二位比特位数据，将D_fl进一步形成标准化数据集D_s；

6)提取最优特征子集：基于贪心策略的主成分特征提取方法，从标准化数据集D_s中提取最优特征子集D_o，从D_o随机提取80％的样本作为训练集D_{o_Tr}，另外20％作为测试集D_{o_Ts}；

7)构建检测模型：构造CABL网络攻击检测框架，通过优化CABL框架的参数，使损失函数趋于平稳，保存最优权重文件；训练完成后，加载最优权重文件，将测试集输入保存好的CABL框架，对框架检测性能进行评估验证；

8)检测结果可视化呈现，实时的网络流量采集、预处理和特征提取后，将提取的特征输入至训练好的CABL框架，输出结果作为对实时网络攻击检测识别与分类的结果，以文本和图形事件图库形式展示给用户，展示结果支持分类事件收藏和查询。

2.根据权利要求1所述的基于网络时空特征的网络攻击检测方法，其特征在于：步骤5)中数据预处理的步骤包括：二值转换，即利用字典的键值实现字符型特征到数值型特征的转换；和归一化，即采用min-max方式实现归一化处理，保证所有数据范围为[0,1]，并在规范化过程中进行空值与无穷大值的样本剔除处理，以达到解决数据样本的量纲不统一的问题，min-max归一化方法如公式(1)所示：

式中：X为归一化后的特征向量；x为特征向量；x_max为x特征列中的最小值；x_min为x特征列中的最大值。

3.根据权利要求1所述的基于网络时空特征的网络攻击检测方法，其特征在于：在步骤5)中的通过One-Hot编码对标注类别数据用二位比特位进行表示。