[发明专利]一种网络异常识别检测方法及装置

权利要求书

1.一种网络异常识别检测方法，其特征在于，所述方法包括：

实时采集训练所需的第一实时网络流量，将所述第一实时网络流量转换为训练用流量数据包；

对所述训练用流量数据包进行预处理得到特征值数据；

利用所述特征值数据对深度神经网络模型进行训练直至稳定；

实时采集使用阶段的第二实时网络流量，将所述第二实时网络流量转换为检测用流量数据包；

利用深度神经网络模型对所述检测用流量数据包进行检测并输出结果。

2.根据权利要求1所述的网络异常识别检测方法，其特征在于，所述对所述训练用流量数据包进行预处理得到特征值数据，具体包括：

捕获目标训练网络的训练用流量数据包；

对捕获的训练用流量数据包在分布式系统中进行预处理；

对预处理完的训练用流量数据包使用卷积神经网络进行第一行为特征值数据提取并且将所述第一行为特征值数据进行分类标记；

将所述第一行为特征值数据拆分分成训练数据和测试数据。

3.根据权利要求2所述的网络异常识别检测方法，其特征在于，所述利用所述特征值数据对深度神经网络模型进行训练直至稳定，具体包括：

初始化深度神经网络模型的模型参数，所述模型参数包括学习率、深度和每一层的神经元个数；

将所述训练数据输入深度神经网络模型中对LSTM长短期记忆网络进行训练，深度神经网络模型自动调整神经元之间的连接权重，得到对所述训练数据的抽象表达；

使用所述测试数据测试深度神经网络模型，对所述模型参数进行优化直至达到目标效果；

将优化完成的深度神经网络模型进行本地化存储。

4.根据权利要求3所述的网络异常识别检测方法，其特征在于，所述测试数据包括网络正常行为数据和网络入侵行为数据，所述使用所述测试数据测试深度神经网络模型，对所述模型参数进行优化直至达到目标效果，包括：

将所述网络正常行数据和所述网络入侵行为数据分别输入深度神经网络模型，测试模型检测效果，优化调整模型参数并重新训练模型直至检测效果达到目标效果。

5.根据权利要求1所述的网络异常识别检测方法，其特征在于，所述实时采集使用阶段的第二实时网络流量，将所述第二实时网络流量转换为检测用流量数据包，具体包括：

实时采集使用阶段的第二实时网络流量并转换为检测用流量数据包；

对捕获的检测用流量数据包在分布式系统中进行预处理；

对预处理完的检测用流量数据包使用卷积神经网络进行第二行为特征值数据提取。

6.根据权利要求5所述的网络异常识别检测方法，其特征在于，所述利用深度神经网络模型对所述检测用流量数据包进行检测并输出结果，具体包括：

当深度神经网络模型对所述第二行为特征值数据进行检测的输出结果为正常时，对所述第二实时网络流量进行放行；

当深度神经网络模型对所述第二行为特征值数据进行检测的输出结果为异常时，对所述第二实时网络流量进行异常处理。

7.根据权利要求6所述的网络异常识别检测方法，其特征在于，所述当深度神经网络模型对所述第二行为特征值数据进行检测的输出结果为异常时，对所述第二实时网络流量进行异常处理，具体包括：

对深度神经网络模型对所述第二行为特征值数据进行检测，若符合已知入侵类型，则输出结果为告警所述类型入侵；

对深度神经网络模型对所述第二行为特征值数据进行检测，若不符合已知入侵类型，则将所述第二行为特征值数据作为新网络入侵特征向量进行存储，当深度神经网络模型可以识别存储的新网络入侵特征向量则使用聚类算法对所述第二行为特征值数据进行聚类划分，将聚类后的新网络入侵特征向量训练深度神经网络模型，以使得此类入侵类型再次发生时被检测识别。

8.根据权利要求6所述的网络异常识别检测方法，其特征在于，所述对所述第二实时网络流量进行异常处理，包括：

当所述第二实时网络流量的异常为外部攻击行为时进行拦截；

当所述第二实时网络流量的异常为内部工作异常时提醒相应管理人员。