[发明专利]基于深度学习的分层网络攻击识别与未知攻击检测方法

权利要求书

1.一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，包括：

采用自编码器对正常流量与异常流量的行为模式进行学习，从而利用学习后的自编码器判别待测流量为正常流量或者异常流量；

利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别；

融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测；

其中，利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别包括：在传统的神经网络训练方法的基础上加入度量学习损失函数，使得神经网络学习有区分度的特征表达，即使得同一类攻击的流量在特征空间上的距离小于指定距离；然后，通过学习一个特征空间，在特征空间上，未知类别的流量距离已知攻击的流量的距离超出指定距离，以此为依据判别待测流量的攻击类型；

在传统的神经网络训练方法的基础上加入度量学习损失函数，使得神经网络学习有区分度的特征表达包括：

神经网络中采用多层感知机作为基分类器G_θ，利用训练集中所有异常流量的样本{(x，y)|y＞0}训练神经网络；其中，θ表示网络参数，x表示异常流量，y为x的标签，即真实类别，y＞0表示异常流量，对应一类攻击；

利用负交叉熵损失函数训练神经网络：

神经网络的输出节点与攻击类型一一对应，G_θ(x)[j]表示神经网络输出向量的第j个元素，也即样本x属于第j类攻击的概率，j＝1，2，…,k，k为攻击类型的总数；G_θ(x)[y]表示神经网络判断样本x属于真实类别y的概率；

在传统的神经网络训练方法的基础上加入度量学习损失函数：

其中，G_θ(x)＝{G_θ(x)[1],…,G_θ(x)[k]}，μ_y表示第y类攻击的特征中心，通过批训练在线更新：

其中，x_u表示第u个异常流量的样本，y_u表示其对应的真实类别，为更新后的第y_u类攻击的特征中心，N为每次批训练的样本总数；

最终训练神经网络的损失函数定义为：

L(θ,x,y)＝L_s(θ,x,k)+λL_d(θ,x,y)

其中，λ为系数。

2.根据权利要求1所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，采用自编码器对正常流量与异常流量的行为模式进行学习的方式包括：

利用正常流量的样本预训练一个表达正常流量行为模式的自编码器，自编码器包含编码层与解码层；编码层对输入的正常流量样本的特征向量进行压缩，输出压缩后的特征向量；解码层对压缩后的特征向量进行解压重构出特征向量；通过最小化重构误差使得自编码器能够学习正常流量的行为模式；

利用已知的异常流量和正常流量的样本有监督的对预训练的自编码器进行微调，使得自编码器还能够学习正常流量和异常流量的区别。

3.根据权利要求1或2所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，利用学习后的自编码器判别待测流量为正常流量或者异常流量包括：

利用学习后的自编码器计算待测流量为正常流量的概率若大于等于设定值δ，则认为待测流量为正常流量，否则，为异常流量：

上式中，为待测流量的标签，则表示待测流量为正常流量，则表示待测流量为异常流量。