[发明专利]一种基于自动编码器的网络流量异常行为识别方法

权利要求书

1.一种基于自动编码器的网络流量异常行为识别方法，包括以下步骤：

1)使用自动编码器来构建稀疏异常入侵检测模型SAIDS；

2)对SAIDS模型进行训练，步骤包括：

SAIDS模型对原始训练数据进行预处理，该原始训练数据包括NSL-KDD数据集和UNSW-NB15数据集，通过预处理得到标准化数据，预处理包括将符号数据使用one-hot编码转换为数值型数据，并对数值型数据进行归一化处理；

对预处理后的训练数据采用综合少数过采样方法来平衡流量数据中正常流量和异常流量的类别分布，得到平衡数据；

根据平衡数据来进行正常流量和异常流量的分类，计算损失值，找出最小损失值对应的模型参数，得到训练好的SAIDS模型；

3)利用训练好的SAIDS模型检测待识别的网络流量，步骤包括：

SAIDS模型对待识别的网络流量进行预处理，对预处理后的网络流量进行正常流量和异常流量的分类，识别出异常行为；

所述SAIDS模型包括丢弃层和自动编码器；丢弃层对平衡数据进行预处理，防止过拟合；自动编码器包括输入层、编码层和解码层，输入层接收预处理后的平衡数据，编码层将平衡数据映射为低维特征，解码层将低维特征重新构建成输入数据，并进行正常流量和异常流量的分类；所述SAIDS模型训练时选择Relu激活函数和Adam优化器，并使用均方误差来计算损失值。

2.如权利要求1所述的方法，其特征在于，原始训练数据带有正常流量和异常流量的类别标签。

3.如权利要求1所述的方法，其特征在于，归一化处理是将数值型数据缩小到[0,1]范围内。

4.如权利要求3所述的方法，其特征在于，采用Min-Max归一化方法进行归一化处理。

5.如权利要求1所述的方法，其特征在于，综合少数过采样方法采用线性插值，通过少数类别中的数据样本与随机选取的一最近邻居样本之差乘以一0到1之间的随机数，再与该少数类别中的数据样本之和，生成新的数据。

6.如权利要求1所述的方法，其特征在于，丢弃层是将输入的平衡数据与概率服从伯努利分布的向量进行元素乘积处理。