CN110572362A

CN110572362A - 针对多类不均衡异常流量的网络攻击检测方法及装置

Info

Publication number: CN110572362A
Application number: CN201910718219.8A
Authority: CN
Inventors: 张勇; 郭达; 陈旭; 李琦; 滕颖蕾; 魏翼飞; 宋梅; 王小娟; 张曌; 牛颉; 高杨; 马滕腾; 李俊杰; 鲍捷
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2019-08-05
Filing date: 2019-08-05
Publication date: 2019-12-13
Anticipated expiration: 2039-08-05
Also published as: CN110572362B

Abstract

本发明实施例提供一种针对多类不均衡异常流量的网络攻击检测方法及装置。方法包括：获取网络中待检测流量包的特征数据；将特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，得到融合特征；将融合特征输入至预设神经网络模型中的分类层，根据分类结果确定待检测流量包对应的网络攻击类型；其中，特征提取层，用于提取特征数据的语义特征和高分辨率特征；特征融合层，用于对语义特征和高分辨率特征进行特征融合；预设神经网络模型是根据带有网络攻击类型标签的特征数据进行训练后得到的。能够有效地对不同网络攻击类型下的流量包进行准确分类，确保了网络攻击检测结果的准确性。

Description

针对多类不均衡异常流量的网络攻击检测方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种针对多类不均衡异常流量的网络攻击检测方法及装置。

背景技术

随着网络技术的迅猛发展，网络安全受到了很大威胁。网络中每天都在出现新的漏洞，入侵者借此使用多种攻击方法对网络发起攻击，给网络中的用户带来了诸多安全问题。

网络的行为特征可以通过其承载的流量的动态特性来反映，因此，针对性地检测网络中流量的各种参数(例如，接收和发送数据包大小、丢包率和数据包延迟等参数)，可以检测出网络的运行状态(例如，是否遭受攻击和遭受的攻击类型等)。

随着深度学习技术的快速发展，可以利用其代替人为检测去识别网络中的流量进而确定对应的网络攻击类型，不仅可以大大解放人力资源，还可以避免人为检测过程中因自身原因造成的高检测误差。

但是，网络中存在多类不均衡异常流量，即存在不同攻击类型的流量分布不均的现象，导致现有技术中的检测方法对网络中分布较少的异常流量识别率较低，从而造成网络攻击检测准确率较低。

发明内容

本发明实施例提供一种针对多类不均衡异常流量的网络攻击检测方法及装置，用以解决现有的针对多类不均衡异常流量的网络攻击检测方法在网络中存在多类不均衡流量时，检测准确率较低的问题。

第一方面，本发明实施例提供一种针对多类不均衡异常流量的网络攻击检测方法，包括：

获取网络中待检测流量包的特征数据；

将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，得到融合特征；

将所述融合特征输入至所述预设神经网络模型中的分类层，根据分类结果确定所述待检测流量包对应的网络攻击类型；

其中，所述特征提取层，用于提取所述特征数据的语义特征和高分辨率特征；

所述特征融合层，用于对所述语义特征和高分辨率特征进行特征融合；

所述预设神经网络模型是根据带有网络攻击类型标签的特征数据进行训练后得到的。

进一步地，所述特征提取层包括：

并行设置的上分支网络和下分支网络；

其中，所述上分支网络为全卷积网络，所述下分支网络为卷积神经网络。

进一步地，每组交替设置的特征提取层和特征融合层中的特征融合层与下一组交替设置的特征提取层和特征融合层中的特征提取层之间，还设置有点卷积内核层。

进一步地，对于若干组交替设置的特征提取层和特征融合层中的与所述分类器连接的特征融合层，所述特征融合层和所述分类层之间还设置有点卷积内核层或扩张卷积层。

进一步地，所述特征融合层使用通道级联或元素级相加。

进一步地，将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，之前还包括：

获取多个样本流量包，并按照五元组信息将所述多个样本流量包分为多个流；

将多个流进行排列，以使得来自同一次联接的多个样本流量包位于若干个相邻的流中；

获取每个样本流量包的样本特征数据和对应的网络攻击类型标签；

根据多个流的排列顺序，依次通过多个流中每个样本流量包的样本特征数据和对应的网络攻击类型标签，对所述预设神经网络模型进行训练。

第二方面，本发明实施例提供一种针对多类不均衡异常流量的网络攻击检测装置，包括：

特征数据获取模块，用于获取网络中待检测流量包的特征数据；

融合特征获取模块，用于将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，得到融合特征；

网络攻击类型确定模块，用于将所述融合特征输入至所述预设神经网络模型中的分类层，根据分类结果确定所述待检测流量包对应的网络攻击类型；

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。

本发明实施例提供的针对多类不均衡异常流量的网络攻击检测方法及装置，通过将网络中待检测流量包的特征数据输入至预设神经网络模型的若干组交替设置的特征提取层和特征融合层，得到融合特征，再将融合特征输入至预设神经网络模型中的分类层，根据分类结果确定待检测流量包对应的网络攻击类型。该方法通过包括若干组交替设置的特征提取层和特征融合层以及分类层的预设神经网络模型学习待检测流量包的特征，以得到不同流量包对应的网络攻击类型，即使在网络中存在多类不均衡异常流量时，也能够有效地对不同网络攻击类型下的流量包进行准确分类，确保了网络攻击检测结果的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种针对多类不均衡异常流量的网络攻击检测方法流程图；

图2为本发明一实施例提供的一种预设神经网络模型的结构示意图；

图3为本发明一实施例提供的一种特征提取层的结构示意图；

图4为PCN模型的结构示意图；

图5为PCCN模型的结构示意图；

图6为PPCCN模型的结构示意图；

图7为本发明实施例提供的一种针对多类不均衡异常流量的网络攻击检测装置的结构示意图；

图8为本发明实施例提供的一种电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种针对多类不均衡异常流量的网络攻击检测方法流程图，如图1所示，该方法包括：

步骤101，获取网络中待检测流量包的特征数据。

具体地，为了检测网络是否遭受攻击以及遭受的攻击类型，获取网络中的流量包，根据获取到的流量包，确定网络是否遭受攻击以及遭受的攻击类型。为了便于描述，将用以确定网络是否遭受攻击以及遭受的攻击类型的流量包称作待检测流量包。

获取到网络中的待检测流量包后，提取待检测流量包的特征数据。其中，特征数据指的是Header数据，payload数据或Header&Payload数据。

步骤102，将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，得到融合特征；

步骤103，将所述融合特征输入至所述预设神经网络模型中的分类层，根据分类结果确定所述待检测流量包对应的网络攻击类型。

图2为本发明一实施例提供的一种预设神经网络模型的结构示意图，如图2所示，该模型包括：

2组交替设置的特征提取层和特征融合层(特征提取层201、特征融合层202，特征提取层203，特征融合层204)，以及分类层205。

其中，所述特征提取层，用于提取所述特征数据的语义特征和高分辨率特征；所述特征融合层，用于对所述语义特征和高分辨率特征进行特征融合。

在网络攻击检测的过程中，将待检测流量包的特征数据依次输入至预设神经网络模型的特征提取层201、特征融合层202，特征提取层203，特征融合层204和分类层205，将分类层205的分类结果作为预设神经网络模型的输出结果，根据输出结果，确定待检测流量包对应的网络攻击类型。其中，所述预设神经网络模型是根据带有网络攻击类型标签的特征数据进行训练后得到的。可以理解的是，预设神经网络模型在通过训练之后能够有效识别待检测流量包的特征数据，以确定待检测流量包对应的网络攻击类型。

需要说明的是，若特征数据为Header数据或payload数据，则此时的特征数据是长为256个字节的向量，将该向量均分为16段，再拼接成一个16*16的矩阵，该矩阵可视作一张二维灰度图，将该二维灰度图输入至预设神经网络模型。若特征数据为Header&Payload数据，则此时的特征数据是长为484个字节的向量，将该向量均分为22段，再拼接成一个22*22的矩阵，该矩阵可视作一张二维灰度图，将该二维灰度图输入至预设神经网络模型。

本发明实施例提供的针对多类不均衡异常流量的网络攻击检测方法，通过将网络中待检测流量包的特征数据输入至预设神经网络模型的若干组交替设置的特征提取层和特征融合层，得到融合特征，再将融合特征输入至预设神经网络模型中的分类层，根据分类结果确定待检测流量包对应的网络攻击类型。该方法通过包括若干组交替设置的特征提取层和特征融合层以及分类层的预设神经网络模型学习待检测流量包的特征，以得到不同流量包对应的网络攻击类型，即使在网络中存在多类不均衡异常流量时，也能够有效地对不同网络攻击类型下的流量包进行准确分类，确保了网络攻击检测结果的准确性。

基于上述任一实施例，所述特征提取层包括：

并行设置的上分支网络和下分支网络；

图3为本发明一实施例提供的一种特征提取层的结构示意图，如图3所示，该特征提取层包括：

并行设置的上分支网络301和下分支网络302。

其中，上分支网络301为全卷积网络(Fully Convolutional Networks，FCN)，这样设置的好处在于：首先，由于FCN中具有更多的卷积层，因此可以从流量包的特征数据中获取丰富的语义特征；其次，FCN可灵活控制模型参数，使模型不会过于复杂而导致过拟合。

下分支网络302为传统的卷积神经网络(Convolutional Neural Networks，CNN)，这样设置的好处在于：由于CNN中的池化层具有平移、旋转和缩放不变性，因此，能够从流量包的特征数据中获取丰富的高分辨率特征；并且，能够考虑不同流量包的不变性，对于一个流量包来说，能够关联其他流量包的信息。

本发明实施例作为一个优选的实施例，结合图4和图5，给出两个具体的预设神经网络模型的结构示意图，其中，图4为PCN模型的结构示意图，图5为PCCN模型的结构示意图。

如图4所示，该PCN模型中包括1组交替设置的特征提取层和特征融合层，以及分类层。其中，特征提取层中的上分支网络包括4个卷积层(conv1～conv4)，下分支网络包括2个卷积层(conv5～conv6)和2个池化层(pool1～pool2)，特征融合层使用通道级联；分类层包括全局卷积层、平均池化层和全连接层。

如图5所示，该PCCN模型中包括3组交替设置的特征提取层和特征融合层，以及分类层。其中，第1个特征提取层中的上分支网络包括2个卷积层(conv7～conv8)，下分支网络包括1个卷积层(conv11)和1个池化层(pool3)；第1个特征融合层包括2个通道级联器；第2个特征提取层中的上分支网络包括1个卷积层(conv9)，下分支网络包括1个卷积层(conv12)；第2个特征融合层包括2个通道级联器；第3个特征提取层中的上分支网络包括1个卷积层(conv10)，下分支网络包括1个池化层(poo14)；第3个特征融合层包括1个通道级联器；分类层均包括全局卷积层、平均池化层和全连接层。

需要说明的是，图4中的PCN模型仅在1个特征融合层处进行了1次特征融合，图5中的PCCN模型在3个特征融合层处进行了3次特征融合，因此，PCCN相较于PCN，能够得到更丰富的语义特征和高分辨率特征，进而使得模型的输出结果更加准确，即，使得网络攻击检测的准确率大大提升。

基于上述任一实施例，每组交替设置的特征提取层和特征融合层中的特征融合层与下一组交替设置的特征提取层和特征融合层中的特征提取层之间，还设置有点卷积内核层。

基于上述任一实施例，对于若干组交替设置的特征提取层和特征融合层中的与所述分类器连接的特征融合层，所述特征融合层和所述分类层之间还设置有点卷积内核层或扩张卷积层。

本发明实施例作为一个优选的实施例，结合图6，给出一个具体的预设神经网络模型的结构示意图，其中，图6为PPCCN模型的结构示意图。

如图6所示，该PPCCN模型中包括3组交替设置的特征提取层和特征融合层，以及分类层。其中，每组交替设置的特征提取层和特征融合层中的特征融合层与下一组交替设置的特征提取层和特征融合层中的特征提取层之间，还设置有点卷积内核层。并且，第3组交替设置的特征提取层和特征融合层中的特征融合层与分类层之间还设置有点卷积内核层。需要说明的是，PPCCN中的点卷积内核层是大小为1*1的卷积内核，通过使用大小为1*1的卷积内核能够对模型中的通道进行压缩，另外，大小为1*1的卷积内核还能够进行跨通道融合以及增加模型的非线性。

需要说明的是，若将第3组交替设置的特征提取层和特征融合层中的特征融合层与分类层之间还设置的点卷积内核层替换为扩张卷积层，则将得到的模型称为DPCCN模型。使用扩张卷积层可以得到更大的感受野而不引入额外的参数，并且它具有更好的背景区分能力。

基于上述任一实施例，所述特征融合层使用通道级联或元素级相加。

具体地，若在每次特征融合中，不使用通道级联操作，而是将两个分支输出的特征映射中对应元素相加。对应元素相加不会使模型的通道加倍，并且可以有效地减少模型的参数。若将PCCN中的通道级联器替换为加法器，则将得到的模型称为APCCN。

基于上述任一实施例，本发明实施例对预设神经网络模型的训练进行说明。即，将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，之前还包括：获取多个样本流量包，并按照五元组信息将所述多个样本流量包分为多个流；将多个流进行排列，以使得来自同一次联接的多个样本流量包位于若干个相邻的流中；获取每个样本流量包的样本特征数据和对应的网络攻击类型标签；根据多个流的排列顺序，依次通过多个流中每个样本流量包的样本特征数据和对应的网络攻击类型标签，对所述预设神经网络模型进行训练。

具体地，根据流量包的五元组信息划分为多个流flow，根据统计分析发现每个flow中的流量包数从最小的三条到几千条。但是大部分flow只包含了5个流量包，因此限制一个时间戳内flow中的流量包的数据是5条。

在本发明实施例中，根据五元组信息把流量包划分为flow，考虑到真实世界的网络环境保留了MAC层的包头字段。另外，每个flow采用五条流量包。这样做有两个好处，一方面减少了冗余的特征，这些冗余的特征主要来自顶层的数据。另一方面是flow的特征更加紧凑尽可能减少了flow特征中的0元素，这些0元素对网络的学习是没有作用的。

对于多余5个流量包的flow，把多余的流量包作为一个新的flow。因为具有相同五元组的流量包作为一个flow没有考虑时间戳信息，不考虑时间戳的划分方法过于粗暴。因为一个flow中流量包的时间跨度非常大，不考虑时间戳信息是不合理的。

在flow中用数字256来区分每一条流量包，而不是用数字0来区分。采用数字0来填充flow中不足的特征和flow中缺少的流量包数(假设flow中至少有三条流量包)。

需要说明的是，上述做法具有如下有益效果：第一，能够从原始数据集中获得更多的flow样本。第二，避免引入过多的0元素，flow的特征变得更加紧凑。第三，可以同时分别提取flow中流量包的Header,Payload和Header&Payload特征。

进一步地，将每个样本流量包的样本特征数据和网络攻击类型标签作为一组训练样本，通过多个训练样本对所述预设神经网络模型进行训练，具体为：对于任意一个训练样本，将训练样本输入至预设神经网络模型，输出训练样本对应的预测概率；利用预设损失函数根据训练样本对应的预测概率和训练样本中的网络攻击类型标签计算损失值；若损失值小于预设阈值，则预设神经网络模型训练完成。

具体地，在得到多个训练样本之后，对于任意一个训练样本，将该训练样本中的样本特征数据和网络攻击类型标签同时输入至预设神经网络模型，输出该训练样本对应的预测概率，其中预测概率指的是该训练样本针对不同网络攻击类型对应的预测概率。在此基础上，利用预设损失函数根据训练样本对应的预测概率和训练样本中的网络攻击类型标签计算损失值。其中，网络攻击类型标签可以表示为one-hot向量，预设损失函数可以为交叉熵损失函数。在其他实施例中，网络攻击类型标签的表示方式和预设损失函数可以根据实际需求进行设置，此处不做具体限定。在计算得到损失值之后，本次训练过程结束，再利用误差反向传播算法更新预设神经网络模型中的模型参数，之后再进行下一次训练。在训练的过程中，若针对某个训练样本计算得到的损失值小于预设阈值，则预设神经网络模型训练完成。

本发明实施例提供的针对多类不均衡异常流量的网络攻击检测方法，对于任意一个训练样本，将训练样本输入至预设神经网络模型，输出训练样本对应的预测概率；利用预设损失函数根据训练样本对应的预测概率和训练样本中的网络攻击类型标签计算损失值；若损失值小于预设阈值，则预设神经网络模型训练完成。该方法通过对预设神经网络模型进行训练，有利于将预设神经网络模型的损失值控制在预设的范围内，从而有利于提高预设神经网络模型进行网络攻击检测的精度。

基于上述任一实施例，本发明实施例针对CICIDS2017数据集，对本发明实施例中提出的PCN、PCCN、APCCN、PPCCN以及DPCCN进行性能评估。

表1为CICIDS2017数据集的信息表：

表1 CICIDS2017数据集的信息表

标签	攻击类型	流量数	所占比重
				1	BotNet	2075	0.18％
2	DDoS	261226	22.35％
				3	Goldeneye	20543	1.76％
4	Dos Hulk	474656	40.62％
				5	Dos Slowhttp	6786	0.58％
6	Dos Slowloris	10537	0.90％
				7	FTP Patator	19941	1.71％
8	HeartBleed	9859	0.84％
				9	Infiltration	5330	0.46％
10	PortScan	319636	27.35％
				11	SSH Patator	27545	2.36％
12	Web Attack	10537	0.90％

如表1所示，CICIDS2017数据集中包括12类网络攻击对应的流量包，其中，DDOS，DOS Hulk和PortScan对应的流量包所占整个数据集的比重较大(20％～40％左右)，而BotNet、Dos Slowhttp、Dos Slowloris、HeartBleed、Infiltration和Web Attack对应的流量包只占整个数据集的不到1％。

显然，CICIDS2017数据集为多类不均衡流量样本集，对于该数据集，传统的CNN网络很难检测出BotNet、Dos Slowhttp、Dos Slowloris、HeartBleed、Infiltration和WebAttack对应的流量包对应的实际网络攻击类型，而使用本发明实施例提供的PCN、PCCN、APCCN、PPCCN以及DPCCN，可以提高网络攻击类型的检测正确率，表2为不同神经网络模型对应的检测准确率示意表：

表2不同神经网络模型对应的检测准确率示意表

表3为不同神经网络模型对应的F1得分示意表：

表3不同神经网络模型对应的F1得分示意表

需要说明的是，F1得分可以看作是模型准确率和召回率的一种调和平均。

表4为不同神经网络模型对应的EPR_ci得分示意表：

表4不同神经网络模型对应的EPR_ci得分示意表

需要说明的是，EPR_ci是上述每种流量对应的召回率与准确率的乘积。

通过表2、3和4中的实验结果，可以发现，本发明实施例提供的PCN、PCCN、APCCN、PPCCN以及DPCCN的检测效果优于CNN、LSTM和FCN等传统的神经网络模型。同时从上述数据分析可以看出，对于具有小样本的流量类别，该模型仍然具有相当好的检测性能。

此外，评估了模型的时间性能来验证本发明实施例提供的PCN、PCCN、APCCN、PPCCN以及DPCCN在检测效率上的提升，通过实验可以得出结论为，PCN、PPCCN、DPCCN以及APCCN的检测时间相较于PCCN有了明显的下降，PCN、PPCCN、DPCCN以及APCCN可以更好地满足大数据环境下的实时性需求。

基于上述任一实施例，图7为本发明实施例提供的一种针对多类不均衡异常流量的网络攻击检测装置的结构示意图，如图7所示，该装置包括：

特征数据获取模块701，用于获取网络中待检测流量包的特征数据；融合特征获取模块702，用于将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，得到融合特征；网络攻击类型确定模块703，用于将所述融合特征输入至所述预设神经网络模型中的分类层，根据分类结果确定所述待检测流量包对应的网络攻击类型；其中，所述特征提取层，用于提取所述特征数据的语义特征和高分辨率特征；所述特征融合层，用于对所述语义特征和高分辨率特征进行特征融合；所述预设神经网络模型是根据带有网络攻击类型标签的特征数据进行训练后得到的。

本发明实施例提供的装置，具体执行上述各方法实施例流程，具体请详见上述各方法实施例的内容，此处不再赘述。本发明实施例提供的装置，通过将网络中待检测流量包的特征数据输入至预设神经网络模型的若干组交替设置的特征提取层和特征融合层，得到融合特征，再将融合特征输入至预设神经网络模型中的分类层，根据分类结果确定待检测流量包对应的网络攻击类型。该方法通过包括若干组交替设置的特征提取层和特征融合层以及分类层的预设神经网络模型学习待检测流量包的特征，以得到不同流量包对应的网络攻击类型，即使在网络中存在多类不均衡异常流量时，也能够有效地对不同网络攻击类型下的流量包进行准确分类，确保了网络攻击检测结果的准确性。

基于上述任一实施例，特征提取层包括：并行设置的上分支网络和下分支网络；其中，所述上分支网络为全卷积网络，所述下分支网络为卷积神经网络。需要说明的是，上分支网络和下分支网络已在上述实施例中详细说明，此处不再赘述。

图8为本发明实施例提供的一种电子设备的实体结构示意图，如图8所示，该电子设备可以包括：处理器(processor)801、通信接口(Communications Interface)802、存储器(memory)803和通信总线804，其中，处理器801，通信接口802，存储器803通过通信总线804完成相互间的通信。处理器801可以调用存储在存储器803上并可在处理器801上运行的计算机程序，以执行上述各实施例提供的方法，例如包括：获取网络中待检测流量包的特征数据；将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，得到融合特征；将所述融合特征输入至所述预设神经网络模型中的分类层，根据分类结果确定所述待检测流量包对应的网络攻击类型；其中，所述特征提取层，用于提取所述特征数据的语义特征和高分辨率特征；所述特征融合层，用于对所述语义特征和高分辨率特征进行特征融合；所述预设神经网络模型是根据带有网络攻击类型标签的特征数据进行训练后得到的。

此外，上述的存储器803中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：获取网络中待检测流量包的特征数据；将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，得到融合特征；将所述融合特征输入至所述预设神经网络模型中的分类层，根据分类结果确定所述待检测流量包对应的网络攻击类型；其中，所述特征提取层，用于提取所述特征数据的语义特征和高分辨率特征；所述特征融合层，用于对所述语义特征和高分辨率特征进行特征融合；所述预设神经网络模型是根据带有网络攻击类型标签的特征数据进行训练后得到的。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种针对多类不均衡异常流量的网络攻击检测方法，其特征在于，包括：

获取网络中待检测流量包的特征数据；

2.根据权利要求1所述的针对多类不均衡异常流量的网络攻击检测方法，其特征在于，所述特征提取层包括：

并行设置的上分支网络和下分支网络；

3.根据权利要求1所述的针对多类不均衡异常流量的网络攻击检测方法，其特征在于，每组交替设置的特征提取层和特征融合层中的特征融合层与下一组交替设置的特征提取层和特征融合层中的特征提取层之间，还设置有点卷积内核层。

4.根据权利要求3所述的针对多类不均衡异常流量的网络攻击检测方法，其特征在于，对于若干组交替设置的特征提取层和特征融合层中的与所述分类器连接的特征融合层，所述特征融合层和所述分类层之间还设置有点卷积内核层或扩张卷积层。

5.根据权利要求1-4中任一所述的针对多类不均衡异常流量的网络攻击检测方法，其特征在于，所述特征融合层使用通道级联或元素级相加。

6.根据权利要求1所述的针对多类不均衡异常流量的网络攻击检测方法，其特征在于，将所述特征数据输入至预设神经网络模型中的若干组交替设置的特征提取层和特征融合层，之前还包括：

7.一种针对多类不均衡异常流量的网络攻击检测装置，其特征在于，包括：

8.根据权利要求7所述的针对多类不均衡异常流量的网络攻击检测装置，其特征在于，所述特征提取层包括：

并行设置的上分支网络和下分支网络；

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述针对多类不均衡异常流量的网络攻击检测方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至6任一项所述针对多类不均衡异常流量的网络攻击检测方法的步骤。