CN111917712A - 一种针对多协议攻击数据的流量监测方法及监测系统 - Google Patents

Abstract

本发明的目的是提供针对多协议攻击数据的流量监测方法，多协议攻击数据为多协议的网络流数据，流量监测方法包括训练网络流样本数据的数据结构信息及数据时序信息建立流量识别模型；根据流量识别模型识别当前网络流数据，获取当前网络流数据中的多个流量特征值；根据多个流量特征值及多个传输协议的特征值，获取当前网络传输数据中的多协议类型信息；根据检测周期将网络流数据的流量数据划分为多个数据流量段；获取数据段序列中流量的自相关函数ρk值；判断多协议类型信息是否为设定协议类型信息。结合网络传输数据流量的连续性及网络传输协议的判断。准确、实时监测网络传输数据流量。

Description

一种针对多协议攻击数据的流量监测方法及监测系统

技术领域

本发明涉及网络安全领域。本发明尤其涉及一种针对多协议攻击数据的流量监测方法及系统。

背景技术

现有的攻击流量检测方案的核心思想是利用攻击行为流量特征与正常行为流量特征间的不同点进行检测，存在依赖正常行为模型、异常阈值设定影响检测结果的缺点，并且性能非常依赖流量特征的设计。

发明内容

本发明的目的是提供针对多协议攻击数据的流量监测方法，可通过自相似和模型学习两重判断，结合网络传输数据流量的连续性及网络传输协议的判断。准确、实时监测网络传输数据流量。

本发明的目的是提供针对多协议攻击数据的流量监测系统，结合自相似单元和模型学习两重单元的结合判断。准确、实时监测网络传输数据流量。

本发明公开了一种针对多协议攻击数据的流量监测方法，多协议攻击数据为多协议的网络流数据，流量监测方法包括：

步骤S101，训练网络流样本数据的数据结构信息及数据时序信息建立流量识别模型。网络流数据为无异常状态下的网络流样本数据。

步骤S102，根据流量识别模型识别当前网络流数据，获取当前网络流数据中的多个流量特征值。多个流量特征值对应多个传输协议的特征值。

步骤S103，根据多个流量特征值及多个传输协议的特征值，获取当前网络传输数据中的多协议类型信息。

步骤S104，根据检测周期将网络流数据的流量数据划分为多个数据流量段。根据当前网络流数据的时间序列将多个数据流量段组合成一个数据段序列。

步骤S105，获取数据段序列中流量的自相关函数ρk值。

步骤S106，判断多协议类型信息是否为设定协议类型信息，若是，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

在本发明的一种实施方式中，步骤S101包括：

步骤S1011，从当前的网络流数据中获取多个数据包。数据包中包括传输方通信信息。

步骤S1012，分别获取每个数据包的包头数据信息及与包头数据信息所对应的独热编码。

步骤S1013，根据包头数据信息的格式生成一个二维框架图像。根据独热编码填空二维框架图像生成一个二维图像。

步骤S1014，通过卷积神经网络训练每个数据包的二维图像，生成数据结构信息模型。

步骤S1015，通过LSTM长短时记忆循环神经网络训练每个数据包的时序特征获取时序结构信息模型。

步骤S1016，时序特征获取时序结构信息模型的变量输入端接收数据结构信息模型的变量输出端的数据。数据结构信息模型与数据结构信息模型组成为流量识别模型。

在本发明的一种实施方式中，步骤S103中包括：

根据多个流量特征值及多个传输协议的特征值，通过softmax分类器获取当前网络传输数据中的多协议类型信息_。

在本发明的一种实施方式中，步骤S105后还包括：

步骤S1051，根据自相关函数ρk值通过公式1获取 Hurst 指数的值。

数据段序列是是广义平稳的自相似序列。

公式1

其中i 代表迭代次数，根据上述公式1逐次迭代，当达到迭代终止条件

时，迭代终止，可得到最终的 Hurst 指数的值。

在本发明的一种实施方式中，步骤S106中包括：

判断多协议类型信息是否为设定协议类型信息，若否，则判断Hurst 指数是否大于0.5，若否，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

本发明又提供了一种针对多协议攻击数据的流量监测系统，多协议攻击数据为多协议的网络流数据，流量监测系统包括：一个训练单元、一个自相似单元、一个模型检测单元及一个结果判断单元。其中：

训练单元，配置为训练网络流样本数据的数据结构信息及数据时序信息建立流量识别模型。网络流数据为无异常状态下的网络流样本数据。

自相似单元，配置为根据流量识别模型识别当前网络流数据，获取当前网络流数据中的多个流量特征值。多个流量特征值对应多个传输协议的特征值。根据多个流量特征值及多个传输协议的特征值，获取当前网络传输数据中的多协议类型信息。

模型检测单元，配置为根据检测周期将网络流数据的流量数据划分为多个数据流量段。根据当前网络流数据的时间序列将多个数据流量段组合成一个数据段序列。获取数据段序列中流量的自相关函数ρk值。

结果判断单元，配置为判断多协议类型信息是否为设定协议类型信息，若是，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

在本发明的一种实施方式中，训练单元还配置为：

从当前的网络流数据中获取多个数据包。数据包中包括传输方通信信息。

分别获取每个数据包的包头数据信息及与包头数据信息所对应的独热编码。

根据包头数据信息的格式生成一个二维框架图像。根据独热编码填空二维框架图像生成一个二维图像。

通过卷积神经网络训练每个数据包的二维图像，生成数据结构信息模型。

通过LSTM长短时记忆循环神经网络训练每个数据包的时序特征获取时序结构信息模型。

时序特征获取时序结构信息模型的变量输入端接收数据结构信息模型的变量输出端的数据。数据结构信息模型与数据结构信息模型组成为流量识别模型。

在本发明的一种实施方式中，自相似单元还配置为：

根据多个流量特征值及多个传输协议的特征值，通过softmax分类器获取当前网络传输数据中的多协议类型信息_。

在本发明的一种实施方式中，自相似单元还配置为：

根据自相关函数ρk值通过公式2获取 Hurst 指数的值。

数据段序列是是广义平稳的自相似序列。

公式2

其中i 代表迭代次数，根据上述公式1逐次迭代，当达到迭代终止条件

时，迭代终止，可得到最终的 Hurst 指数的值。

在本发明的一种实施方式中，结果判断单元中还配置为：

判断多协议类型信息是否为设定协议类型信息，若否，则判断Hurst 指数是否大于0.5，若否，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

由此可知，本发明中针对多协议攻击数据的流量监测方法的优点在于无需建立正常行为模型，直接根据网络流量的基本流特征-自相似特性判断流量是否发生异常。基于深度学习的方法首先使用卷积神经网络学习数据包内部的空间特征，然后使用循环神经网络学习数据包之间的时序特征，上层的时序特征建立在下层的空间特征基础之上。特征学习的整个过程不使用任何特征工程技巧，自动学习到的层次化的时空特征能更好地刻画流量行为，可以有效提高异常检测能力。基于自相似理论的方法可以帮助我们准确地确定异常流量所在，而基于深度学习的方法可以更进一步确定攻击流量的存在。

下文将以明确易懂的方式，结合附图对上述特性、技术特征、优点及其实现方式予以进一步说明。

附图说明

图1是用于说明在一种针对多协议攻击数据的流量监测方法的流程示意图。

图2是用于说明在一种针对多协议攻击数据的流量监测系统的组成示意图。

图3是用于说明攻击流量联合检测流程图。

图4是用于说明二维框架图像的示意图。

具体实施方式

为了对发明的技术特征、目的和效果有更加清楚的理解，现对照附图说明本发明的具体实施方式，在各图中相同的标号表示结构相同或结构相似但功能相同的部件。

在本文中，“示意性”表示“充当实例、例子或说明”，不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。为使图面简洁，各图中只示意性地表示出了与本示例性实施例相关的部分，它们并不代表其作为产品的实际结构及真实比例。

本发明公开了一种针对多协议攻击数据的流量监测方法，多协议攻击数据为多协议的网络流数据，流量监测方法包括：

步骤S101，建立流量识别模型。

本步骤中，训练网络流样本数据的数据结构信息及数据时序信息建立流量识别模型。网络流数据为无异常状态下的网络流样本数据。

步骤S102，获取多个流量特征值。

本步骤中，根据流量识别模型识别当前网络流数据，获取当前网络流数据中的多个流量特征值。多个流量特征值对应多个传输协议的特征值。

步骤S103，获取多协议类型信息。

本步骤中，根据多个流量特征值及多个传输协议的特征值，获取当前网络传输数据中的多协议类型信息。

步骤S104，组合成一个数据段序列。

本步骤中，根据检测周期将网络流数据的流量数据划分为多个数据流量段。根据当前网络流数据的时间序列将多个数据流量段组合成一个数据段序列。

步骤S105，获取数据段序列中流量的自相关函数。

本步骤中，获取数据段序列中流量的自相关函数ρk值。

步骤S106，判断多协议类型信息。

本步骤中，判断多协议类型信息是否为设定协议类型信息，若是，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

在本发明针对多协议攻击数据的流量监测方法的一种实施方式中，步骤S101包括：

步骤S1011，从当前的网络流数据中获取多个数据包。数据包中包括传输方通信信息。

步骤S1012，分别获取每个数据包的包头数据信息及与包头数据信息所对应的独热编码。

步骤S1013，根据包头数据信息的格式生成一个二维框架图像。根据独热编码填空二维框架图像生成一个二维图像。上述二维图像如图4所示，二维框架图像为10。独热编码填写在20所指的范围内。

步骤S1014，通过卷积神经网络训练每个数据包的二维图像，生成数据结构信息模型。

步骤S1015，通过LSTM长短时记忆循环神经网络训练每个数据包的时序特征获取时序结构信息模型。

步骤S1016，时序特征获取时序结构信息模型的变量输入端接收数据结构信息模型的变量输出端的数据。数据结构信息模型与数据结构信息模型组成为流量识别模型。

在本发明针对多协议攻击数据的流量监测方法的一种实施方式中，步骤S103中包括：

根据多个流量特征值及多个传输协议的特征值，通过softmax分类器获取当前网络传输数据中的多协议类型信息。

在本发明针对多协议攻击数据的流量监测方法的一种实施方式中，步骤S105后还包括：

步骤S1051，根据自相关函数ρk值通过公式1获取 Hurst 指数的值。

数据段序列是是广义平稳的自相似序列。

公式1

其中i 代表迭代次数，根据上述公式1逐次迭代，当达到迭代终止条件

时，迭代终止，可得到最终的 Hurst 指数的值。

在本发明针对多协议攻击数据的流量监测方法的一种实施方式中，步骤S106中包括：

判断多协议类型信息是否为设定协议类型信息，若否，则判断Hurst 指数是否大于0.5，若否，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

本发明又提供了一种针对多协议攻击数据的流量监测系统，如图2所示，多协议攻击数据为多协议的网络流数据，流量监测系统包括：一个训练单元101、一个自相似单元201、一个模型检测单元301及一个结果判断单元401。其中：

训练单元101，配置为训练网络流样本数据的数据结构信息及数据时序信息建立流量识别模型。网络流数据为无异常状态下的网络流样本数据。

自相似单元201，配置为根据流量识别模型识别当前网络流数据，获取当前网络流数据中的多个流量特征值。多个流量特征值对应多个传输协议的特征值。根据多个流量特征值及多个传输协议的特征值，获取当前网络传输数据中的多协议类型信息。

模型检测单元301，配置为根据检测周期将网络流数据的流量数据划分为多个数据流量段。根据当前网络流数据的时间序列将多个数据流量段组合成一个数据段序列。获取数据段序列中流量的自相关函数ρk值。

结果判断单元401，配置为判断多协议类型信息是否为设定协议类型信息，若是，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

在本发明的一种实施方式中，训练单元101还配置为：

从当前的网络流数据中获取多个数据包。数据包中包括传输方通信信息。

分别获取每个数据包的包头数据信息及与包头数据信息所对应的独热编码。

根据包头数据信息的格式生成一个二维框架图像。根据独热编码填空二维框架图像生成一个二维图像。

通过卷积神经网络训练每个数据包的二维图像，生成数据结构信息模型。

通过LSTM长短时记忆循环神经网络训练每个数据包的时序特征获取时序结构信息模型。

时序特征获取时序结构信息模型的变量输入端接收数据结构信息模型的变量输出端的数据。数据结构信息模型与数据结构信息模型组成为流量识别模型。

在本发明的一种实施方式中，自相似单元201还配置为：

根据多个流量特征值及多个传输协议的特征值，通过softmax分类器获取当前网络传输数据中的多协议类型信息。

在本发明的一种实施方式中，自相似单元201还配置为：

根据自相关函数ρk值通过公式2获取 Hurst 指数的值。

数据段序列是是广义平稳的自相似序列。

公式2

其中i 代表迭代次数，根据上述公式1逐次迭代，当达到迭代终止条件

时，迭代终止，可得到最终的 Hurst 指数的值。

在本发明的一种实施方式中，结果判断单元401中还配置为：

判断多协议类型信息是否为设定协议类型信息，若否，则判断Hurst 指数是否大于0.5，若否，则判断自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

在本发明的一种实施方式中，如图3所示，本申请提出针对多协议攻击数据的流量监测方法。基于自相似理论的思路是首先对流量序列分段，然后使用迭代法求解这些子流量序列的 Hurst 指数，最后根据 Hurst 指数的值判断流量异常是否发生。此方法的优点在于无需建立正常行为模型，直接根据网络流量的基本流特征-自相似特性判断流量是否发生异常。基于深度学习的方法首先使用卷积神经网络学习数据包内部的空间特征，然后使用循环神经网络学习数据包之间的时序特征，上层的时序特征建立在下层的空间特征基础之上。特征学习的整个过程不使用任何特征工程技巧，自动学习到的层次化的时空特征能更好地刻画流量行为，可以有效提高异常检测能力。基于自相似理论的方法可以帮助我们准确地确定异常流量所在，而基于深度学习的方法可以更进一步确定攻击流量的存在。

本发明中针对多协议攻击数据的流量监测方法包括以下两个方面：

1.1、基于自相似理论的检测方法

大量网络流量建模研究成果表明，无论网络状况、网络类型如何，计算机网络流量都存在着长程相关的自相似特性，判断自相似特性程度的标准称作 Hurst 指数，此值会随着网络的波动情况不断变化，当网络上突发业务较少，网络非常平稳时，此值也表现的十分平稳，但如果网络上突发业务较多，突发流量较大时，此值会发生明显的减小，本检测方案就是基于 Hurst 指数会随着网络波动而变化设计的。

方案的第一步是采集网络流量数据，由于本方案仅对网络流量的流特征进行分析，故只需要收集数据包包头信息即可。

网络流量采集完毕后，对网络流量的 Hurst 指数进行计算。Hurst 指数的计算方法包括重标极差分析法（R/S 分析法）、小波分析法和迭代法等。本方案使用高效、易实现的迭代法对 Hurst 指数进行计算，其求解步骤如下：

设置检测周期t 、采样间隔 k 以及迭代终止值ε。其中，检测周期是指将总的流量数据分成若干子流量段后，子流量段的长度，此值的设定影响了最终异常检测的灵敏度，在下文中，检测灵敏度与检测周期是同义词，采样间隔是指自相关函数计算过程中的平移长度，迭代终止值是迭代终止时，上次迭代和本次迭代差值的最小值；

将每个检测周期内的网络流量值构成一个随机序列X={Xj:j=1,2,…t}，序列中的随机分量Xj 代表该时间段内收到的数据包数，在正常使用网络的情况下，每秒钟的网络流量应该符合自相似特性；

对此流量序列求均值、方差以及自相关函数ρk的值，判断ρk的值是否大于零，若不是，则此流量序列为负相关序列，其具有很大的波动性，可直接判断为受到攻击，不必再做进一步计算，此时的 H 值我们记为 0。

使用自相关函数ρk计算 Hurst 指数的值。具体计算过程如下：

此流量序列是广义平稳的自相似序列，其自相关函数满足如下公式：

其中，k 为采样间隔，对上式进行变换，得到

对上式做变换，得到迭代公式如下：

其中i 代表迭代次数，根据上述迭代公式逐次迭代，当达到迭代终止条件

时，迭代终止，可得到最终的 Hurst 指数的值。

本项目在 Hurst 指数迭代算法的基础上增加了对自相关函数ρk的正负的判断，若的值小于 0，意味着此流量序列的波动十分剧烈，可直接判断为流量异常，不需再做进一步计算；当的ρk值大于 0 时，才使用迭代算法对 Hurst 指数的值进行进一步计算。

由于网络流量具有长程相关的自相似特性，在正常情况下，其 Hurst 指数的值应该大于 0.5，即流量序列是一个持久性序列，其过去的状态和现在的状态正相关，当受到攻击时，流量会在短时间内剧烈波动，此时，流量序列近似于一个完全随机序列，Hurst 指数应该小于或等于 0.5，流量序列的自相似特性消失。根据上述理论，若在检测的过程中发现迭代所得的 Hurst 指数大于 0.5，则认为在此段时间内网络流量是正常的，若在检测的过程中发现迭代所得的 Hurst 指数小于等于 0.5，则认为此段时间的网络流量发生异常。

1.2、基于深度学习的检测方法

在数据包层次，系统将每个数据包转换为二维图像格式，然后利用卷积神经网络学习数据包内部的空间特征。在网络流层次，系统利用循环神经网络进一步学习数据包间的时序特征。最终，在综合利用两种深层神经网络的特征学习能力的基础上，得到准确刻画网络流量行为的网络流时空特征，并最终用于异常检测。

网络流量具有明显的层次化特征体系。网络流量结构的最底层是一系列的流量字节串。按照网络协议规定的格式，多个流量字节组合为一个数据包，通信双方多个数据包又进一步组合为一个网络流。一个有趣的类比是，网络流量的流量字节、数据包、网络流的层次化构成方式与自然语言的单词、句子、章节的层次化构成方式非常相似。判断网络流是正常流量还是异常流量的任务与判断章节是正向还是负向情感的情感分析任务也很相似。在自然语言处理领域的情感分析任务上，最近出现了一些使用深层神经网络进行层次化特征学习的研究成果并且取得了非常好的成绩。这些进展启发了本项目尝试使用深层神经网络进行网络流量的层次化特征学习，并进一步用于网络流量异常检测任务。而使用两种深层神经网络综合学习原始网络流量的层次化时空特征，充分利用两种深层神经网络的各自优势，实现更高效的异常检测效果。

模型的目标是通过深层神经网络自动学习网络流量的时空特征，实现高效的网络流量异常检测。其基本工作流程为：在数据包层次，系统将每个数据包转换为二维图像格式，然后利用卷积神经网络学习数据包内部的空间特征。在网络流层次，系统利用循环神经网络进一步学习数据包间的时序特征。最终，在综合利用两种深层神经网络的特征学习能力的基础上，得到准确刻画网络流量行为的网络流时空特征，并最终用于异常检测。

各阶段工作流程描述如下。预处理。预处理将原始网络流量转换为卷积神经网络需要的二维图像格式。判断流量是否具有异常行为的基本单元是网络流，因此原始网络流量需要首先切分为一组网络流。每一个网络流包含一组双方通信的数据包，需要对每一个数据包进行分别处理。假设共有r个数据包，每个数据包取前q字节，独热编码为p维向量，则最终得到r个p*q形状的二维图像。

交叉验证。k折交叉验证技术用于评估和选择性能最好的模型。训练集被随机均分为10个子集，每次训练和验证时选择1个子集作为验证集，其余k-1个子集为训练集。实验中k取10，这个值可以实现低偏差、低方差、低过拟合和较好的误差估计。

空间特征学习。卷积神经网络用于学习二维图像格式的流量的空间特征。卷积神经网络对每一个p*q维的数据包分别学习得到r个空间特征。

时序特征学习。长短时记忆循环神经网络用于学习流量空间特征之间的时序特征。对于ｒ个空间特征向量组成的序列，长短时记忆循环神经网络进一步学习它们之间的时序关系，最终得到综合了空间和时序两层关系的网络流特征。

softmax分类器。softmax分类器用于对自动学习到的时空特征进行异常检测。针对具体每个网络流，通过特征学习方式得到特征结果，softmax分类器负责最终判断其是否具有异常行为。

使用CNN学习空间特征。卷积神经网络在输入的流量字节的二维图像上学习空间特征。卷积神经网络针对每个数据包分别学习。多个数据包的前q字节分别进行独热编码转换为多个独立的p*q形状的数据包图像，数据包图像分别经过卷积神经网络的卷积和池化处理，最终得到多个独立的、表示数据包特征的向量packet vec。具体实现时，使用两种不同尺寸的卷积核分别学习得到一个数据包向量，并拼接成一个整体向量。计算机视觉领域的应用说明，这样能够得到更好的空间特征学习效果。

使用LSTM学习时序特征。LSTM在数据包特征向量packet vec的序列上进一步学习时序特征。使用了一个双向LSTM，依次从正向和反向两个方向扫描序列学习特征。LSTM在自然语言处理领域的应用说明，这种双向扫描操作能够得到更加完整准确的特征。

应当理解，虽然本说明书是按照各个实施方式中描述的，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用以限制本发明的保护范围，凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

Claims (10)

1.一种针对多协议攻击数据的流量监测方法，其特征在于，所述多协议攻击数据为多协议的网络流数据，所述流量监测方法包括：

步骤S101，训练网络流样本数据的数据结构信息及数据时序信息建立流量识别模型；所述网络流数据为无异常状态下的网络流样本数据；

步骤S102，根据所述流量识别模型识别当前网络流数据，获取当前网络流数据中的多个流量特征值；所述多个流量特征值对应多个传输协议的特征值；

步骤S103，根据所述多个流量特征值及所述多个传输协议的特征值，获取所述当前网络传输数据中的多协议类型信息；

步骤S104，根据检测周期将所述网络流数据的流量数据划分为多个数据流量段；根据所述当前网络流数据的时间序列将所述多个数据流量段组合成一个数据段序列；

步骤S105，获取所述数据段序列中流量的自相关函数ρk值；

步骤S106，判断所述多协议类型信息是否为设定协议类型信息，若是，则判断所述自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

2.根据权利要求1所述的流量监测方法，其特征在于，所述步骤S101包括：

步骤S1011，从所述当前的网络流数据中获取多个数据包；所述数据包中包括传输方通信信息；

步骤S1012，分别获取所述每个数据包的包头数据信息及与所述包头数据信息所对应的独热编码；

步骤S1013，根据所述包头数据信息的格式生成一个二维框架图像；根据所述独热编码填空所述二维框架图像生成一个二维图像；

步骤S1014，通过卷积神经网络训练每个数据包的二维图像，生成数据结构信息模型；

步骤S1015，通过LSTM长短时记忆循环神经网络训练每个数据包的时序特征获取时序结构信息模型；

步骤S1016，所述时序特征获取时序结构信息模型的变量输入端接收所述数据结构信息模型的变量输出端的数据；所述数据结构信息模型与所述数据结构信息模型组成为流量识别模型。

3.根据权利要求1所述的流量监测方法，其特征在于，所述步骤S103中包括：

根据所述多个流量特征值及所述多个传输协议的特征值，通过softmax分类器获取所述当前网络传输数据中的多协议类型信息。

4.根据权利要求1所述的流量监测方法，其特征在于，所述步骤S105后还包括：

步骤S1051，根据自相关函数ρk值通过公式1获取 Hurst 指数的值；

所述数据段序列是是广义平稳的自相似序列；

公式1

其中i 代表迭代次数，根据上述公式1逐次迭代，当达到迭代终止条件

时，迭代终止，可得到最终的 Hurst 指数的值。

5.根据权利要求4所述的流量监测方法，其特征在于，所述步骤S106中包括：

判断所述多协议类型信息是否为设定协议类型信息，若否，则判断所述Hurst 指数是否大于0.5，若否，则判断所述自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

6.一种针对多协议攻击数据的流量监测系统，其特征在于，所述多协议攻击数据为多协议的网络流数据，所述流量监测系统包括：一个训练单元、一个自相似单元、一个模型检测单元及一个结果判断单元；其中：

所述训练单元，配置为训练网络流样本数据的数据结构信息及数据时序信息建立流量识别模型；所述网络流数据为无异常状态下的网络流样本数据；

所述自相似单元，配置为根据所述流量识别模型识别当前网络流数据，获取当前网络流数据中的多个流量特征值；所述多个流量特征值对应多个传输协议的特征值；根据所述多个流量特征值及所述多个传输协议的特征值，获取所述当前网络传输数据中的多协议类型信息；

所述模型检测单元，配置为根据检测周期将所述网络流数据的流量数据划分为多个数据流量段；根据所述当前网络流数据的时间序列将所述多个数据流量段组合成一个数据段序列；获取所述数据段序列中流量的自相关函数ρk值；

所述结果判断单元，配置为判断所述多协议类型信息是否为设定协议类型信息，若是，则判断所述自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

7.根据权利要求6所述的流量监测系统，其特征在于，所述训练单元，还配置为：

从所述当前的网络流数据中获取多个数据包；所述数据包中包括传输方通信信息；

分别获取所述每个数据包的包头数据信息及与所述包头数据信息所对应的独热编码；

根据所述包头数据信息的格式生成一个二维框架图像；根据所述独热编码填空所述二维框架图像生成一个二维图像；

通过卷积神经网络训练每个数据包的二维图像，生成数据结构信息模型；

通过LSTM长短时记忆循环神经网络训练每个数据包的时序特征获取时序结构信息模型；

所述时序特征获取时序结构信息模型的变量输入端接收所述数据结构信息模型的变量输出端的数据；所述数据结构信息模型与所述数据结构信息模型组成为流量识别模型。

8.根据权利要求5所述的流量监测系统，其特征在于，所述自相似单元还配置为：

根据所述多个流量特征值及所述多个传输协议的特征值，通过softmax分类器获取所述当前网络传输数据中的多协议类型信息。

9.根据权利要求8所述的流量监测系统，其特征在于，所述自相似单元还配置为：

根据自相关函数ρk值通过公式2获取 Hurst 指数的值；

所述数据段序列是是广义平稳的自相似序列；

公式2

其中i 代表迭代次数，根据上述公式1逐次迭代，当达到迭代终止条件

时，迭代终止，可得到最终的 Hurst 指数的值。

10.根据权利要求9所述的流量监测系统，其特征在于，所述结果判断单元中还配置为：

判断所述多协议类型信息是否为设定协议类型信息，若否，则判断所述Hurst 指数是否大于0.5，若否，则判断所述自相关函数ρk是否小于设定值，若是，则发出网络流数据的流量异常提示信息。

Images