CN115348074A - 深度时空混合的云数据中心网络流量实时检测方法 - Google Patents

Abstract

本发明公开一种深度时空混合的云数据中心网络流量实时检测方法。该方法综合考虑了网络流量来源和分布均不同的影响，并且结合了基于时间特征的流量检测模型和基于空间特征的流量检测模型的优点。综合以上因素，构建了基于时空特征的改进的异常流量检测模型，提升了模型对于异常流量的检测能力，增强了对于攻击流量和正常流量的分类效果。本发明结合了融合时空特征的深度学习模型、时间卷积网络模型、注意力机制和随机失活方法，能够根据网络流量的特征进行实时检测，实现了对正常流量和异常流量的识别和分类。

Description

深度时空混合的云数据中心网络流量实时检测方法

技术领域

本发明涉及云数据中心中的流量检测技术。更具体地，涉及一种深度时空混合的云数据中心网络流量实时检测方法。

背景技术

随着信息技术的发展，计算机网络的使用对于当今社会运转的重要性日渐增加。在计算机网络的交互过程中，云数据中心通过共用软硬件资源，使用服务器交换网络流量，提供目标需要的资源和信息，完成网络服务功能，是一种常用的计算方式。然而，随着计算机网络规模的增长，流量传输对网络性能的需求越来越大，衍生出了各式各样基于网络流量进行的恶意攻击。例如拒绝服务(Denial of Service,DoS)攻击通过发出超出正常需求范围的请求量，使得服务器的过多资源被占用，从而妨碍向其他用户提供的服务，其在网络流量上的异常体现在短时间内流量的激增。该类型的网络攻击会对网络服务运营造成严重破坏，因此对威胁网络流量服务的攻击进行主动的侦测和预防是十分必要的。

针对网络攻击流量的预防，可以通过实时检测输入的网络流量，根据流量的特征进行异常识别和分类，并针对异常类别做出对应的响应。同时，可以通过输入的历史流量预测未来的流量值，基于流量的变化趋势进行攻击流量预测，并提前采取预防措施。网络服务器中攻击流量的检测是一个单变量时间序列的分类和预测问题。传统上的网络流量检测是基于统计方法，通过对信息源进行建模分析，提取区分性的特征作为分类器判别正常流量的基准，即如果新数据样本偏离或超出正常模型的范围，则进行异常检测的反应。然而，随着网络规模的不断扩大，云数据中心的网络流量通常来自于多个不同的服务点，来自这些服务点的流量通常不具有统一的特征和数学分布，基于分布式统计学习的异常检测模型效果较差，难以手工设计最优的模型特征进行学习。

随着深度学习在研究领域的日益兴起，通过自主学习特征的算法在多个领域都取得了超越传统方法的效果。近年来，有研究者提出在流量预测方向应用深度学习的方法，利用神经网络的自动学习性，输入大数据量的网络流量进行训练，从原始数据中挖掘出隐藏的复杂特征信息，通过多次迭代寻找出适合全局数据的神经网络参数和特征等，实现对网络异常流量的准确识别。

由于深层神经网络的特性，使用深度学习的网络流量检测方法省去了手动设计数据特征集的过程。相较于传统的统计方法和机器学习算法不再需要大量经验和实验的特征工程，直接以数据作为驱动，神经网络会自行完成模型学习，发掘效果最好的特征，省去了人工选择的困难。深度学习网络在网络流量问题上的应用具体可以体现在其可以通过设置内部特定的神经网络，进行针对性的分析网络流量中随时间记录的变化，包含特定的空间和时间信息模式。网络流量数据通过识别这种时空信息模式，可以对发生在流量中的正常和异常模式进行识别，从而捕获攻击流量。目前，这些技术正被广泛应用于对工业领域中的传感器数据进行分类和预测。

因此，不同于现有工作，本专利基于网络流量数据中的时空特征设计分类器，建立深度学习模型，实现对网络流量的实时异常检测和分类。

本专利针对通常不具有统一特征和数学分布、具有明显的非典型性和非周期性变化特点的网络流量数据，使用长短期记忆网络(Long Short-Term Memory,LSTM)及其改进模块作为下层，进行时序特征学习；使用时间卷积网络(Temporal ConvolutionalNetwork,TCN)及改进模块作为上层，进行空间特征学习。在此基础上改进模型结构，提升模型对于异常流量的检测能力，增强对于攻击流量和正常流量的分类效果。

本专利采用卷积叠加时序模型的深度学习架构，以同时学习网络流量中的下层空间特征和上层时间特征。具体采用门控递归单元(Gated Recurrent Unit,GRU)和TCN等替代原有简单模型，加强节点对于样本的学习能力，加强学习时间序列维度特征的能力。同时，由于网络流量数据量较大，其通常具有长期的周期性，需要输入足够的历史时间序列数据，才能充分学习到其内在特征。这易导致随着历史时间步长的增大，模型性能会受到限制。因此本专利结合注意力机制，使模型对序列中的信息给予不同的关注度，从而提升对于重要信息的提取，更好地学到多种内容模态之间的相互关系，提升模型在特定特征上的学习效果。此外，本专利加入Dropout层来减少过拟合，增强模型的泛化性。经过以上步骤，得到深度时空混合的云数据中心网络流量实时检测方法。

发明内容

本发明的目的在于提供一种深度时空混合的云数据中心网络流量实时检测方法。该方法适用于对网络流量进行实时检测，基于流量的特征进行异常识别和分类。该方法结合了融合时空特征的深度学习模型、时间卷积网络、注意力机制和随机失活方法，提出了改进的异常流量检测模型，实现了对正常流量和异常流量的分类。

为达到上述目的，本发明采用下述技术方案：

根据本发明的一方面，采用卷积叠加时序模型的深度学习架构，从而同时学习网络流量中的下层空间特征和上层时间特征，并设计层与层之间的连接方式、层的深度、过滤器的个数和形式、激活函数和优化器的选择等，以在保证充分使用计算资源的情况下提高精度、以及加速收敛速度。根据本发明的另一方面，融合门控递归单元和时间卷积网络，增加模型的隐藏层数目和维度，加强节点对于样本的学习能力、以及对于时间序列维度特征的捕获能力。同时，加入Attention注意力机制，使模型对序列中的信息给予不同的关注度，从而提升对于重要信息的提取，更好地学到多种内容模态之间的相互关系，提升模型在特定特征上的学习效果。此外，该模型加入Dropout层来减少过拟合，从而增强模型的泛化性，得到深度时空混合的云数据中心网络流量实时检测方法。

根据本发明的上述方面，针对网络流量数据的特点，基于网络流量数据中的时空特征设计分类器，建立深度学习模型并进行训练和测试，实现对网络流量的实时异常检测和分类。该模型具体使用循环神经网络及其改进模块作为下层，进行时序特征学习；使用卷积神经网络(Convolutional Neural Network,CNN)及改进模块作为上层，进行空间特征学习。在此基础上改进模型结构，提升模型对于异常流量的检测能力，增强对于攻击流量和正常流量的分类效果。

综上，一种深度时空混合的云数据中心网络流量实时检测方法，包括如下步骤：

S1、设计基于时空特征的异常流量检测模型；

优选地，异常流量检测模型使用含有正常和异常标签的网络流量数据集进行训练，输入待分类的网络流量窗口序列，经过神经网络更新网络权重值，输出该段序列对应的标签值。重复进行有监督学习过程，不断迭代获得最优的网络参数，实现对于网络流量序列的高准确率分类。该训练好的异常流量检测模型可以针对获得的未分类流量数据，根据其序列值进行正常和异常的分类，对大量原始数据进行标注，从而筛选出其中的异常流量。

优选地，令X＝{x₁,…,x_t,…,x_T}表示时间跨度为T的网络流量时间序列数据，

表示经过检测模型处理后的时间跨度为T的网络流量序列。x_i和

分别表示第i个时刻网络流量的序列值和经过模型处理后的序列流量值。

和l_T分别表示时间跨度为T的窗口序列对应的分类标签值和真实标签值。本专利对时间跨度为T的流量序列进行正常和异常的二分类。其学习的目标是通过最小化分类误差函数

找到从输入序列到分类标签值的非线性映射，具体的数学过程表示如下：

其中，Classification表示学习得到的分类器函数。

优选地，基于时空特征的异常流量检测模型采用卷积神经网络和时间卷积网络作为基础架构，并添加了新的中间层和模型结构。具体的数据输入和处理流程可以概括为如下步骤：(1)将输入经过滑动窗口预处理得到网络流量数据；(2)将流量窗口中的空间特征通过CNN中的卷积层和池化层来提取；(3)将池化层的输出经过TCN层和Attention模块提取时间特征；(4)通过Dropout模块减少模型过拟合，使用Softmax分类器对数据进行分类。

S2、应用滑动窗口算法预处理数据

优选地，应用滑动窗口算法来解决数据不平衡问题，采用以步长为Step的滑动窗口，对原始数据进行样本的重新划分，即每Step个流量点组成一个样本，若其中包含有一处异常值，则该样本整体标记为异常；否则，将其标记为正常；然后再滑动到下一个流量点，组成下一个样本。

S3、通过CNN中的卷积层和池化层提取数据的空间特征

优选地，卷积层由几个一维卷积和池化层组成，用于自动提取网络流量序列中的空间特征。这些卷积运算利用几个在序列上滑动并按顺序检测特征的过滤器向量。卷积层后面跟随有激活函数，这使得卷积层能够捕获输入信号中的复杂特征。

令q＝(q₁,q₂,…,q_p)是流量数据输入向量，p表示每个窗口的大小，其中每个q_z(1≤z≤p)值表示归一化后的流量数据。I表示该层流量数据输入向量的维度，i表示特征值索引(1≤i≤I)；J表示该层的卷积核个数，j表示每个流量窗口的特征图索引(1≥j≤J)。卷积层的操作如下式所示：

其中，L表示卷积层数；从第l(1≤l≤L)个卷积层导出输出值

表示对第l-1层的第i维中第j个特征映射进行操作后得到的值，由使用来自上一层的流量值

计算得到(如果是第一层，则是使用输入数据的值

)；

表示第l-1层第i+m-1维中第j个特征映射的流量数据向量；

表示第l-1层第j个特征映射的偏差；

表示第l-1层第m维中第j个特征映射核的权重系数；M表示过滤器的大小；σ表示激活函数(例如tanh或ReLU)。池化层的操作如下式所示：

其中，

表示第l-1层第i×L+r维中第j个特征映射的值；R表示池大小，R小于输入y的大小；L表示将池区域移动的步幅长度；p^l表示在第l-1层的最大值。

最大池通过在特征图上按照步长扫描，选择最大值输出至下一层。经过最大池后特征图的高度和宽度减半，通道数保持不变，实现了对特征图降维压缩的效果，从而减少了网络的参数数目和计算复杂度，同时也可以防止出现过拟合问题。

S4、使用时间卷积网络，增加感受野并减少梯度弥散和爆炸的问题，加强模型对于时空特征的提取；添加注意力机制(Attention)，提升模型捕获长序列历史信息依赖的效果，避免梯度消失问题并捕获长距离时间信息。

优选地，TCN采用1维全连接层和扩张的因果卷积层组成残差模块，保证网络产生的输出与输入维持相同的长度，起到等效于时序模型的等长序列输入输出的效果。因果卷积(Causal Convolution)的输出仅来自于前一层和更早元素的卷积，保证了其对于时间顺序的严格性；扩张卷积(Dilated Convolution)通过在卷积隐藏层添加空洞的方式，以相同的参数个数可以获得更大的感受野，学习到更多的历史信息。

优选地，扩张的因果卷积构成残差模块(Residual Block)，由两层扩张的因果卷积作为卷积层，采用激活函数作为非线性映射，采用权重归一化和Dropout进行正则化。输入模块中的序列会经过两轮卷积处理。而叠加残差模块构成的网络可以减少梯度消失问题。该全连接层作为输出方式，实现了端对端序列建模的预测效果。

优选地，选取ReLU(Rectified Linear Unit)函数作为神经网络的激活函数，并将之应用于模型中的卷积层和全连接层部分，来避免神经元的死亡问题，以加快模型的收敛速度、降低计算成本、加强提取稀疏性特征，使模型更易优化。ReLU的具体公式为：

ReLU(x)＝max(0,x)。

优选地，为避免模型收敛至局部最小值并且加速模型的学习，选用如下方法对所有神经网络进行初始化，即将所有网络随机化为较小值，即：

其中，W表示初始化的权重系数。

优选地，注意力机制用Value表示用来加权的信息；Key表示检索Value的索引，与Value互相对应；Query表示用来检索Key的信息。根据Query和Key计算两者的相似性Similarity(Query,Key_i)，得到每个Value对应的权重，计算权重系数a_i，根据权重系数对Value进行加权求和得到最终的Attention值。

S5、添加随机失活模块(Dropout)，减少模型在针对固定数据集训练的过拟合问题，增加模型的泛化性，接着使用Softmax分类器对数据进行分类。

优选地，将Dropout应用于卷积层和全连接层之后，根据模型的复杂程度和作用选择每次训练网络中重置的节点的比例，使其具有较好效果，以测试模型的鲁棒性，并减少模型的过拟合。

优选地，输出层采用全连接层和Softmax分类器的组合，也是整个模型的最顶层，用以检测序列中的异常。TCN单元的输出被展平为特征向量h^l＝(h₁,h₂,…,h_n)，其中n表示TCN最后一层中的单元数。此向量用作全连接层的输入。而输出层的操作如下式所示：

其中，σ表示激活函数；

表示第l-1层第j维中第i个特征映射核的权重；

表示第l-1层第i个特征映射的值；

表示第l-1层第i个特征映射的偏置；

表示全连接层第l层第i个输出；p(c|d)表示判断流量数据是否异常的指标，0表示正常，1表示异常。其具体计算公式为：

其中，全连接层的输出被Softmax分类器分类为0或1。Softmax层使用上述公式计算分类概率。其中，d^L表示最后一层的输出；C表示分类的类别；L表示最后一层的索引；N_c表示分类的总数。Softmax层将流量测试数据分为两类(正常和异常)。

本发明的有益效果如下：

本发明所述技术方案能够改善网络异常流量难以实时准确分类和预测这一挑战性难题。本发明提升了网络异常流量检测的精度和准确率，实现了对正常流量和异常流量的分类。且本发明所述技术方案融合时空特征提取模型、时间卷积网络、注意力机制和随机失活方法。综合以上因素，设计了基于时空混合网络数据的异常流量检测模型并进行了模型训练。然后，为优化检测的精度和准确度，本专利改进了该异常流量检测模型，从而克服现有模型中存在的无法检测来自不同分布的流量数据、不能正确地对实际的正负样本混合的大规模数据进行分类、在卷积和合并操作中会发生时间信息丢失等难题，并在保证计算资源充分使用的情况下提高精度、以及加速收敛速度。最后，得到深度时空混合的云数据中心网络流量实时检测方法。该方法基于网络流量数据中的时空特征设计分类器，建立深度学习模型并进行训练和测试，实现对网络流量的实时异常检测和分类。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明：

图1示出深度时空混合的云数据中心网络流量实时检测方法流程图。

图2示出TCN的残差模块结构图。

图3示出Attention模型原理图。

图4示出Dropout效果图。

具体实施方式

为了更清楚地说明本发明，下面结合优选实例和附图对本发明做进一步的说明。附图中相似的部件以相同的附图标记进行表示。本领域技术人员应当理解，下面所具体描述的内容是说明性的而非限制性的，不应以此限制本发明的保护范围。

如图1、图2、图3和图4所示，本发明公开的一种深度时空混合的云数据中心网络流量实时检测方法，包括如下步骤：

S1、设计基于时空特征的异常流量检测模型；

本专利提出一种深度时空混合的云数据中心网络流量实时检测方法。异常流量检测模型使用含有正常和异常标签的网络流量数据集进行训练，输入待分类的网络流量窗口序列，经过神经网络更新网络权重值，输出该段序列对应的标签值。重复进行有监督学习过程，不断迭代获得最优的网络参数，实现对于网络流量序列的高准确率分类。该训练好的异常流量检测模型可以针对获得的未分类流量数据，根据其序列值进行正常和异常的分类，对大量原始数据进行标注，从而筛选出其中的异常流量。

令X＝{x₁,…,x_t,…,x_T}表示时间跨度为T的网络流量时间序列数据，

表示经过检测模型处理后的时间跨度为T的网络流量序列。x_i和

分别表示第i个时刻网络流量的序列值和经过模型处理后的序列流量值。

和l_T分别表示时间跨度为T的窗口序列对应的分类标签值和真实标签值。本专利对时间跨度为T的流量序列进行正常和异常的二分类。其学习的目标是通过最小化分类误差函数

找到从输入序列到分类标签值的非线性映射，具体的数学过程表示如下：

其中，Classification表示学习得到的分类器函数。

基于时空特征的异常流量检测模型采用卷积神经网络(Convolutional NeuralNetwork,CNN)和时间卷积网络(Temporal Convolutional Network,TCN)作为基础架构，并添加了新的中间层和模型结构。具体的数据输入和处理流程可以概括为如下步骤：(1)将输入经过滑动窗口预处理得到网络流量数据；(2)将流量窗口中的空间特征通过CNN中的卷积层和池化层来提取；(3)将池化层的输出经过TCN层和Attention模块提取时间特征；(4)通过Dropout模块减少模型过拟合，使用Softmax分类器对数据进行分类。

S2、应用滑动窗口算法预处理数据

应用滑动窗口算法来解决数据不平衡问题，采用以步长为Step的滑动窗口，对原始数据进行样本的重新划分，即每Step个流量点组成一个样本，若其中包含有一处异常值，则该样本整体标记为异常；否则，将其标记为正常；然后再滑动到下一个流量点，组成下一个样本。

S3、通过CNN中的卷积层和池化层提取数据的空间特征

卷积层由几个一维卷积和池化层组成，用于自动提取网络流量序列中的空间特征。这些卷积运算利用几个在序列上滑动并按顺序检测特征的过滤器向量。卷积层后面跟随有激活函数，这使得卷积层能够捕获输入信号中的复杂特征。

令q＝(q₁,q₂,…,q_p)是流量数据输入向量；p表示每个窗口的大小；其中每个q_z(1≤z≤p)值表示归一化后的流量数据。I表示该层流量数据输入向量维度；i表示特征值索引(1≤i≤I)；J表示该层的卷积核个数；j表示每个流量窗口的特征图索引(1≥j≤J)。卷积层的操作如下式所示：

其中，L表示卷积层数；从第l(1≤l≤L)个卷积层导出输出值

表示对第l-1层的第i维中第j个特征映射进行操作后得到的值，由使用来自上一层的流量值

计算得到(如果是第一层，则是使用输入数据的值

)；

表示第l-1层第i+m-1维中第j个特征映射的流量数据向量；

表示第l-1层第j个特征映射的偏差；

表示第l-1层第m维中第j个特征映射核的权重系数；M表示过滤器的大小；σ表示激活函数(例如tanh或ReLU)。池化层的操作如下式所示：

其中，

表示第l-1层第i×L+r维中第j个特征映射的值；R表示池大小，R小于输入y的大小；L表示将池区域移动的步幅长度；p^l表示在第l-1层的最大值。

最大池通过在特征图上按照步长扫描，选择最大值输出至下一层。经过最大池后特征图的高度和宽度减半，通道数保持不变，实现了对特征图降维压缩的效果，从而减少了网络的参数数目和计算复杂度，同时也可以防止出现过拟合问题。

S4、使用时间卷积网络TCN，增加感受野并减少梯度弥散和爆炸的问题，加强模型对于时空特征的提取；添加注意力机制(Attention)，提升模型捕获长序列历史信息依赖的效果，避免梯度消失问题并捕获长距离时间信息。

TCN采用1维全连接层和扩张的因果卷积层组成残差模块，保证网络产生的输出与输入维持相同的长度，起到等效于时序模型的等长序列输入输出的效果。因果卷积(CausalConvolution)的输出仅来自于前一层和更早元素的卷积，保证了其对于时间顺序的严格性；扩张卷积(Dilated Convolution)通过在卷积隐藏层添加空洞的方式，以相同的参数个数可以获得更大的感受野，学习到更多的历史信息。

扩张的因果卷积构成残差模块(Residual Block)，由两层扩张的因果卷积作为卷积层，采用激活函数作为非线性映射，采用权重归一化和Dropout进行正则化。输入模块中的序列会经过两轮卷积处理。而叠加残差模块构成的网络可以减少梯度消失问题。该全连接层作为输出方式，实现了端对端序列建模的预测效果。

选取ReLU(Rectified Linear Unit)函数作为神经网络的激活函数，并将之应用于模型中的卷积层和全连接层部分，来避免神经元的死亡问题，以加快模型的收敛速度、降低计算成本、加强提取稀疏性特征，使模型更易优化。ReLU的具体公式为：

ReLU(x)＝max(0,x)。

为避免模型收敛至局部最小值并且加速模型的学习，选用如下方法对所有神经网络进行初始化，即将所有网络随机化为较小值，即：

其中，W表示初始化的权重系数。

注意力机制用Value表示用来加权的信息；Key表示检索Value的索引，与Value互相对应；Query表示用来检索Key的信息。根据Query和Key计算两者的相似性Similarity(Query,Key_i)，得到每个Value对应的权重，计算权重系数a_i，根据权重系数对Value进行加权求和得到最终的Attention值。

S5、添加随机失活模块(Dropout)，减少模型在针对固定数据集训练的过拟合问题，增加模型的泛化性，接着使用Softmax分类器对数据进行分类。

将Dropout应用于卷积层和全连接层之后，根据模型的复杂程度和作用选择每次训练网络中重置的节点的比例，使其具有较好效果，以测试模型的鲁棒性，并减少模型的过拟合。

输出层采用全连接层和Softmax分类器的组合，也是整个模型的最顶层，用以检测序列中的异常。TCN单元的输出被展平为特征向量h^l＝(h₁,h₂,…,h_n)，其中n表示TCN最后一层中的单元数。此向量用作全连接层的输入。而输出层的操作如下式所示：

其中，σ表示激活函数；

表示第l-1层第j维中第i个特征映射核的权重；

表示第l-1层第i个特征映射的值；

表示第l-1层第i个特征映射的偏置；

表示全连接层第l层第i个输出；p(c|d)表示判断流量数据是否异常的指标，0表示正常，1表示异常。其具体计算公式为：

其中，全连接层的输出被Softmax分类器分类为0或1。Softmax层使用上述公式计算分类概率。其中，d^L表示最后一层的输出；C表示分类的类别；L表示最后一层的索引；N_c表示分类的总数。Softmax层将流量测试数据分为两类(正常和异常)。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定，对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动，这里无法对所有的实施方式予以穷举，凡是属于本发明的技术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。

Claims (10)

1.根据所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，该检测方法的目标是建立异常流量检测模型，对网络流量数据进行正常和异常的判断与分类。

异常流量检测模型使用含有正常和异常标签的网络流量数据集进行训练，输入待分类的网络流量窗口序列，经过神经网络更新网络权重值，输出该段序列对应的标签值。重复进行有监督学习过程，不断迭代获得最优的网络参数，实现对于网络流量序列的高准确率分类。该训练好的异常流量检测模型可以针对获得的未分类流量数据，根据其序列值进行正常和异常的分类，对大量原始数据进行标注，从而筛选出其中的异常流量。

令X＝{x₁,…,x_t,…,x_T}表示时间跨度为T的网络流量时间序列数据，

表示经过检测模型处理后的时间跨度为T的网络流量序列。x_i和

分别表示第i个时刻网络流量的序列值和经过模型处理后的序列流量值。

和l_T分别表示时间跨度为T的窗口序列对应的分类标签值和真实标签值。本专利对时间跨度为T的流量序列进行正常和异常的二分类。其学习的目标是通过最小化分类误差函数

找到从输入序列到分类标签值的非线性映射，具体的数学过程表示如下：

其中，Classification表示学习得到的分类器函数。

基于时空特征的异常流量检测模型采用卷积神经网络(Convolutional NeuralNetwork,CNN)和时间卷积网络(Temporal Convolutional Network,TCN)作为基础架构，并添加了新的中间层和模型结构。具体的数据输入和处理流程可以概括为如下步骤：(1)将输入经过滑动窗口预处理得到网络流量数据；(2)将流量窗口中的空间特征通过CNN中的卷积层和池化层来提取；(3)将池化层的输出经过TCN层和Attention模块提取时间特征；(4)通过Dropout模块减少模型过拟合，使用Softmax分类器对数据进行分类。

2.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，应用滑动窗口算法来解决数据不平衡问题，采用以步长为Step的滑动窗口，对原始数据进行样本的重新划分，即每Step个流量点组成一个样本，若其中包含有一处异常值，则该样本整体标记为异常；否则，将其标记为正常；然后再滑动到下一个流量点，组成下一个样本。

3.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，通过CNN中的卷积层和池化层提取数据的空间特征，卷积层由几个一维卷积和池化层组成，用于自动提取网络流量序列中的空间特征。这些卷积运算利用几个在序列上滑动并按顺序检测特征的过滤器向量。卷积层后面跟随有激活函数，这使得卷积层能够捕获输入信号中的复杂特征。

4.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，卷积层的操作具体为：令q＝(q₁,q₂,…,q_p)是流量数据输入向量，p表示每个窗口的大小，其中每个q_z(1≤z≤p)值表示归一化后的流量数据。I表示该层流量数据输入向量维度，i表示特征值索引(1≤i≤I)；J表示该层的卷积核个数，j表示每个流量窗口的特征图索引(1≥j≤J)。卷积层的操作如下式所示：

其中L表示卷积层数。从第l(1≤l≤L)个卷积层导出输出值

表示对第l-1层的第i维中第j个特征映射进行操作后得到值，由使用来自上一层的流量值

计算得到(如果是第一层，则是使用输入数据的值

)。其中，

表示第l-1层第i+m-1维中第j个特征映射的流量数据向量，

表示第l-1层第j个特征映射的偏差，

表示第l-1层第m维中第j个特征映射核的权重系数，M表示过滤器的大小，σ表示激活函数(例如tanh或ReLU)。

5.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，池化层的操作如下式所示：

其中，

表示第l-1层第i×L+r维中第j个特征映射的值；R表示池大小，R小于输入y的大小；L表示将池区域移动的步幅长度；p^l表示在第l-1层的最大值。

最大池通过在特征图上按照步长扫描，选择最大值输出至下一层。经过最大池后特征图的高度和宽度减半，通道数保持不变，实现了对特征图降维压缩的效果，从而减少了网络的参数数目和计算复杂度，同时也可以防止出现过拟合问题。

6.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，使用时间卷积网络TCN，增加感受野并减少梯度弥散和爆炸的问题，加强模型对于时空特征的提取；添加注意力机制(Attention)，提升模型捕获长序列历史信息依赖的效果，避免梯度消失问题并捕获长距离时间信息。

具体地，TCN采用1维全连接层和扩张的因果卷积层组成残差模块，保证网络产生的输出与输入维持相同的长度，起到等效于时序模型的等长序列输入输出的效果。因果卷积(Causal Convolution)的输出仅来自于前一层和更早元素的卷积，保证了其对于时间顺序的严格性；扩张卷积(Dilated Convolution)通过在卷积隐藏层添加空洞的方式，以相同的参数个数可以获得更大的感受野，学习到更多的历史信息。

具体地，扩张的因果卷积构成残差模块(Residual Block)，由两层扩张的因果卷积作为卷积层，采用激活函数作为非线性映射，采用权重归一化和Dropout进行正则化。输入模块中的序列会经过两轮卷积处理。而叠加残差模块构成的网络可以减少梯度消失问题。该全连接层作为输出方式，实现了端对端序列建模的预测效果。

7.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，选取ReLU(Rectified Linear Unit)函数作为神经网络的激活函数，并将之应用于模型中的卷积层和全连接层部分，来避免神经元的死亡问题，以加快模型的收敛速度、降低计算成本、加强提取稀疏性特征，使模型更易优化。ReLU的具体公式为：

ReLU(x)＝max(0,x)。

为避免模型收敛至局部最小值并且加速模型的学习，选用如下方法对所有神经网络进行初始化，即将所有网络随机化为较小值，即：

其中，W表示初始化的权重系数。

8.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，注意力机制具体为：用Value表示用来加权的信息；Key表示检索Value的索引，与Value互相对应；Query表示用来检索Key的信息。根据Query和Key计算两者的相似性Similarity(Query,Key_i)，得到每个Value对应的权重，计算权重系数a_i，根据权重系数对Value进行加权求和得到最终的Attention值。

9.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，添加随机失活模块(Dropout)，减少模型在针对固定数据集训练的过拟合问题，增加模型的泛化性，接着使用Softmax分类器对数据进行分类。将Dropout应用于卷积层和全连接层之后，根据模型的复杂程度和作用选择每次训练网络中重置的节点的比例，使其具有较好效果，以测试模型的鲁棒性，并减少模型的过拟合。

10.根据权利要求1所述的深度时空混合的云数据中心网络流量实时检测方法，其特征在于，输出层采用全连接层和Softmax分类器的组合，也是整个模型的最顶层，用以检测序列中的异常。TCN单元的输出被展平为特征向量h^l＝(h₁,h₂,…,h_n)，其中n表示TCN最后一层中的单元数。此向量用作全连接层的输入。而输出层的操作如下式所示：

其中，σ表示激活函数；

表示第l-1层第j维中第i个特征映射核的权重；

表示第l-1层第i个特征映射的值；

表示第l-1层第i个特征映射的偏置；

表示全连接层第l层第i个输出；p(c|d)表示判断流量数据是否异常的指标，0表示正常，1表示异常。其具体计算公式为：

其中，全连接层的输出被Softmax分类器分类为0或1。Softmax层使用上述公式计算分类概率。其中，d^L表示最后一层的输出；C表示分类的类别；L表示最后一层的索引；N_c表示分类的总数。Softmax层将流量测试数据分为两类(正常和异常)。

Images