(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210962767.7 (22)申请日 2022.08.11 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 马海龙　张鹏　江逸茗　曲彦泽　 胡涛　王亮　卜佑军　何元康　 袁征　田乐　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 周艳巧 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01)G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于异构特征簇的深度学习网络异常检测 模型构建方法、 检测方法和系统 (57)摘要 本发明属于网络安全技术领域， 特别涉及一 种基于异构特征簇的深度学习网络异常检测模 型构建方法、 检测方法和系统， 针对同一网络流， 利用专家知识抽取若干类别的网络安全特征数 据， 由每类网络安全特征数据构造对应的数据特 征簇； 为每类数据特征簇构建对应 分支的异常检 测模型， 利用该类下的数据特征簇来组建异构特 征数据集， 并利用该异构特征数据集对分支异常 检测模型进行训练； 针对每个分支的异常检测模 型输出， 利用拟态裁决来确定最终网络异常检测 结果。 本发 明基于同一网络系统导出的异构数据 集， 对多特征簇分别进行异常检测并通过综合仲 裁输出， 以能够准确、 全面反映网络状态信息， 有 效屏蔽单检测器可能产生的检测错误， 提升检测 准确率。 权利要求书2页 说明书6页 附图1页 CN 115426133 A 2022.12.02 CN 115426133 A 1.一种基于异构特征簇的深度学习网络异常检测模型构建方法， 其特征在于， 包含如 下内容： 针对同一网络流， 利用专家知识抽取若干类别的网络安全特征数据， 由每类网络安全 特征数据构造对应的数据特 征簇； 为每类数据特征簇构建对应分支的异常检测模型， 利用该类下的数据 特征簇来组建异 构特征数据集， 并利用该异构特 征数据集对分支 异常检测模型进行训练； 针对每个分支的异常检测模型输出， 利用拟态裁决来确定最终网络异常检测结果。 2.根据权利要求1所述的基于异构特征簇的深度学习网络异常检测模型构建方法， 其 特征在于， 利用专家知识至少抽取3类网络安全 特征数据， 其中， 该3类网络安全 特征数据对 应的数据特征簇分别为用于刻画网络流数据包统计特征的数据包特征簇、 用于刻画数据包 标识位特 征的标识特 征簇和用于刻画流 通信特征的流特 征簇。 3.根据权利要求1或2所述的基于异构特征簇的深度 学习网络异常检测模型构建方法， 其特征在于， 由每类网络安全特征数据构造对应的数据特征簇中， 首先， 在同一网络流会话 中， 将原始流量拆解为单条数据包， 并对数据包进行字段补齐； 然后， 根据数据特征簇对数 据包不同特 征簇字段进行拆分重组来形成对应的异构特 征数据集。 4.根据权利要求3所述的基于异构特征簇的深度学习网络异常检测模型构建方法， 其 特征在于， 将原始流量拆解为单条数据包时， 依据FIN数据包标志对TCP流在连接断开时终 止； 针对UDP流， 依据预设时间段对流超时时终止； 以双向流为特征数据收集基本单位， 根据 流的首包获取前向传输方向和后向传输方向， 并基于前、 后传输方向分别统计时间相关特 征。 5.根据权利要求1所述的基于异构特征簇的深度学习网络异常检测模型构建方法， 其 特征在于， 分支异常检测模型利用多层感知机进 行网络训练， 并在网络训练中， 将异构特征 数据集置入Dropout层进行数据随机处理， 将随机处理后的数据送入ReLU激活函数进行映 射， 依据预设阈值 来判定网络流异常， 将判定结果作为对应分支 异常检测结果并输出。 6.根据权利要求1或5所述的基于异构特征簇的深度 学习网络异常检测模型构建方法， 其特征在于， 拟态裁决中， 利用加权投票进行综合裁定， 加权投票内容如下： 依据每个分支 异常检测模型异常检测验证中的准确率 来设定对应分支 异常检测模型的权 重。 7.根据权利要求6所述的基于异构特征簇的深度学习网络异常检测模型构建方法， 其 特征在于， 拟态裁决内容如下： 首先， 设置网络流行为良性权重和恶意权重， 并赋初始 值； 然 后， 将所有分支异常检测模型 的输出存储到一数组中； 接着， 在数组中， 遍历数组元素并循 环执行如下判断操作： 若数组元素对应的结果为良性， 则将良性权重更新为数组元素对应 的分支异常检测模型权重加上上一循环中良性权重， 若数组元素对应的结果为恶意， 则将 恶意权重更新为数组元素对应的权重加上上一循环中恶意权重； 比较良性权重和恶意权 重， 若良性权 重大于恶意权 重， 则将网络流判定为良性， 否则， 判定为恶意。 8.一种基于异构特 征簇的深度学习网络异常检测方法， 其特 征在于， 包 含如下内容： 利用权利要求1所述的模型构建方法来构建网络异常检测模型； 利用构建的网络异常检测模型对待检测网络中的会话 流进行异常检测。 9.一种基于异构特征簇的深度 学习网络异常检测系统， 其特征在于， 包含： 模型构建模 块和检测输出模块， 其中，权　利　要　求　书 1/2 页 2 CN 115426133 A 2模型构建模块， 用于利用权利要求1所述的模型构建方法来构建网络异常检测模型； 检测输出模块， 用于利用构建的网络异常检测模型对待检测网络 中的会话流进行异常 检测并输出。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质内存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1～7任一项所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 115426133 A 3