(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111340727A(43)申请公布日2020.06.26(21)申请号202010119768.6(22)申请日2020.02.26(71)申请人电子科技大学地址611731四川省成都市高新区（西区）西源大道2006号(72)发明人王彩洪孙健赵书武胡健龙(74)专利代理机构成都正华专利代理事务所(普通合伙)51229代理人李蕊(51)Int.Cl.G06T5/00(2006.01)G06T7/90(2017.01)G06F16/182(2019.01)G06N3/04(2006.01)权利要求书2页说明书5页附图3页(54)发明名称一种基于GBR图像的异常流量检测方法(57)摘要本发明公开了一种基于GBR图像的异常流量检测方法，包括以下步骤：S1：将流量数据转换为可视化的GBR图像；S2：将GBR图像数据存储在分布式文件系统中；S3：基于分布式文件系统，利用ApacheSpark框架对GBR图像数据的各个数据块分别训练子卷积神经网络模型，完成异常流量的检测。本发明的异常流量检测方法将原始网络流量转换成灰度图像，保留流量信息，再选取两个特征向量组成GBR图像，降低了检测误报率。使用分布式文件系统和子卷积神经网络模型，避免了检测方法计算庞大和收敛慢的问题，具有检测未知攻击的能力，检测精准率高。CN111340727ACN111340727A权利要求书1/2页1.一种基于GBR图像的异常流量检测方法，其特征在于，包括以下步骤：S1：将流量数据转换为可视化的GBR图像；S2：将GBR图像数据存储在分布式文件系统中；S3：基于分布式文件系统，利用ApacheSpark框架对GBR图像数据的各个数据块分别训练子卷积神经网络模型，完成异常流量的检测。2.根据权利要求1所述的基于GBR图像的异常流量检测方法，其特征在于，所述步骤S1包括以下子步骤：S11：将流量数据中的原始流量转换为灰度图，并将灰度图作为GBR图像的G通道；S12：基于GBR图像的G通道，采用weka特征提取法提取流量数据中的两个特征；S13：采用OneHot编码分别对两个特征进行编码，得到编码后的两个特征向量；S14：对编码后的两个特征向量分别进行归一化处理，其归一化公式为：其中，为第i个特征向量归一化后的值，xi为第i个特征向量归一化前的值，max(X(i))为第i个特征向量的最大值，min(X(i))为第i个特征向量的最小值，i＝1，2；S15：对归一化后的两个特征向量分别进行标准化处理；S16：将标准化处理后的两个特征向量分别作为GBR图像的B通道和R通道；S17：根据GBR图像的G通道、B通道和R通道确定GBR图像，完成GBR图像的可视化处理。3.根据权利要求2所述的基于GBR图像的异常流量检测方法，其特征在于，所述步骤S15中的标准化处理为：将归一化后的两个特征向量值分别乘以255，将其流量值限定在[0，255]之间。4.根据权利要求1所述的基于GBR图像的异常流量检测方法，其特征在于，所述步骤S3包括以下子步骤：S31：将各个GBR图像的数据输入至子卷积神经网络模型的输入层，并依次进行去均值、归一化和白化处理；S32：将白处理后的各个GBR图像数据通过卷积核映射到子卷积神经网络模型的卷积层；S33：通过子卷积神经网络模型的卷积层对各个GBR图像的数据进行输出处理，其输出处理公式为：其中，l为网络层的数量，为卷积核，为偏差，为l层的输出，为l层的输入，Mj为各个GBR图像的输入集，f(·)为激活函数；S34：利用子卷积神经网络模型的激励层对卷积层的输出结果作非线性映射；S35：利用子卷积神经网络模型的池化层对激励层的非线性映射结果进行均值子采样和最大值子采样，并输出到子卷积神经网络模型的全连接层；S36：利用全连接层将各个GBR图像的输出馈送到softmax函数；S37：通过softmax函数产生各个GBR图像6类标签的概率分布，并输出到子卷积神经网2CN111340727A权利要求书2/2页络模型的输出层，得到子卷积神经网络模型的训练结果，完成异常流量的检测。5.根据权利要求4所述的基于GBR图像的异常流量检测方法，其特征在于，所述步骤S35中，均值子采样的计算公式为：最大值子采样的计算公式为：其中，为均值子采样的输出，为最大值子采样的输出，l为网络层的数量，和是偏差，Mj为特征图像的输入集，f(·)为激活函数，k和t是汇集矩阵的维数。6.根据权利要求4所述的基于GBR图像的异常流量检测方法，其特征在于，所述步骤S36中，将各个GBR图像的输出图像逐一拓展为列向量，并堆叠形成单列特征向量馈送到softmax函数。7.根据权利要求4所述的基于GBR图像的异常流量检测方法，其特征在于，所