CN110691100A

CN110691100A - 基于深度学习的分层网络攻击识别与未知攻击检测方法

Info

Publication number: CN110691100A
Application number: CN201911031327.4A
Authority: CN
Inventors: 姜晓枫; 陈翔; 杨坚; 谭小彬; 张勇东
Original assignee: University of Science and Technology of China USTC
Current assignee: University of Science and Technology of China USTC
Priority date: 2019-10-28
Filing date: 2019-10-28
Publication date: 2020-01-14
Anticipated expiration: 2039-10-28
Also published as: CN110691100B

Abstract

本发明公开了一种基于深度学习的分层网络攻击识别与未知攻击检测方法，包括：采用自编码器对正常流量与异常流量的行为模式进行学习，从而利用学习后的自编码器判别待测流量为正常流量或者异常流量；利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别；融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测。该方法既能识别正常流量并且对已知的异常流量进行分类，又能检测新型未知的网络攻击，结合生成模型和判别模型各自的优势提高检测准确率。

Description

基于深度学习的分层网络攻击识别与未知攻击检测方法

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于深度学习的分层网络攻击识别与未知攻击检测方法。

背景技术

随着网络技术的高速发展，互联网已经覆盖了社会生活的各个方面，对社会生活产生了深远的影响。网络的广泛应用虽然推动了社会经济的快速发展，但同时也成为黑客和不法分子传播恶意软件、实施网络攻击的重要媒介。近年来，针对网络协议和应用程序漏洞的新型网络攻击方法更是层出不穷，网络安全检测成为网络监管、运维中的重要任务之一，尤其是未知的零日网络攻击检测问题受到广泛关注。

传统的网络安全检测方法主要分为误用检测和异常检测两类。

误用检测：误用检测技术又称基于知识的检测技术。它假定所有入侵行为和手段都能够表达为一种模式或特征，并对已知的入侵行为和手段进行分析，提取入侵特征，构建攻击模式或攻击签名，通过系统当前状态与攻击模式或攻击签名的匹配判断入侵行为。误用检测是最成熟、应用最广泛的技术。然而，随着加密协议和广泛使用以及新型网络协议、应用的出现，加密网络攻击和利用零日漏洞的新型网路攻击也越来越多。由于零日攻击的攻击特征和攻击签名通常是未知的，因此误用攻击方法无法有效的应对这些网络安全攻击的新挑战。而且误用检测通常需要消耗大量的人力对攻击流量进行分析，人工提取其中的特征，面临着人工成本高，分析难度大，分析周期长等问题。

异常检测，首先要对网络流量的不同特征进行汇总、筛选和分析，利用各个维度的流量特征对正常的流量及其数据进行建模，通过模型对网络的行为数据进行预测或检测。这种方法需要模型先对网络流量行为进行学习训练，不断地调整参数以得到较为适合的模型，再用此模型对网络流量数据进行检测或者是预测。如果是预测，则还需将预测的值与正常范围内的特征值进行对比，即可判断网络是否出现异常。异常检测只需要正常流量作为输入数据，对数据的要求较小，而且从一定程度上可以检测未知的入侵行为，但是这类方法却面临着检测精度低、误报率高，且无法对网络攻击进行分类等问题。

发明内容

本发明的目的是提供一种基于深度学习的分层网络攻击识别与未知攻击检测方法，在实现对已知攻击进行分类的基础上，利用深度学习模型的泛化能力检测不同于正常流量的未知攻击流量。

本发明的目的是通过以下技术方案实现的：

一种基于深度学习的分层网络攻击识别与未知攻击检测方法，包括：

采用自编码器对正常流量与异常流量的行为模式进行学习，从而利用学习后的自编码器判别待测流量为正常流量或者异常流量；

利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别；

融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测。

由上述本发明提供的技术方案可以看出，解决了传统基于规则的方法无法识别新型未知网络攻击的问题。利用生成模型实现对流量的二分类，检测未知的异常流量；利用判别模型实现已知攻击的细分类，提高已知攻击检测准确率；通过结果融合使得本发明既能识别正常流量并且对已知的异常流量进行分类，又能检测新型未知的网络攻击，结合生成模型和判别模型各自的优势提高检测准确率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种基于深度学习的分层网络攻击识别与未知攻击检测方法的整体框架示意图；

图2为本发明实施例提供的自编码器及其学习过程示意图；

图3为本发明实施例提供的判别模型进行攻击分类与未知类别检测示意图；

图4为本发明实施例提供的安全检测举例示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

现有的基于规则的网络安全检测方法面临着未知攻击威胁、人工成本高、专业性要求高、分析周期长等问题；同时，基于异常的安全检测方法又面临着检测精度低、无法对攻击进行分类等问题。因此，本发明提出了一种基于深度学习的网络攻击分类与未知攻击检测方法。首先基于生成模型分别对正常流量和异常流量的行为模式进行学习，将待测流量分别与正常行为和异常行为做比较从而区分正常流量和异常流量。同时，利用判别模型将待测流量按攻击类型进行细分，并利用开放集合识别理论判断待测流量是否属于未知类型。最后通过融合生成模型和判别模型的检测结果，既能实现对未知攻击的检测，又能保证对已知攻击的检测准确度。

未知攻击检测是一个相对开放集合识别问题。若将流量分为正常流量和异常流量，由于识别结果被训练集全部涵盖，因此这是一个封闭集合识别问题；若将流量按照攻击类型进行分类，由于许多未知的攻击类型没有包含在训练集中，因此这是一个开放集合识别问题。针对这一混合场景，本发明提出一种分层的网络攻击识别与未知攻击检测方法，首先在封闭集合条件下，将网络流量分类为正常流量和异常流量；然后在开放集合条件下对网络流量按照攻击类别分类同时检测未知类别，最后将融合检测结果提高检测准确率。如图1所示，该方法主要由三部分组成，包括：异常流量检测、攻击类型检测与未知类识别以及结果融合。

第一部分利用无监督训练加微调的方式训练自编码器，分别对正常和异常网络流量行为模式进行学习，通过训练，自编码器可以对某一类流量(正常或异常)的行为特征进行重构，使得自编码器的输出趋近于输入。如果待测流量不属于某一类别，那么该待测流量的行为特征与对应的自编码器学习到的行为模式相差较远，则自编码器对该待测流量将产生较大的重构误差。反之，重构误差较小。通过待测流量在自编码器中的重构误差判断该样本属于正常流量还是异常流量。

第二部分利用深度神经网络实现对流量按攻击类型进行分类，利用已知攻击类型的异常流量有监督的训练神经网络，使得神经网络对已知攻击具有较高的识别准确率。同时，为了实现对未知类别的检测，引入度量学习方法，使得神经网络对每一类攻击流量学习到的特征在空间上尽量紧凑，通过待测流量在该特征空间上的距离判断属于某一类攻击或者未知类型。由于该部分训练的神经网络只用到了异常流量，因此未知类别包含正常流量或者未知攻击流量。

第三部分对前两部分的检测结果进行融合，用第一部分基于自编码器的检测结果提高未知攻击检测的能力，用第二部分基于有监督的分类方法提高已知攻击的检测准确率。

为了便于理解，下面针对本发明做详细介绍。

本发明实施例中，将原始数据包按照源IP、目的IP、源端口、目的端口和协议五元组聚合成数据流，用数据流的行为特征表示网络流量。用于训练的网络流量表示为{(x₁,y₁),(x₂,y₂),…,(x_n,y_n)}，其中x_i∈R^d表示第i个样本，其表示相应网络流量的行为特征，y_i∈{0,1,2,…,k}表示第i个样本的标签，y_i＝0表示正常流量，y_i＞0表示异常流量，且攻击类型为y_i，根据取值1,2,…,k，表示具体的攻击类型。为了方便起见，在后面的表述中，我们也会将流量样本及其标签用一个符号表示，即用

表示属于第j类流量的i个样本。测试样本表示为

其中k+1表示未知攻击。本发明利用上述训练数据学习一个分类器，对测试数据

能够正确判断其流量类型

还参见图1，本发明主要分为如下三个步骤：

步骤1、采用自编码器对正常流量与异常流量的行为模式进行学习，从而利用学习后的自编码器判别待测流量为正常流量或者异常流量。

本步骤的原理为：自动编码器的目标是实现样本重构，先通过编码层把高维空间中的向量压缩成低维向量，然后通过解码层把低维向量解压重构出高维向量，通过最小化重构误差学习输入样本的行为模式。若输入样本的重构误差小，则说明输入样本与训练数据属于同一类，反之，说明与训练数据属于不同类。

本步骤主要分为如下几个阶段：

1)利用自编码器学习正常流量的行为模式。

本发明实施例中，利用正常流量的样本预训练一个表达正常流量行为模式的自编码器。如图2所示，自编码器包含编码层与解码层；编码层对输入的正常流量样本的特征向量进行压缩，输出压缩后的特征向量：

h＝f(Wx+b₁)

解码层对压缩后的特征向量进行解压重构出特征向量：

z＝f(Vh+b₂)

通过最小化重构误差使得自编码器能够学习正常流量的行为模式：

L_ae(x,W,V,b₁,b₂)＝||x-z||²。

2)利用已知的异常流量对自编码器进行微调。

本发明实施例中，利用已知的异常流量和正常流量的样本有监督的对预训练的自编码器进行微调，使得自编码器不仅能够较好的学习正常流量本身的行为特征，还能学习正常流量和异常流量的区别，提高识别准确率。

设样本x属于正常流量(y＝0)的概率为ρ，那么属于异常流量(y>0)的概率则为1-ρ。则样本x的类别为y的概率为：

P(y|x)＝ρ^1-y(1-ρ)^y

其中，概率ρ可以用样本对自编码器的损失函数来衡量，正常流量的重构误差应该较小，异常流量的重构误差应该较大，即

有监督微调的损失函数可以取为P(y|x)的负对数：

其中，L_ae(x)是指重构误差，也即损失函数，等同于前文的L_ae(x,W,V,b₁,b₂)，此处为了便于表示省略了网络参数W,V,b₁,b₂。

3)计算待测流量的重构误差，得出异常检测结果。

利用学习后的自编码器计算待测流量

为正常流量的概率

若大于等于设定值δ，则认为待测流量为正常流量，否则，为异常流量：

步骤2、利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别。

深度神经网络是一种判别模型，能够较好的处理多分类任务。然而现有的神经网络通常工作在封闭集合下。即测试样本的类别全部包含在训练集中。为了使用神经网络实现对网络攻击分类，同时识别训练集中未出现过的未知类，本发明采用度量学习的方法使得神经网络能够学习到有区分度的特征表达，利用样本在特征空间上的距离判断是否为未知类。

本步骤的原理为：在传统的神经网络的损失函数的基础上，对学习到的特征表达加入正则化项，使得同一类攻击流量在特征空间上的距离较近。在紧凑的特征空间上，如果输入流量的特征表达离所有已知攻击的特征都较远，则判断该流量属于未知类。

本步骤主要分为如下几个阶段：

1)构建深度神经网络用于攻击类型检测。

如图3所示，神经网络中采用多层感知机作为基分类器G_θ，利用训练集中所有异常流量的样本{(x,y)|y＞0}训练神经网络；其中，θ表示网络参数，x表示异常流量，y为x的标签，即真实类别，y＞0表示异常流量，对应一类攻击。

为了利用神经网络识别已知攻击的攻击类型，利用负交叉熵损失函数训练神经网络：

神经网络的输出节点与攻击类型一一对应，G_θ(x)[j]表示神经网络输出向量的第j个元素，也即样本x属于第j类攻击的概率，j＝1,2,…,k，k为攻击类型的总数。G_θ(x)[y]表示神经网络判断样本x属于其真实类别y的概率。

为了使用神经网络实现未知类检测，在传统的神经网络训练方法的基础上加入度量学习损失函数，使得神经网络学习有区分度的特征表达，即使得同一类攻击的流量在特征空间上的距离较近(即，小于指定距离，具体数值可以根据实际情况设定)；度量学习损失函数表示为：

其中，G_θ(x)表示神经网络对于异常流量的样本x的输出向量，即G_θ(x)＝{G_θ(x)[1],…,G_θ(x)[k]}，μ_y表示第y类攻击的特征中心，通过批训练在线更新：

其中，x_u表示第u个异常流量的样本，G_θ(x_u)表示神经网络对于异常流量的样本x_u的输出向量；y_u表示其对应的真实类别，

为更新后的第y_u类攻击的特征中心，N为每次批训练的样本总数；

最终训练神经网络的损失函数定义为：

L(θ,x,y)＝L_s(θ,x,k)+λL_d(θ,x,y)

其中，λ为系数。

2)学习未知类检测模型。

通过改进后的攻击识别模型，可以学习一个紧凑的特征空间，在特征空间上，未知类别的流量距离已知攻击的流量的距离较远(即，超出指定距离，具体数值可以根据实际情况设定)。

对每一类已知攻击j，计算训练集中第j类攻击的样本x^j在特征空间上的表达G_θ(x^j)；在有监督的训练阶段中，样本的类别是已知的，可以在特征空间上计算该样本x^j到所在类的特征中心μ_j的距离：

D_j(x^j)＝||G_θ(x^j)-μ_j||²

对所有属于第j类的样本计算出来的距离

根据极端值理论将该距离中偏离正常值的分布建模成广义帕德罗分布，并用最大似然估计GDPfit()拟合分布，获得拟合后的广义帕德罗分布：

其中，

表示第j类流量的第r个样本，m为训练集中第j类样本的总数，ρ_j表示拟合的广义帕德罗分布；对每一类攻击做同样的计算，得到每一类攻击在特征空间上异常距离的分布{ρ₁,ρ₂…,ρ_k}。

本领域技术人员可以理解，根据极端值理论，可以将一个随机变量中的异常值建模成广义帕德罗分布，在本发明中，也就是对于距离类中心超出设定值的点，将他们与类中心的距离的分布看成广义帕德罗分布，然后用训练样本拟合广义帕德罗分布参数。

3)攻击类型检测和未知类识别。

对于待测流量

计算神经网络的输出向量

从而得到识别结果：

计算在特征空间上待测流量到第j类攻击的特征中心μ_j的距离，利用第j类攻击在特征空间上距离的广义帕德罗分布ρ_j，判断该待测流量

属于被误分为第j类攻击的未知攻击的概率：

若对j第类攻击来说，该待测流量

属于异常点的概率

越大，则说明属于第j类攻击的可能性越小，利用概率值更新神经网络的输出，并利用softmax函数转化成概率分布：

若更新后，待测流量

仍然属于第j类的概率小于预设的阈值∈，则将其识别为未知类别，否则，将其识别为第j类攻击，

其中，y^*＝k+1表示待测流量

属于未知类别，y^*＝j，0＜j＜k+1表示待测流量

属于某个具体攻击类型。

由于攻击类型检测模型的训练集中只包含攻击流量，因此，基于该模型识别出的未知类包含正常流量和未知攻击。

步骤3、融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测。

如图1所示，待测流量分别经过自编码器(异常流量检测模块)和判别模型(攻击类型识别模块处理)，最后将两个模块的识别结果进行融合。利用异常流量检测模块提高攻击类型检测模块检测未知攻击的能力。利用攻击类型检测模块提高异常流量检测模块识别已知攻击精度，并实现对攻击的分类，主要包括如下几种情况：

1)若学习后的自编码器的判别结果为正常流量，判别模型的判别结果为第j类攻击，则融合后的识别结果是待测流量属于第j类攻击；原理：对同一条待测流量给出了矛盾的检测结果，由于判别模型对已知攻击的识别准确率比自编码器高，此时以判别模型的结果为主可以提高检测准确率。

2)若学习后的自编码器的判别结果为异常流量，判别模型的判别结果为第j类攻击，则融合后的识别结果是待测流量属于第j类攻击；原理：对同一条待测流量的检测结果相符，此时检测结果即为对应的攻击类型。

3)若学习后的自编码器的判别结果为正常流量，判别模型的判别结果为未知类别，则融合后的识别结果是待测流量为正常流量；原理：如果判别模型的判别结果为未知类，那么该待测流量是正常流量或者未知攻击。此时，若自编码器的判别结果为正常流量，那么可以判断该待测流量为正常流量。

4)若学习后的自编码器的判别结果为异常流量，判别模型的判别结果为未知类别，则融合后的识别结果是待测流量属于未知类别。原理：如果判别模型的判别结果为未知类，那么该待测流量是正常流量或者未知攻击。此时，若自编码器的判别结果为异常，则判断该待测流量为未知攻击。

上述融合策略如表1所示。

表1融合策略

为了说明本发明上述方案的效果，还进行了相关实验。

如图4所示，在训练阶段，首先利用交换机流量镜像技术旁路出网络流量，利用商业或者开源入侵检测工具对流量进行标注，同时利用CICFlowMeter工具将流量按五元组(源ip，目的ip，源端口，目的端口，协议号)提取流量的行为统计特征。本实验中，利用83种不同的特征来描述一条网络流量，包括前向和反向的持续时间，数据包个数、总的字节数、数据包长度等。将入侵检测工具和CICFlowMeter的结果进行匹配，得到流量行为统计特征加标签的训练数据集。利用训练集中的正常流量和异常流量训练异常流量检测模型(自编码器)，利用训练集中的异常流量训练攻击类型检测模型(判别模型)。

在测试阶段，首先利用交换机流量镜像技术旁路出网络流量，这时流量中包含正常流量，训练阶段出现过的已知攻击流量，同时可能包含训练阶段未出现过的未知攻击流量。利用CICFlowMeter工具提取网络流量的行为统计特征，分别输入训练好的异常流量检测模型和攻击类型检测模型，最后通过结果融合判断该流量属于正常流量或者某一类具体的已知攻击类型或者未知攻击。

本发明在CICIDS2017数据集上进行了验证，CICIDS2017包含正常流量和14中最新的常见攻击流量。选择其中的六种攻击类型作为未知攻击，这六种攻击样本只出现于测试集中；剩余的正常流量和八种攻击流量按照80％-20％的比例生成训练集和测试集。利用该数据集分别训练异常检测模型和攻击分类模型，然后在测试集上分别测试了两个模型的识别准确率。最后利用结果融合模块计算最终的识别效果。如表2所示，异常流量检测可以区分正常流量和异常流量，但是无法对攻击进行分类，而且识别准确率不是很高。攻击分类在保证准确率的情况下无法同时实现识别正常流量和未知攻击，为了识别未知攻击，只对流量按攻击类型进行分类，同时检测未知类型，由结果可知，对已知攻击进行分类的准确率很高，对未知类检测的准确率较低。对两个模型的结果进行融合后，在保证准确率的情况下，既能识别正常流量和异常流量，并对异常流量进行分类，同时还能实现未知攻击检测。

表2验证结果

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，包括：

2.根据权利要求1所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，采用自编码器对正常流量与异常流量的行为模式进行学习的方式包括：

利用正常流量的样本预训练一个表达正常流量行为模式的自编码器，自编码器包含编码层与解码层；编码层对输入的正常流量样本的特征向量进行压缩，输出压缩后的特征向量；解码层对压缩后的特征向量进行解压重构出特征向量；通过最小化重构误差使得自编码器能够学习正常流量的行为模式；

利用已知的异常流量和正常流量的样本有监督的对预训练的自编码器进行微调，使得自编码器还能够学习正常流量和异常流量的区别。

3.根据权利要求1或2所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，利用学习后的自编码器判别待测流量为正常流量或者异常流量包括：

利用学习后的自编码器计算待测流量为正常流量的概率若大于等于设定值δ，则认为待测流量为正常流量，否则，为异常流量：

上式中，

为待测流量

的标签，

则表示待测流量

为正常流量，

则表示待测流量

为异常流量。

4.根据权利要求1所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别包括：

在传统的神经网络训练方法的基础上加入度量学习损失函数，使得神经网络学习有区分度的特征表达，即使得同一类攻击的流量在特征空间上的距离小于指定距离；然后，通过学习一个特征空间，在特征空间上，未知类别的流量距离已知攻击的流量的距离超出指定距离，以此为依据判别待测流量的攻击类型。

5.根据权利要求4所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，在传统的神经网络训练方法的基础上加入度量学习损失函数，使得神经网络学习有区分度的特征表达包括：

神经网络中采用多层感知机作为基分类器G_θ，利用训练集中所有异常流量的样本{(x，y)|y＞0}训练神经网络；其中，θ表示网络参数，x表示异常流量，y为x的标签，即真实类别，y＞0表示异常流量，对应一类攻击；

利用负交叉熵损失函数训练神经网络：

神经网络的输出节点与攻击类型一一对应，G_θ(x)[j]表示神经网络输出向量的第j个元素，也即样本x属于第j类攻击的概率，j＝1，2，...，k，k为攻击类型的总数；G_θ(x)[y]表示神经网络判断样本x属于真实类别y的概率；

在传统的神经网络训练方法的基础上加入度量学习损失函数：

其中，G_θ(x)＝{G_θ(x)[1]，...，G_θ(x)[k]}，μ_y表示第y类攻击的特征中心，通过批训练在线更新：

其中，x_u表示第u个异常流量的样本，y_u表示其对应的真实类别，

最终训练神经网络的损失函数定义为：

L(θ，x，y)＝L_s(θ，x，k)+λL_d(θ，x，y)

其中，λ为系数。

6.根据权利要求5所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，

对每一类已知攻击j，计算训练集中第j类攻击的样本x^j在特征空间上的表达G_θ(x^j)；在特征空间上计算样本x^j到所在类的特征中心μ_j的距离：

D_j(x^j)＝||G_θ(x^j)-μ_j||²

对所有属于第j类的样本计算出来的距离

根据极端值理论将该距离中偏离正常值的分布建模成广义帕德罗分布，并用最大似然估计GDPfit()拟合，获得拟合后的广义帕德罗分布：

其中，ρ_j表示拟合的广义帕德罗分布；m为训练集中第j类样本的总数，

表示第j类流量的第r个样本；

对每一类攻击做同样的计算，得到每一类攻击在特征空间上异常距离的分布{ρ₁，ρ₂...，ρ_k}。

7.根据权利要求6所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，对待测流量进行攻击类型检测和未知类识别的方式包括：

对于待测流量

计算神经网络的输出向量

从而得到识别结果：

计算在特征空间上待测流量

到第j类攻击的特征中心μ_j的距离，利用第j类攻击在特征空间上距离的广义帕德罗分布ρ_j，判断该待测流量

属于被误分为第j类的未知攻击的概率：

若对j第类攻击来说，概率越大，则说明属于第j类攻击的可能性越小，利用概率值更新神经网络的输出，并利用softmax函数转化成概率分布：

若更新后，待测流量

其中，y^*＝k+1表示待测流量

属于未知类别，y^*＝j，0＜j＜k+1表示待测流量

属于某个具体攻击类型。

8.根据权利要求1所述的一种基于深度学习的分层网络攻击识别与未知攻击检测方法，其特征在于，融合自编码器与判别模型的结果的方式包括：

若学习后的自编码器的判别结果为正常流量，判别模型的判别结果为第j类攻击，则融合后的识别结果是待测流量属于第j类攻击；

若学习后的自编码器的判别结果为异常流量，判别模型的判别结果为第j类攻击，则融合后的识别结果是待测流量属于第j类攻击；

若学习后的自编码器的判别结果为正常流量，判别模型的判别结果为未知类别，则融合后的识别结果是待测流量为正常流量；

若学习后的自编码器的判别结果为异常流量，判别模型的判别结果为未知类别，则融合后的识别结果是待测流量属于未知类别。