CN109194612A - 一种基于深度置信网络和svm的网络攻击检测方法 - Google Patents

Abstract

本发明公开了一种基于深度置信网络和SVM的网络攻击检测方法，其中，包括：步骤1：构造网络攻击行为特征向量；步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。

Description

一种基于深度置信网络和SVM的网络攻击检测方法

技术领域

本发明属于网络安全技术领域，提出了一种基于深度置信网络和SVM的网络攻击检测方法。

背景技术

当前，网络在人们生活当中发挥了越来越重要的作用，各国对于网络安全也愈发重视，网络空间逐渐成为了全球各大国间竞争的新疆域。网络空间中的攻击行为具有发生速度快，范围广，突发性强等特征，并且在行动过程中伴随着大量的事件与数据，这也对网络攻击行为的发现带来了全新的挑战。

网络攻击行为检测需要采集大量的数据，使得特征向量维度过高，使用分类模型进行训练时，准确率下降，导致网络攻击行为检测失败。而使用人工手段提取网络攻击行为特征的方法局限性大、泛化能力差，不具有通用性，通常只能在模式相近的数据集下取得良好的结果。因此采用深度学习的方法提取特征数据，并用分类模型，对网络空间中的攻击行为进行动态检测与发现，弥补传统方法局限性大、泛化能力弱和通用性差等短板。利用深度学习方法进行提取过后的特征，往往具有更好的分类效果，利于提高模型识别的准确率。

深度置信网络(DBN,Deep Belief Nets)作为深度神经网络中无监督学习的代表，能在缺少大量无标签训练集的情况下，取得较好的学习效果。支持向量机(SVM)作为常用的分类算法模型，在解决非线性、高维模式识别中也表现出许多良好的特性。因此本发明主要利用这两个算法，构造网络攻击行为检测模型。

(一)深度置信网络包括：

深度置信网络由多个受限玻尔兹曼机(Restricted Boltzmann Machine,RBM)堆叠组成，深度置信网络中的每一个隐含层就是一个受限玻尔兹曼机，随着RBM层的增加，深度置信网络结构逐层加深。因此，使用RBM训练算法来进行深度置信网络的权值预训练过程。深度置信网络最终的输出层加入了一个反馈神经网络，输出层利用训练数据与标签数据进行对比，利用误差反向传播算法(BP，Back-Propagation)进行网络微调。

在DBN网络进行无监督权值预训练过程中，要解决的一个问题是，当输入数据从显层神经元通过计算得到隐层神经元状态时，如何利用隐含层神经元状态，将信息重构成输入数据，同时保证原始输入数据与重构的输入数据之间的误差尽可能小。在wake-sleep算法当中，模型可以通过学习到认知权值，由显层神经元输入数据得到隐层神经元的状态。然后通过学习生成权值，实现将隐层神经元重构显层输入的过程。同时，不断调整认知权值与生成权值，减少重构数据时所产生的误差。

(二)支持向量机包括：

支持向量机(Support Vectors Machine,SVM)是一种监督学习模型，主要用于分析数据、识别模式，对数据的分类分析和回归分析。标准的支持向量机是非概率的线性分类器，也就是说，对于每一个特定的输入，它能够预测输入为已知两类的某一个类别。由于SVM是一个分类器，因此给定一组训练集，每一个训练样本就会被标记为属于两个类别的之一，支持向量机算法适合解决非黑即白的问题，所以通常被用于解决二分类的问题。

发明内容

本发明的目的在于提供一种基于深度置信网络和SVM的网络攻击检测方法，用于解决上述现有技术的问题。

本发明一种基于深度置信网络和SVM的网络攻击检测方法，其中，包括：步骤1：构造网络攻击行为特征向量；步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤1包括：网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据，将从传感器采集到的特征数据构成一个一维向量，得到网络攻击行为特征向量，针对第i个网络攻击行为，在时间t内采集到的特征向量，记为V_i(t)：V_i(t)＝{a₁,a₂,a₃,…,a_n}；其中，a_n为t时刻第i个网络攻击行为第n个属性的值。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤1中，如果是针对windows操作***进行攻击，采集的特征数据包括***文件删除、***文件重命名、***文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤2具体包括：步骤2.1:将采集到的特征向量V_i(t)分成带标签的和不带标签的两部分{S₁，S₂}，所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S₂为：V_i(t)∈{P₁,P₂,P₃,…,P_n}；其中，P_n代表第i个网络攻击事件属于第n种网络攻击；其余的数据为不带标签的数据S₁；步骤2.2：制作训练集Training Set＝{S₁+S₂₁}，其中S₁为不带标签的训练数据，S₂₁为带标签的数据，为从S₂中选取a％带标签的数据应用于BP反馈算法的权值微调过程，因此S₂₁＝a％*S₂；步骤2.3：构造测试集Test Set＝{S₂₂}，测试集用于模型识别准确率的测试，测试集全部为带标签的数据,S₂其余的数据作为S₂₂；步骤2.4：对训练集与测试集的数据做归一化处理，使：S₁,S₂∈(0,1)。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，a％为30％。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤3包括：

步骤3.1：构造深度置信网络模型结构：

使用3个隐含层构成的网络模型，依次训练每一个RBM层，包括RBM₁、RBM₂以及RBM₃；其中v为输出层神经元，h_n为第n个隐含层，W为权值；

步骤3.2：使用训练集Training Set，训练第一个RBM层，计算每一个神经元的状态，每一个神经元有激活或者抑制两种状态：

其中，Pstate为神经元状态，α为神经元是否激活的概率阈值。在深度置信网络中，阈值α从(0,1)的均匀分布中随机产生，计算隐层神经元激活概率：

计算显层神经元激活概率：

其中W_ij为神经元i和神经元j的连接权值，b_j为显层神经元j偏置，c_i为隐含层神经元i偏置；

根据显层神经元与隐层神经元的激活概率，更新权值、显层神经元偏置与隐层神经元偏置：

c_i＝c_i+p(h_i＝1|v⁰)-p(h_i＝1|v^k)；

其中，v_j ^k为第j个神经元在第k次迭代时的值，计算这一次RBM层训练的误差：

当Δv小于一定阈值时，则认为此时RBM层训练收敛，否则再一次进行步骤3.2，继续训练本次RBM层；

步骤3.3：将RBM₁层的输出数据作为下个RBM层的输入数据，再按照步骤3.2训练，直至完成所有RBM层的训练；

步骤3.4：使用训练集Training Set中的S₂₁数据，进行权值微调，权值的调整包括两个部分，对输出层权值进行调整以及对隐含层权值进行调整，输出层的权值直接影响深度置信网络的输出结果，第一步调整输出层权值：

w_ji＝w_ji-ηx_jiy_i(1-y_i)(y_i-d_i)；

其中w_ji为输出层权值，x_ji为输出层神经元的输入值，y_i为输出层神经元的输出结果，d_i为期望输出结果，η为学习速率；

调整隐含层神经元的权值包括：

其中W_kj为隐含层权值，y’_j为隐含层神经元的输出结果，x_kj为隐含层神经元的输入。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，RBM层的数量为三层。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤4包括：步骤4.1：将经过降维与特征提取的网络攻击特征向量作为输入参数，传入第一个SVM分类器；步骤4.2：选择不同的SVM分类器，区分不同的网络攻击行为。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤5包括：

步骤5.1：计算网络攻击检测模型的识别准确率C：

其中N_normal表示检测出的正常行为数量，n_i表示检测出的某种网络攻击的数量，m表示入侵攻击的种类数量，n表示测试集的总数；

步骤5.2：使用网络攻击检测模型进行网络攻击行为发现，将分类正确的数据进行标定并放入训练集。

根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，SVM分类器具体包括：区分正常行为和网络攻击行为的SVM分类器以及多个识别不同攻击类型的SVM分类器。

综上，本发明针对网络攻击检测时特征向量维度过高，导致识别准确率下降的问题，提出了一种基于深度置信网络和SVM的网络攻击分析方法。使用深度置信网络，对原始的高维网络攻击行为特征数据进行降维处理，并且通过学习，提取出表达能力更强、更具有通用性、分类效果更好的网络攻击行为特征向量，并且使用SVM对其进行分类识别。

附图说明

图1所示为基于深度置信网络和SVM的网络攻击检测方法的流程图；

图2所示为深度置信网络模型结构示意图；

图3所示为SVM分类器的处理的示意图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1所示为基于深度置信网络和SVM的网络攻击检测方法的流程图，如图1所示，本发明基于深度置信网络和SVM的网络攻击检测方法的步骤如下：

步骤1：构造网络攻击行为特征向量；

步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；

步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛；

步骤4：经过深度置信网络的降维与特征提取，将学习到网络攻击行为特征向量作为输入参数，选择合适的SVM核函数训练，对网络攻击行为进行分类；

步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率。并将成功识别出的网络攻击行为作为训练数据，不断优化模型，提高准确率。

如图1所示，基于深度置信网络和SVM的网络攻击检测方法具体包括：

步骤1：构造网络攻击行为特征向量，包括：

网络攻击行为特征属性是一组用来描述当前网络攻击的定量分析数据，将从传感器采集到的特征数据构成一个一维向量，得到网络攻击行为特征向量，例如针对windows操作***进行攻击，可以采集的特征数据包括***文件删除、***文件重命名、***文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量、包的长度等数据作为属性。

针对第i个网络攻击行为，在时间t内采集到的特征向量，记为V_i(t)：

V_i(t)＝{a₁,a₂,a₃,…,a_n}；

其中，a_n为t时刻第i个网络攻击行为第n个属性的值。

步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为人工分类，包括：

步骤2.1:将采集到的特征向量V_i(t)分成带标签的和不带标签的两部分{S₁，S₂}，所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S₂即为：

V_i(t)∈{P₁,P₂,P₃,…,P_n}；

其中，P_n代表第i个网络攻击事件属于第n种网络攻击；其余的数据即为不带标签的数据S₁。

步骤2.2：制作训练集Training Set＝{S₁+S₂₁}，其中S₁作为不带标签的训练数据，可以应用到深度置信网络的权值预训练过程中，S₂₁为带标签的数据，为从S₂中选取30％带标签的数据应用于BP反馈算法的权值微调过程，因此S₂₁＝0.3*S₂。

步骤2.3：构造测试集Test Set＝{S₂₂}，测试集用于模型识别准确率的测试，由于需要计算准确率、误报率与漏报率，因此测试集需全部为带标签的数据,S₂其余的数据作为S₂₂。

步骤2.4：对训练集与测试集的数据做归一化处理，使：

S₁,S₂∈(0,1)。

步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量out，包括：

图2所示为深度置信网络模型结构示意图，如图2所示，步骤3.1：构造深度置信网络模型结构：

例如使用3个隐含层构成的网络模型，依次训练每一个RBM层(RBM₁、RBM₂、RBM₃)。其中v为输出层神经元，h_n为第n个隐含层，W为权值。

步骤3.2：使用训练集Training Set，训练RBM₁。计算每一个神经元的状态，每一个神经元有激活或者抑制两种状态：

其中，Pstate为神经元状态，α为神经元是否激活的概率阈值。在深度置信网络中，阈值α从(0,1)的均匀分布中随机产生。计算隐层神经元激活概率：

计算显层神经元激活概率：

其中W_ij为神经元i和神经元j的连接权值，b_j为显层神经元j偏置，c_i为隐含层神经元i偏置。

根据显层神经元与隐层神经元的激活概率，更新权值、显层神经元偏置与隐层神经元偏置：

c_i＝c_i+p(h_i＝1|v⁰)-p(h_i＝1|v^k)；

其中，v_j ^k为第j个神经元在第k次迭代时的值。最终，计算这一次RBM层训练的误差：

当Δv小于一定阈值时，则认为此时RBM层训练收敛，否则再一次进行步骤3.2，继续训练RBM₁。

步骤3.3：将RBM₁层的输出数据作为第二个RBM层的输入数据，按照步骤3.2，训练RBM₂层，待其误差值满足要求，再按照步骤3.2训练RBM₃层，完成所有RBM层的训练。

步骤3.4：使用训练集Training Set中的S₂₁数据，进行权值微调。权值的调整包括两个部分，对输出层权值进行调整以及对隐含层权值进行调整。输出层的权值直接影响深度置信网络的输出结果，第一步调整输出层权值：

w_ji＝w_ji-ηx_jiy_i(1-y_i)(y_i-d_i)；

其中w_ji为输出层权值，x_ji为输出层神经元的输入值，y_i为输出层神经元的输出结果，d_i为期望输出结果，η为学习速率；

隐含层的神经元之间的权值会间接影响整个深度置信网络的输出，因此它的权值调整将和上一层神经元的调整有关，需要计算上一层神经元调整的残差，将其累积到本层上，所以第二步调整隐含层神经元的权值：

其中W_kj为隐含层权值，y’_j为隐含层神经元的输出结果，x_kj为隐含层神经元的输入。

步骤4：将步骤3中提取的特征向量out作为输入参数，选择合适的SVM核函数进行训练，对网络攻击行为进行分类.构建网络攻击检测模型，包括：

图3所示为SVM分类器的处理的示意图，如图3所示，步骤4.1：将经过降维与特征提取的网络攻击特征向量作为输入参数，传入第一个SVM分类器。

第一个SVM分类器主要区分正常行为和网络攻击行为，将确认过的正常行为重新标记，可以作为重复训练的训练集数据，提高模型的准确率。

步骤4.2：通过第一个SVM分类器区分的攻击行为中，选择不同的核函数，区分不同的网络攻击行为。例如，SVM₂识别攻击类型P₁，SVM₃识别攻击类型P₂，以此类推,直至最后一个分类器SVM_n是被攻击类型P_n并完成攻击类型的识别。当使用最后一个分类器SVM_n还未能识别的攻击类型则确定为未知攻击类型，需要人工进行判定，是否为不在攻击类型集合中的新型网络攻击。

步骤5：确定网络攻击检测模型，使用测试集测试网络攻击检测模型的准确率，计算准确率。并将成功识别出的网络攻击行为作为训练数据，不断优化模型，提高准确率。

步骤5.1：评价网络攻击行为分类的标准，准确率是一个十分重要的指标，因此，先计算网络攻击检测模型的识别准确率C：

其中N_normal表示检测出的正常行为数量，n_i表示检测出的某种网络攻击的数量，m表示入侵攻击的种类数量，n表示测试集的总数。

步骤5.2：使用网络攻击检测模型进行网络攻击行为发现，将分类正确的数据进行标定并放入训练集，提高模型识别准确率。

综上，本发明针对网络攻击检测时特征向量维度过高，导致识别准确率下降的问题，提出了一种基于深度置信网络和SVM的网络攻击分析方法。使用深度置信网络，对原始的高维网络攻击行为特征数据进行降维处理，并且通过学习，提取出表达能力更强、更具有通用性、分类效果更好的网络攻击行为特征向量，并且使用SVM对其进行分类识别。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种基于深度置信网络和SVM的网络攻击检测方法，其特征在于，包括：

步骤1：构造网络攻击行为特征向量；

步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；

步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；

步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；

步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。

2.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤1包括：

网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据，将从传感器采集到的特征数据构成一个一维向量，得到网络攻击行为特征向量，

针对第i个网络攻击行为，在时间t内采集到的特征向量，记为V_i(t)：

V_i(t)＝{a₁,a₂,a₃,…,a_n}；

其中，a_n为t时刻第i个网络攻击行为第n个属性的值。

3.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤1中，如果是针对windows操作***进行攻击，采集的特征数据包括***文件删除、***文件重命名、***文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。

4.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤2具体包括：

步骤2.1:将采集到的特征向量V_i(t)分成带标签的和不带标签的两部分{S₁，S₂}，所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S₂为：

V_i(t)∈{P₁,P₂,P₃,…,P_n}；

其中，P_n代表第i个网络攻击事件属于第n种网络攻击；其余的数据为不带标签的数据S₁；

步骤2.2：制作训练集Training Set＝{S₁+S₂₁}，其中S₁为不带标签的训练数据，S₂₁为带标签的数据，为从S₂中选取a％带标签的数据应用于BP反馈算法的权值微调过程，因此S₂₁＝a％*S₂；

步骤2.3：构造测试集Test Set＝{S₂₂}，测试集用于模型识别准确率的测试，测试集全部为带标签的数据,S₂其余的数据作为S₂₂；

步骤2.4：对训练集与测试集的数据做归一化处理，使：

S₁,S₂∈(0,1)。

5.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，a％为30％。

6.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤3包括：

步骤3.1：构造深度置信网络模型结构：

使用3个隐含层构成的网络模型，依次训练每一个RBM层，包括RBM₁、RBM₂以及RBM₃；其中v为输出层神经元，h_n为第n个隐含层，W为权值；

步骤3.2：使用训练集Training Set，训练第一个RBM层，计算每一个神经元的状态，每一个神经元有激活或者抑制两种状态：

其中，Pstate为神经元状态，α为神经元是否激活的概率阈值。在深度置信网络中，阈值α从(0,1)的均匀分布中随机产生，计算隐层神经元激活概率：

计算显层神经元激活概率：

其中W_ij为神经元i和神经元j的连接权值，b_j为显层神经元j偏置，c_i为隐含层神经元i偏置；

根据显层神经元与隐层神经元的激活概率，更新权值、显层神经元偏置与隐层神经元偏置：

c_i＝c_i+p(h_i＝1|v⁰)-p(h_i＝1|v^k)；

其中，v_j ^k为第j个神经元在第k次迭代时的值，计算这一次RBM层训练的误差：

当Δv小于一定阈值时，则认为此时RBM层训练收敛，否则再一次进行步骤3.2，继续训练本次RBM层；

步骤3.3：将RBM₁层的输出数据作为下个RBM层的输入数据，再按照步骤3.2训练，直至完成所有RBM层的训练；

步骤3.4：使用训练集Training Set中的S₂₁数据，进行权值微调，权值的调整包括两个部分，对输出层权值进行调整以及对隐含层权值进行调整，输出层的权值直接影响深度置信网络的输出结果，第一步调整输出层权值：

w_ji＝w_ji-ηx_jiy_i(1-y_i)(y_i-d_i)；

其中w_ji为输出层权值，x_ji为输出层神经元的输入值，y_i为输出层神经元的输出结果，d_i为期望输出结果，η为学习速率；

调整隐含层神经元的权值包括：

其中W_kj为隐含层权值，y’_j为隐含层神经元的输出结果，x_kj为隐含层神经元的输入。

7.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，RBM层的数量为三层。

8.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤4包括：

步骤4.1：将经过降维与特征提取的网络攻击特征向量作为输入参数，传入第一个SVM分类器；

步骤4.2：选择不同的SVM分类器，区分不同的网络攻击行为。

9.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤5包括：

步骤5.1：计算网络攻击检测模型的识别准确率C：

其中N_normal表示检测出的正常行为数量，n_i表示检测出的某种网络攻击的数量，m表示入侵攻击的种类数量，n表示测试集的总数；

步骤5.2：使用网络攻击检测模型进行网络攻击行为发现，将分类正确的数据进行标定并放入训练集。

10.如权利要求7所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，SVM分类器具体包括：区分正常行为和网络攻击行为的SVM分类器以及多个识别不同攻击类型的SVM分类器。