3.根據權利要求1所述的一種快速特征匹配的工業網絡DDoS入侵檢測方法，其特征在于，步驟b中，首先將對抓取的數據包進行解包分析，提取特征值，再對特征值進行特征篩選，過濾不需要的特征信息，保留DDoS攻擊相關的特征以實現更好的深度學習模型匹配精度，最后進行特征的標準化和歸一化處理。特征值分為四大類，包括TCP連接基本特征，TCP連接的內容特征，基于時間的網絡流量統計特征，和基于主機的網絡流量統計特征，特征的提取、篩選和標準化處理方式如下：

(1)提取特征的四大類為：TCP連接基本特征，包含了一些連接的基本屬性，如連續時間，協議類型，傳送的字節數等；TCP連接的內容特征，包含了連接內容的一些特征，如登錄失敗次數，是否獲得超級用戶權限，使用shell命令的次數等；基于時間的網絡流量統計特征，一個是“same host”特征，只觀察在過去兩秒內與當前連接有相同目標主機的連接。另一個是“same service”特征，只觀察過去兩秒內與當前連接有相同服務的連接；基于主機的網絡流量統計特征，該特征使用一個具有100個連接的時間窗，統計當前連接之前100個連接記錄中與當前連接具有相同目標主機的統計信息。

(2)由于本方法的特點在于對DDoS攻擊行為的快速匹配，因此實際的檢測過程中并不需要數據包的全部信息，僅僅選取了部分與DDoS攻擊行為關聯性強的特征。因此需要進行特征篩選，特征的篩選有助于降低計算復雜度(減少訓練和檢測時間，這對工業入侵檢測的實時性是很重要的)，消除信息冗余，提高學習算法的準確性，促進數據理解，提高泛化能力。具體步驟為：

計算每個特征的信息增益g(D,A)＝H(D)-H(D|A)

計算每個特征的相關性

抽取信息增益和相關性排序的前n1個特征組成特征子集I1和C1，n2個特征組成子集I2和C2，一般n1<n2且n1+n2<30，并按照(I₁∪C₁)∪(I₂∩C₂)進行合并操作，最后得到篩選過后的特征集。

(3)特征值需要進行標準化處理才能夠輸入深度學習網絡進行判別，由于特征屬性中有兩種類型的數值：數值型和非數值型，數值型數據還包括離散型和連續型，對于深度學習模型來說，輸入矩陣需要統一的連續數值型數據類型，經過歸一化處理，數據的取值范圍和數值分布在合理的區間內，這對于檢測系統來說是影響精確度的重要條件之一。所以，首先將非數值型數據映為數值型，再將離散型數據連續化，標準化為[0,1]區間的連續值，最后形成特征矩陣。