1.物聯網環境下基于混合深度學習的網絡攻擊檢測方法，其特征在于，包括如下步驟：

步驟1：構建單一的深度學習模型和混合深度學習模型；

構建SIMPLE模型；一層為輸出單元為64，激活函數為ReLU的全連接層，第二層為輸出單元為1的全連接層；

構建單一的GRU模型，即門控循環神經網絡，首先連上5層輸出單元為64的GRU層，并在每層后跟上Dropout層；之后再加一層輸出單元為64的GRU層和Dropout層，輸出層為輸出單元為1的全連接層；

構建單一的LSTM模型，即長短期記憶模型；首先連上5層輸出單元為64的LSTM層，并在每層后跟上Dropout層；之后再加一層輸出單元為64的LSTM層和Dropout層，輸出層為輸出單元為1的全連接層；

構建混合深度學習模型Multi-Scale CNN+GRU，即多尺度CNN與GRU混合模型；首先對輸入張量進行形狀變換，分別為(1,76),(2,38),(4,19)，由這三個輸入張量分別構建三個CNN模型，輸出層全連接層，輸出形狀分別為(30),(20),(20)；將這三個CNN模型進行連接，再加上GRU層和全連接層，最后輸出單元為1；其結構如表1所示；

Multi-Scale CNN+GRU

表1

構建混合深度學習模型Multi-Scale CNN+LSTM，即多尺度CNN與LSTM混合模型；首先對輸入張量進行形狀變換，分別為(1,76),(2,38),(4,19)，由這三個輸入張量分別構建三個CNN模型，輸出層全連接層，輸出形狀分別為(30),(20),(20)；將這三個CNN模型進行連接，再加上LSTM層和全連接層，最后輸出單元為1；

Multi-Scale CNN+LSTM

表2

步驟2：編譯所構建的深度學習模型；

每個模型的輸出層激活函數，優化器，損失函數，評估指標均一致；即每個模型的輸出層激活函數采用Sigmoid函數；優化器選擇Adam優化器；損失函數采用標簽交叉熵損失函數；評估指標采用二分類精度算法；SIMPLE模型的輸入張量形狀為(76)，而其余模型均為(1,76)；

步驟3：使用公開的網絡入侵檢測數據集的訓練集對上述五個模型進行訓練；

步驟4：使用數據集的測試集測試訓練完成的單一模型和混合模型；

所述步驟3具體包括以下步驟：

步驟3.1：利用通信安全機構和加拿大網絡安全研究所合作項目收集的網絡入侵數據集CIC-IDS-2017，將其中Protocol字段下的字符值按照類別映射到數值，再進行one-hot編碼；將Label字段下的BENIGN數據改成0，即正常記錄，非BENIGN數據改為1，即異常記錄；

步驟3.2：將所有數據進行歸一化，從而讓各個數據都處于[0,1]之間；歸一化算法為：x'＝(x-min)/(max-min)，其中x為特征屬性值，min為x的最小值，max為x的最大值，x'為歸一化后的特征屬性值；

步驟3.3：將數據集打亂，防止出現前一半為正常數據，后一半為異常數據，從而對模型訓練造成偏差，之后拆分成訓練集和測試集，之后分別將訓練集和測試集的數據存入數據庫；

步驟3.4：取出數據庫中的訓練集，將訓練集分割成訓練集和驗證集，分別對5個模型進行訓練，將每個模型的history數據保存在本地，同時將訓練后的模型保存在本地。