1.一种恶意流量检测方法，其特征在于，包括以下步骤：S1，获取原始流量数据，将获取的所述原始流量数据保存为能识别的文件格式的流量数据；

S2，对步骤S1中保存的流量数据进行特征转换；

S3，对步骤S2中转换后的流量数据进行数据包分段，得到数据包段；

S4，通过时序处理特征向量捕获每个数据包段之间的特征信息；在步骤S4具体包括以下步骤：

S41，根据输入的流量数据计算获得更新门数据；其更新门数据的计算方法为：zt＝σ(Wzxt+Uzht‑1)，Wz表示更新门的权重；

xt表示时刻t输入的流量数据；

Uz表示前一时刻隐藏状态矩阵ht‑1的更新门权重；

ht‑1表示t‑1时刻隐藏状态矩阵；

zt表示更新门数据；

σ()表示激活函数sigmoid；

S42，根据输入的流量数据计算得到重置门数据；其重置门数据的计算方法为：rt＝σ(Wrxt+Urht‑1)，Wr表示重置门的权重；

Ur表示前一时刻隐藏状态矩阵ht‑1的重置门权重；

rt表示重置门数据；

S43，根据步骤S42计算得到当前内存内容；其当前内存内容的计算方法为：Wh表示流量数据xt的权重矩阵；

⊙表示按元素点乘；

U表示候选集的权重；

ht‑1表示t‑1时刻的隐藏状态矩阵；

表示当前候选集；

S44，根据步骤S41和步骤S43获取在当前时间步长的最后内存内容；其最后内存内容的计算方法为：

ht表示t时刻的隐藏状态矩阵；

S5，分配得到注意力向量；其注意力向量的计算方法为：ui＝tanh(Wwhi+bw)，tanh()表示双曲正切函数；

Ww表示隐藏状态矩阵hi的权重矩阵；

hi表示GRU模型在i时刻输出的隐藏状态矩阵；GRU模型用于步骤S4中，输入数据为流量数据；

bw表示权重矩阵Ww的偏置；

ui表示经过一层感知机后计算得到的值；

T表示矩阵的转置；

uw表示注意力权重矩阵；

l表示数据包段中数据分段的个数；

αi表示权重占比矩阵；

Vi＝∑lαihi，

Vi表示注意力机制加权后的注意力向量；

S6，对流量数据进行特征融合；对流量数据进行特征融合的计算方法为：max()表示取最大值函数；

Ci,j表示隐藏状态矩阵中i行j列的值；

Ci,j+1表示隐藏状态矩阵中i行j+1列的值；

得到一维的向量

S7，对步骤S6中融合的特征进行线性变换；对融合的特征进行线性变换的计算方法为：H表示下一层有多少个神经单元；

Wkj表示第j个稠密单元的权重向量；

xk表示输入的信息；

bj表示第j个稠密单元的偏差；

f()表示激活函数；

将每个神经单元的输出连接起来得到稠密结果D＝[D1,D2,D3,...,Dl]；

S8，将流量数据进行分类。

2.根据权利要求1所述的恶意流量检测方法，其特征在于，在步骤S1中，原始流量数据的获取方法为采用抓包工具，并把抓好的数据包保存为pcap文件格式的流量数据。

3.根据权利要求1所述的恶意流量检测方法，其特征在于，在步骤S2中，对保存的流量数据进行特征转换的方法为利用CICFlowmeter‑V4.0工具，将pcap数据解析成79个数字特征，即每一个数据包由一个79维度向量构成。

4.根据权利要求1所述的恶意流量检测方法，其特征在于，在步骤S3中，对流量数据进行数据包分段的方法为根据时间的先后顺序把流量数据按长度l进行分段，每个数据包段中有l个数据分段，记作[l,f]，f表示每个数据分段中的特征数量。

5.根据权利要求2所述的恶意流量检测方法，其特征在于，在步骤S2中，利用CICFlowMeter‑V4.0工具提取到的特征，若样本存在缺失值，则对缺失值的特征采用平均值法进行处理。

6.根据权利要求1所述的恶意流量检测方法，其特征在于，在步骤S8中，对流量数据的分类方法为：

是归一化的因子；

(i)

y 表示第i个样本的标签值；

(i)

x 表示第i个样本的值；

θ表示监测方法中被训练的权重；

K表示分类的类别数；

P(|)表示条件概率；

θj表示θ中的第j个权重；

(i)

若样本分类概率hθ(x )在预设样本分类阈值范围内，则该样本为正常流量；

(i)

若样本分类概率hθ(x )未在预设样本分类阈值范围内，则该样本为恶意流量。