1.基于深度学习的异常网络流量监测方法，其特征在于，具体步骤包括：步骤一：从网络接口实时采集网络流量数据，捕获流经的数据包，并进行数据预处理，所述数据包包括单向加密流量的协议元数据和ACK值并进行排序，计算ACK值的差分；

步骤二：预设网络流量应用场景，并基于预设的应用场景，从处理后的数据中提取特征向量，并将提取特征向量进行优化后，分类为正常流量和异常流量；

步骤三：使用深度神经网络对正常流量和异常流量的特征向量进行学习，并加入时序注意力机制，使模型能够更关注关键时刻的ACK值，增强对流量行为的敏感性；

步骤四：使用ACK值的差分进行数据重建，与协议元数据融合，使用图神经网络技术GNN构建威胁图谱，捕获网络中节点之间的复杂关系，包括威胁类型、攻击行为；

步骤五：实时监测网络流量，使用AEWMA算法平滑错误并保留异常突变，通过分析ACK流量分布的分散程度，生成输出结果C1，并精确检测LDoS攻击；

步骤六：对收集的数据应用AEWMA算法进行平滑处理，减少噪声影响，计算当前流量特征向量与正常流量特征向量之间的距离，并生成输出结果C2；

步骤七：建立复检模块后生成判断指数Q，基于判断指数Q用于对输出结果C1和输出结果C2的选择进行判断，同时生成监测结果；

步骤八：根据监测结果，系统自动调整深度学习模型的参数和阈值T；

步骤九：在检测到异常流量时，自动执行预设的安全响应措施，并生成详细报告；定期更新深度学习模型和特征向量库，以适应新的网络环境和攻击模式。

2.根据权利要求1所述的基于深度学习的异常网络流量监测方法，其特征在于：所述数据包还包括时间戳、源/目的IP、端口号，所述数据预处理包括数据清洗、格式化和归一化；归一化处理使用以下公式：其中X是原始数据，X

所述数据包包括单向加密流量的协议元数据和ACK值并进行排序，计算ACK值的差分包括，TCP协议中的ACK段，提取每个TCP段的ACK值，形成一个序列，计算ACK值的差分公式如下所示；

Δ

其中Δ

数据包大小推断：

a.计算连续ACK值之间的差值，较大的差值表示较大的数据包被成功接收；

b.结合时间戳和ACK值差分，较短的时间间隔和较大的ACK值差分表明较高的传输速度；

c.分析ACK差分序列的不规则模式，如突变、周期性变化。

3.根据权利要求1所述的基于深度学习的异常网络流量监测方法，其特征在于：所述从处理后的数据中提取特征向量包括，a.特征选取：定义特征向量

选取关键指标，包括流量大小、包长度、传输频率，b.特征向量构建：

构建特征向量公式为：

F＝[f

其中：f

f

其中SJL表示数据量，SJCK表示时间窗口长度；

f

f

其中BCD表示包长度，BSL表示包数量；

f

f

其中BSL表示包数量，SJCK表示时间窗口长度；

使用f

c.特征向量优化：对特征向量进行优化，以提高识别准确性，优化包括特征降维和特征选择。

4.根据权利要求1所述的基于深度学习的异常网络流量监测方法，其特征在于：所述使用深度神经网络对正常流量和异常流量的特征向量进行学习包括，a、模型结构设计：选择CNN用于提取时间序列数据中的空间特征，而LSTM用于处理时间序列数据，捕捉长期依赖关系；

设计一个深度学习模型，该模型首先通过几层CNN来提取特征向量中的空间特征，随后通过LSTM层来分析和学习这些特征随时间的变化；

b.损失函数定义：

使用交叉熵损失函数公式为：

其中θ是网络参数，y

在训练过程中，使用此损失函数来评估模型的性能，指导参数θ的优化；

所述并加入时序注意力机制包括，

时序注意力公式为以下所示：

Attention

利用CNN深度学习模型对历史网络流量数据进行挖掘，实现对网络安全威胁的预测性分析，应用交叉验证技术来调整模型结构和参数，确保模型的稳健性；使用历史的网络攻击事件数据进行回测，验证模型的预测能力和异常检测准确性。

5.根据权利要求1所述的基于深度学习的异常网络流量监测方法，其特征在于：所述使用ACK值的差分进行数据重建，与协议元数据融合包括，数据重建函数为Reconstructedi＝f(Δi)，其中Reconstructed所述使用图神经网络技术GNN构建威胁图谱，能够有效地捕获网络中节点之间的复杂关系，包括威胁类型、攻击行为的具体逻辑为：A.多模态数据融合：

结合多源信息：将深度学习提取的特征与传统的威胁情报数据融合，形成多模态威胁信息，形成图形结构的数据集，节点代表威胁实体，边表示实体间的关系，提高威胁图谱的丰富性；

B.威胁情境分析：

节点关联分析：利用威胁图谱进行节点关联分析，帮助决策者更全面、直观地理解网络安全格局；具体的，a.图神经网络模型构建：

公式：节点更新函数H

b.多模态数据融合：

将GNN提取的图形特征与外部威胁情报数据融合，使用自编码器技术进行特征压缩和融合；

融合公式：Z＝g(H,X)，其中，Z是融合后的特征表示，H是GNN的输出特征，X是外部威胁情报数据，g是融合函数；

c.威胁情境分析：

基于GNN模型的输出和融合特征，执行节点关联分析，计算节点相似度或关联强度；

分析公式：相似度S(i,j)＝sim(Z

6.根据权利要求1所述的基于深度学习的异常网络流量监测方法，其特征在于：在实施例五的基础上进一步说明，所述使用AEWMA算法平滑错误并保留异常突变，通过分析ACK流量分布的分散程度，生成输出结果C1，并精确检测LDoS攻击包括，设置AEWMA算法的评分函数为；

其中，λ

当存在LDoS攻击时，ACK流量的分布会偏离，通过分析和对比ACK流量分布的分散程度，可以检测出LDoS攻击，输出结果记录为C1，C1为采用AEWMA算法判断是否受到LDoS攻击的结果，使用标准偏差或方差来衡量ACK流量的分散程度，计算公式为：C1＝φ(e)×k

其中，k

σ为偏差因子，网络流量未受到攻击时，C1输出值为0；受到攻击时，C1根据受到网络攻击的程度进行调整，攻击程度越高，取值越大。

7.根据权利要求1所述的基于深度学习的异常网络流量监测方法，其特征在于：所述对收集的数据应用AEWMA算法进行平滑处理，减少噪声影响，计算当前流量特征向量与正常流量特征向量之间的距离，并生成输出结果C2包括，公式如下：Z

其中，Z

异常检测阈值确定：

定义异常检测的阈值T，基于历史数据和统计分析确定；公式如下所示：T＝μ+kσ

μ：正常流量特征的平均值；σ：正常流量特征的标准差；k：偏离正常范围的倍数，由安全策略和风险容忍度确定；

设定异常检测基于阈值T，使用欧氏距离来计算当前流量特征向量与正常流量特征向量之间的距离C2，公式如下所示：其中D是距离函数，

所述建立复检模块后生成判断指数Q，基于判断指数Q用于对输出结果C1和输出结果C2的选择进行判断包括，建立复检模块步骤依次为：确定复检需求和标准、收集与分析数据、构建判断指数Q计算模型；

所述判断指数Q为：

其中k是自然对数的底e的权重系数，并对应输出结果C2的权重，γ2为若判断指数Q＜Q时，表示C2值小于C1值的情况，且不具有递增的趋势，此时C1基于ACK流量分布的分散程度波动在稳定范围内，而C2基于流量特征向量与正常流量特征向量之间的距离波动也在稳定范围内，不存在网络攻击；

若判断指数Q＝Q时，表示C2值小于C1值的情况，并具有递增的趋势，此时代表C1基于ACK流量分布的分散程度逐步增大，而C2基于流量特征向量与正常流量特征向量之间的距离也逐步增大，在增速幅度上，C2增幅逐步接近C1或与C1相同，存在网络攻击；

若判断指数Q＞Q时，表示C2值大于C1值的情况，并具有递增的趋势，此时代表C1基于ACK流量分布的分散程度逐步增大，而C2基于流量特征向量与正常流量特征向量之间的距离也逐步增大，在增速幅度上，C2小于C1，存在程度较大的网络攻击。

8.一种基于深度学习的异常网络流量监测装置，其特征在于：所述装置用于执行权利要求1-7任意一项所述的监测方法，包括：数据采集与预处理模块：用于从网络接口实时采集网络流量数据，捕获流经的数据包，并进行数据预处理，所述数据包包括单向加密流量的协议元数据和ACK值并进行排序，计算ACK值的差分；

特征向量提取模块：用于预设网络流量应用场景，并基于预设的应用场景，从处理后的数据中提取特征向量，并将提取特征向量进行优化后，分类为正常流量和异常流量；

深度学习模型训练模块：用于使用深度神经网络对正常流量和异常流量的特征向量进行学习，并加入时序注意力机制，使模型能够更关注关键时刻的ACK值，增强对流量行为的敏感性；

多层次缺失数据重建模块：用于使用ACK值的差分进行数据重建，与协议元数据融合，使用图神经网络技术GNN构建威胁图谱，捕获网络中节点之间的复杂关系，包括威胁类型、攻击行为；

实时流量监测与异常检测模块：用于实时监测网络流量，使用AEWMA算法平滑错误并保留异常突变，通过分析ACK流量分布的分散程度，生成输出结果C1，并精确检测LDoS攻击；

对收集的数据应用AEWMA算法进行平滑处理，减少噪声影响，计算当前流量特征向量与正常流量特征向量之间的距离，并生成输出结果C2；

建立复检模块后生成判断指数Q，基于判断指数Q用于对输出结果C1和输出结果C2的选择进行判断，同时生成监测结果；

动态自适应调整模块：用于根据监测结果，系统自动调整深度学习模型的参数和阈值T；

安全响应与报告模块：用于在检测到异常流量时，自动执行预设的安全响应措施，并生成详细报告；

持续优化与更新模块：用于定期更新深度学习模型和特征向量库，以适应新的网络环境和攻击模式。

9.一种设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述网络流量监测方法的步骤。

10.一种可读存储介质，所述设备可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络流量监测方法的步骤。