网络异常检测技术通过建立正常行为基准来识别网络异常行为,可以检测出新型网络攻击行为,通用性较强,在入侵检测、僵尸网络检测等领域有着广泛应用,是业界研究热点和重点。然而,随着大数据时代来临,攻击方法日新月异,新型攻击层出不穷,网络攻击呈现出泛在化、智能化、复杂化趋势,当前网络异常检测技术难以满足日益增长的高检测率、低误报率的要求,主要存在以下3方面问题:(1)采用传统机器学习算法构造的检测模型在执行多分类任务时检测准确率不高,检测效果往往不佳。(2)大量标签样本的获取较为困难,有限的标签样本只能反馈有限的信息,在少量的标签样本环境下训练出来的有监督分类模型往往影响了其检测准确率。(3)现有网络异常检测模型较少考虑学习异常行为在网络连接方面呈现出的同步性和关联性等时序特征,影响了其检测效果。本文针对近年来入侵检测、僵尸网络检测等领域现有网络异常检测技术存在的以上3方面问题,以提高网络异常检测准确率为主要研究目标,以基于深度学习的网络异常检测技术为主要研究内容,通过研究深度学习在入侵检测和僵尸网络检测领域的建模应用,进一步提升分类模型检测能力,解决了部分现有网络异常检测技术存在的问题,拓展了深度学习在入侵检测及僵尸网络检测领域的融合应用,具有较高的应用价值和现实意义。本文主要研究成果及创新点归纳如下:(1)针对网络异常检测技术在执行多分类任务时检测准确率不高的问题,提出了一种新的基于全连接循环神经网络的入侵检测模型,分别研究了该模型在二分类和多分类任务下的训练方法,并与J48、人工神经网络、随机森林、支持向量机等7种传统机器学习方法在检测准确率方面进行了比较。实验结果表明,基于全连接循环神经网络的分类模型在测试集上的检测准确率优于相同条件下基于传统机器学习的分类方法,尤其在执行多分类任务时仍保持了较高的检测准确率,降低了误报率,进一步提升了对网络攻击行为的检测能力,为入侵检测领域提供了一种新的研究方法。(2)针对训练标签样本较少从而影响有监督分类模型检测效果的问题,借助生成式对抗网络对抗交互训练的思想,研究了生成式对抗网络在入侵检测领域的应用建模方法,首次提出一种基于生成式对抗网络的入侵检测框架,研究了在不同参数条件下采用该框架训练后的分类模型的检测能力,并提出了相应训练方法。框架在训练阶段引入了生成模型,由生成模型不断生成样本,扩充了原有标签样本集,可辅助入侵检测模型分类,提高了模型检测准确率,提升了执行多分类任务时对入侵行为的识别能力,为增强入侵检测模型泛化能力提供了一种有效的方法。(3)针对僵尸网络通讯行为呈现出的同步性和关联性等时序特征,提出了一种新的基于LSTM网络的僵尸网络检测模型,研究了多种类型僵尸网络基于网络流量的通讯行为特点,提取网络流的长度、重连接次数、持续时间、交换数据包数等特征,研究了在不同网络结构及不同学习率条件下,该模型的准确率、精确率、误报率等检测性能指标。实验结果表明,与基于人工神经网络的检测模型和基于决策树的检测分类方法相比,该模型能够较好地建模僵尸网络通讯连接间的时序特性,进一步提高了对僵尸网络通讯连接的检测准确率,降低了误报率,同时具备对未知僵尸网络及采用了私有加密协议僵尸网络的检测能力,为基于时序的网络异常检测技术提供了一种可行的建模方法。(4)在基于生成式对抗网络的入侵检测技术研究成果基础上,将生成式对抗网络应用到僵尸网络检测领域,研究了生成式对抗网络在僵尸网络检测领域的建模方法,首次提出了一种基于生成式对抗网络的僵尸网络检测框架。实验表明,与原检测模型相比,通过框架训练后的僵尸网络检测模型,进一步提高了对僵尸网络通讯连接的检测发现能力,降低了误报率。