1.模型架构

模型分两步串联对数据进行判断。信息熵初步判断->深度神经网络判断。

模型结构.png

2.信息熵

2.1信息熵计算

为了方便理解信息熵的初步检测过程，假设数据样本只有两类，即：，原文香农公式中为第类样本发生的概率记为。信息熵公式可以展开为：

因为只有两类

画出与的关系图为：

样本出现概率与信息熵的关系.png
根据计算的信息熵和给定阈值对数据初步进行异常检测。

2.2原始数据处理

原文对原始连续数据进行离散化处理，将数据划分为单元，每个单元有个包，可以反应每次分析的时间段长短，越大分析的时间越长，反之越小，原文作者根据经验确定。（不太理解每个包长啥样）

2.3确定分析指标

原文给出了两种信息熵的分析指标，但并没有说明两种信息熵之间计算关系，推测有几种可能：
1）每种信息熵单独与阈值比较后，只要有一种超出阈值范围及判定异常。
2）两种信息熵做的加权合并再与阈值比较，判定是否异常。
在实验部分，原文采用了第一种计算关系。

原ip地址信息熵和目标ip地址信息熵.png

通过信息熵对数据进行初步判断（原文通过实验对两种指标分别划分固定阈值）

2.4原文中可能有错误的地方

香农公式.png

文中可能错误的地方：
文中说熵值为0时，但我认为当时，熵值应该最大。

---

3.特征提取和DNN检测模型

文中提取了19个特征，经过深度学习神经网络对模型进行训练，并检测。采用的比较常规的深度模型，就不分析了。

4.实验结果分析

原文对不同结构的DNN模型、其他机器学习模型、不同的输入特征和是否增加信息熵初步判定模型做了对比分析实验，并以准确度、消耗时间、占用空间等指标进行分析。