1.一种融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，包括流量获取模块、流量特征转换模块、数据特征划分模块、数据特征捕获模块、注意力向量分配模块、数据特征融合模块、线性变换模块、流量分类模块和恶意流量展示模块；

在数据特征捕获模块中执行以下步骤：S41，根据输入的流量数据计算获得更新门数据；其更新门数据的计算方法为：zt＝σ(Wzxt+Uzht‑1)，σ()表示激活函数sigmoid；

Wz表示更新门的权重；

xt表示时刻t输入的流量数据；

Uz表示前一时刻隐藏状态矩阵ht‑1的更新门权重；

ht‑1表示t‑1时刻隐藏状态矩阵；

zt表示更新门数据；

S42，根据输入的流量数据计算得到重置门数据；其重置门数据的计算方法为：rt＝σ(Wrxt+Urht‑1)，Wr表示重置门的权重；

Ur表示前一时刻隐藏状态矩阵ht‑1的重置门权重；

rt表示重置门数据；

S43，根据步骤S42计算得到当前内存内容；其当前内存内容的计算方法为：Wh表示流量数据xt的权重矩阵；

⊙表示按元素点乘；

U表示候选集的权重；

tanh()表示双曲正切函数；

表示当前候选集；

S44，根据步骤S41和步骤S43获取在当前时间步长的最后内存内容；其最后内存内容的计算方法为：

ht表示t时刻的隐藏状态矩阵；

在数据特征融合模块中，对流量数据进行特征融合的计算方法为：max()表示取最大值函数；

Ci,j表示隐藏状态矩阵中i行j列的值；

Ci,j+1表示隐藏状态矩阵中i行j+1列的值；

得到一维的向量

在线性变换模块中，对融合的特征进行线性变换的计算方法为：H表示下一层有多少个神经单元；

Wkj表示第j个稠密单元的权重向量；

xk表示输入的信息；

bj表示第j个稠密单元的偏差；

f()表示激活函数；

将每个神经单元的输出连接起来得到稠密结果D＝[D1,D2,D3,...,Dl]；

在注意力向量分配模块中，注意力向量的计算方法为：ui＝tanh(Wwhi+bw)，tanh()表示双曲正切函数；

Ww表示隐藏状态矩阵hi的权重矩阵；

hi表示GRU模型在i时刻输出的隐藏状态矩阵；GRU模型用于数据特征捕获模块中，输入数据为流量数据；

bw表示权重矩阵Ww的偏置；

ui表示经过一层感知机后计算得到的值；

T表示矩阵的转置；

uw表示注意力权重矩阵；

l表示数据包段中数据分段的个数；

αi表示权重占比矩阵；

Vi＝∑lαihi，

Vi表示注意力机制加权后的注意力向量；

在流量分类模块中，对流量数据的分类方法为：是归一化的因子；

(i)

y 表示第i个样本的标签值；

(i)

x 表示第i个样本的值；

θ表示监测系统中被训练的权重；

K表示分类的类别数；

P(|)表示条件概率；

θj表示θ中的第j个权重；

(i)

若样本分类概率hθ(x )在预设样本分类阈值范围内，则该样本为正常流量；

(i)

若样本分类概率hθ(x )未在预设样本分类阈值范围内，则该样本为恶意流量；

所述流量获取模块的数据输出端与流量特征转换模块的数据输入端相连，流量特征转换模块的数据输出端与数据特征划分模块的数据输入端相连，数据特征划分模块的数据输出端与数据特征捕获模块的数据输入端相连，数据特征捕获模块的数据输出端与注意力向量分配模块的数据输入端相连，注意力向量分配模块的数据输出端与数据特征融合模块的数据输入端相连，数据特征融合模块的数据输出端与线性变换模块的数据输入端相连，线性变换模块的数据输出端与流量分类模块的数据输入端相连，流量分类模块的数据输出端与恶意流量展示模块的数据输入端相连；

所述流量获取模块用于获取原始流量数据，并将获取的所述原始流量数据保存为能识别的文件格式的流量数据；所述流量特征转换模块用于对流量获取模块中保存的流量数据进行特征转换；所述数据特征划分模块用于对流量特征转换模块中转换后的流量数据进行数据包分段，得到数据包段；所述数据特征捕获模块用于通过时序处理特征向量捕获每个数据包段之间的特征信息；所述注意力向量分配模块用于得到注意力向量；所述数据特征融合模块用于对流量数据进行特征融合；所述线性变换模块用于对数据特征融合模块中融合的特征进行线性变换；所述流量分类模块用于将流量数据进行分类；所述恶意流量展示模块用于对恶意流量的展示。

2.根据权利要求1所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在流量获取模块中，原始流量数据的获取方法为采用抓包工具，并把抓好的数据包保存为pcap文件格式的流量数据。

3.根据权利要求2所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在流量特征转换模块中，对保存的流量数据进行特征转换的方法为利用CICFlowmeter‑V4.0工具，将pcap数据解析成79个数字特征，即每一个数据包由一个79维度向量构成。

4.根据权利要求3所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在数据特征划分模块中，对流量数据进行数据包分段的方法为根据时间的先后顺序把流量数据按长度l进行分段，每个数据包段中有l个数据分段，记作[l,f]，f表示每个数据分段中的特征数量。

5.根据权利要求4所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在流量特征转换模块中，利用CICFlowMeter‑V4.0工具提取到的特征，若样本存在缺失值，则对缺失值的特征采用平均值法进行处理。

6.根据权利要求1所述的融合深度神经网络和层级注意力机制的恶意流量监测系统，其特征在于，在恶意流量展示模块中，统计监测到的恶意流量的总数目和恶意流量所对应的时刻，以及展示一段时间内恶意流量的攻击次数曲线，该一段时间为当天、每个星期、每个月、每个季度、当年之一或者任意组合。