1.一种面向云计算的网络流量异常检测系统，其特征在于：包括客户端；所述客户端可以是单台工作计算机或代理网关，每个客户端拥有一个源IP，通过该源IP向云平台中某个云应用服务器发送网络数据包；

云应用服务器；每个云应用服务器向客户提供一种云应用，每个云应用服务器都拥有一个目的IP，通过该目的IP和客户端进行网络通信；

云平台；某个云服务商运营的所有云应用服务器构成云平台，所述云平台对应一组目的IP；

云入口路由器；接收由客户端发送来的网络数据包，并将接收到的网络数据包分发给各个云应用服务器；

流量异常检测装置；接收云入口路由器发送过来的网络流量镜像，并根据累计的历史流量数据，构造流量异常检测卷积神经网络模型，利用流量异常检测卷积神经网络模型进行网络流量异常的实时检测；

所述流量异常检测装置包括，

流量采集模块；用于接收云入口路由器发送过来的网络流量镜像，根据每个网络数据包的头部长度信息累加后，获得流量分布数据；

模型生成模块；利用流量样本池中的流量样本，训练卷积神经网络模型，获得流量异常检测卷积神经网络模型；

异常检测实施模块；对当前流量分布数据，利用异常检测实施模块，获得检测结果；

流量样本池更新模块；利用新的流量样本，更新流量样本池，从而保证流量样本池的时效性；

模型更新模块；利用更新的流量样本池，重新训练流量异常检测卷积神经网络模型，并进行模型更新，保持流量异常检测卷积神经网络模型的时效性。

2.一种面向云计算的网络流量异常检测方法，其特征在于：所述检测方法使用上述权利要求1所述的检测系统实现；所述检测方法包括如下步骤，S1、采集网络流量，计算流量分布数据，构造流量样本池；

S2、利用所述流量样本池，构造并训练流量异常检测卷积神经网络模型；

S3、利用训练好的流量异常检测卷积神经网络模型，对流量进行实时检测；

S4、利用实时流量数据，不断更新流量样本池；

S5、利用更新后的流量样本池，重新训练流量异常检测卷积神经网络模型，并使用重新训练好的流量异常检测卷积神经网络模型替换已有的流量异常检测卷积神经网络模型。

3.根据权利要求2所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S1具体包括如下内容，

S11、将所述流量异常检测装置连接到云入口路由器的一个网络接口NIC；

S12、为该网络接口NIC配置嗅探功能；

S13、云入口路由器将所有通过自身的网络流量拷贝后发送给所述网络接口NIC；

S14、所述流量异常检测装置构造并初始化流量分布二维数组LD；所述流量分布二维数组LD的每一行对应一个源IP；每一列对应一个目的IP；初始化之后的流量分布二维数组LD中的每个元素都为零；

S15、所述流量异常检测装置采集云入口路由器发送来的网络流量，所述网络流量包括多个网络数据包；

S16、所述流量异常检测装置根据接收的各个网络数据包，计算流量分布数据；具体为，解析各个网络数据包的头部，获取每个网络数据包的源IP为IPs，目的IP为IPd，长度为Len；

则流量分布二维数组LD中的行为IPs列为IPd的元素(IPs,IPd)的值等于采集到的源IP为IPs、目的IP为IPd的网络数据包Len的累加长度LenSum；

S17、所述流量异常检测装置持续分析一分钟的网络流量，得到一个流量分布二维数组LD，并把该流量分布二维数组LD作为一个流量样本，放入流量样本池中；

S18、判断是否满足预设条件，若是，则进入步骤S2；若否，则将流量分布二维数组清零，并返回步骤S15；所述预设条件为，流量异常检测装置采集云入口路由器发送来的网络流量的采集时长不小于采集时段D。

4.根据权利要求3所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S2具体包括如下内容，

S21、归一化流量样本池中的流量样本；

S22、构造流量样本类别，并根据每一类流量样本的流量总量，对流量样本的类别进行排序；

S23、构造流量异常检测卷积神经网络模型；

S24、训练所述流量异常检测卷积神经网络模型。

5.根据权利要求4所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S21具体为，对流量分布二维数组LD进行min‑max归一化，即对流量分布二维数组LD中的数组元素a进行线性变换，使输出结果值映射到[0,1]之间；线性变换的转换函数为，其中，max为流量样本池中所有流量样本中的最大值；min为流量样本池中所有流量样本中的最小值；a*为输出结果值。

6.根据权利要求4所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S22具体为，按照流量采集的时间，以小时为单位对流量样本池中的流量样本进行分类合并，可获取24类，并分别统计每一类的流量样本数量，将每一类中所有的流量样本中的数组元素全部相加，获取每一类的流量样本的流量总量，将流量总量从大到小排序，进行流量样本的类别排序。

7.根据权利要求4所述的面向云计算的网络流量异常检测方法，其特征在于：所述流量异常检测卷积神经网络模型包括输入层、两个卷积层、两个池化层和输出层组成；其中，输入层输入流量样本池中所有的流量样本，即所有的流量分布二维数组LD；

第一卷积层提取流量分布二维数组LD的特征；

第一池化层利用局部相关性原理，通过2×2领域下采样的方式减少需要处理的数据量，即获取的特征数据为采样之前的1/4；

第二卷积层提取经第一池化层池化后的流量特征数据；

第二池化层利用局部相关性原理，通过2×2领域下采样的方式减少需要处理的数据量，即获取的特征数据为采样之前的1/4；

输出层将经第二池化层池化后的特征数据映射为最终预测的流量类别。

8.根据权利要求4所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S24具体包括如下内容，

向前传播阶段；从流量样本池中所有的流量分布二维数组LD中，任取一个流量样本输入流量异常检测卷积神经网络模型中，获取相应的输出结果x*；

向后传播阶段；计算输出结果x*与相应的类别y之间的误差；检测误差是否小于设定阈值ε，若是，则训练结束，将流量异常检测卷积神经网络模型和所有的参数进行保存，获取训练好的流量异常检测卷积神经网络模型；若否，则进入下一轮训练；所述输出结果x*与相应的类别y之间的误差为x*与y中对应元素x*i和yi差的平方和。

9.根据权利要求4所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S3具体包括如下内容，

S31、流量异常检测装置实时分析一分钟的网络流量，得到流量分布二维数组LDC，并将其作为当前流量样本，根据当前时间获取流量样本所属的类别y；

S32、对流量分布二维数组LDC归一化，并将归一化之后的流量分布二维数组LDC输入到训练好的流量异常检测卷积神经网络模型中，获取相应的输出结果x*；

S33、根据类别排序，获得类别y中值为1的数组元素标号的排序位置Y以及输出结果x*中值最大的数组元素标号的排序位置X，按照如下规则进行流量异常检测告警，若X＝Y，则检测结果为流量正常；

若Y排序在X之后，即当前流量小于模型预测流量，具体的，当Y‑X＝1,2，则发出轻度流量异常告警；

当Y‑X＝3,4，则发出中度流量异常告警；

当Y‑X＞4，则发出重度流量异常告警；

若Y排序在X之前，即当前流量大于模型预测流量，根据不同的网络攻击场景进一步提供疑似网络攻击告警，其中，所述网络攻击场景包括CC攻击、扫描攻击、APT攻击和木马攻击；具体的，

当X‑Y＝1，则发出疑似APT攻击告警；

当X‑Y＝2，则发出疑似木马攻击告警；

当X‑Y＝3，则发出疑似扫描攻击告警；

当X‑Y＞3，则发出疑似CC攻击告警。

10.根据权利要求9所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S4具体为，流量样本池中设置有移动队列，各所述流量样本都按顺序排列在移动队列中，移动队列的头部为最旧的流量样本，移动队列尾部为最新的流量样本，每当有新的流量样本加入，则移出移动度队列头部的流量样本，将新的流量样本加入在移动队列尾部；轻度异常告警的流量样本能够作为正常流量样本加入移动队列；中度异常告警的流量样本需要根据告警处理反馈结果决定是否能够作为正常流量样本加入移动队列；重度异常告警的流量样本禁止作为正常流量样本加入样本池。