1.基于大规模网络流的多路学习入侵检测方法，其特征是，包括步骤如下：步骤1、收集网络攻击数据集，并根据网络协议类型将收集到的网络攻击数据集划分为

3个协议子数据集，即TCP协议子数据集、UDP协议子数据集和Other协议子数据集；

步骤2、分别对3个协议子数据集进行数据预处理，得到3个预处理后的协议子数据集；

步骤3、对于每个预处理后的协议子数据集：先使用K‑means聚类算法进行聚类，将每个预处理后的协议子数据集聚类；再使用同质性度量计算每个特征的特征得分；后将特征得分与预设的得分阈值进行比较，保留特征得分大于得分阈值的特征，由此得到特征选择后的协议子数据集；

步骤4、利用3个特征选择后的协议子数据集对3个深度神经网络进行训练，得到3个深度神经网络模型，即TCP深度神经网络模型、UDP深度神经网络模型和Other深度神经网络模型；

步骤5、根据网络协议类型对实时采集到的网络流量数据进行分类，确定该网络流量数据的协议类型；

步骤6、对网络流量数据进行数据预处理，得到预处理后的网络流量数据；

步骤7、先将预处理后的网络流量数据送入到sigmoid分类器进行二分类，将其划分为正常流量和异常流量两种；再将属于异常流量的预处理后的网络流量送入到对应协议类型的深度神经网络模型中，由此确定该网络流量数据所属的攻击类型。

2.根据权利要求1所述的基于大规模网络流的多路学习入侵检测方法，其特征是，步骤

2和6中，对协议子数据集和网络流量数据进行数据预处理包括数值化和归一化。

3.根据权利要求1所述的基于大规模网络流的多路学习入侵检测方法，其特征是，步骤

3中，特征得分h为：

其中，|k|为特征k的数量，|C|为聚类C的数量，nC,k为聚类C条件下特征k的网络攻击数据的数量，nC为属于聚类C的网络攻击数据的数量，nk为属于特征k的网络攻击数据的数量，n为总的网络攻击数据的数量。