【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种基于多视图特征融合的恶意加密流量检测方法及系统。
技术介绍
1、在当今的网络环境中,安全套接字层(ssl)/传输安全层(tls)等加密协议的广泛应用显著增强了数据传输的安全性,从而在保护用户隐私和数据安全方面发挥着关键作用。然而,随之而来的是加密流量作为一种双刃剑,它在保护合法用户的同时,也为恶意行为者提供了掩护。攻击者可利用加密流量来遮蔽其恶意活动,规避传统的安全监控机制,如入侵检测系统(ids)和入侵防御系统(ips)。特别是在高级持续性威胁(apt)和复杂的网络攻击场景中,加密技术被用于掩盖数据渗透、恶意软件传播及其他网络犯罪活动。加密流量的这种隐蔽性,不仅使得安全监控变得复杂,而且提升了检测和预防恶意活动的难度。
2、尽管传统的深度包检测(dpi)技术在网络安全领域有着广泛的应用,但面对加密流量,这些技术显示出明显的局限性。当前,基于机器学习的方法试图从加密协议如ssl/tls的握手阶段提取明文特征,或通过分析流量的统计学特征来识别潜在威胁。然而,这些方法面临诸多挑战,如从加密通信中提取有效特征的困难,以及对专家知识的高度依赖性。此外,仅依靠单一数据源或特征集的方法往往缺乏必要的全面性,难以适应日益复杂和变化的网络威胁环境。
3、近年来,深度学习技术在恶意加密流量的检测方面显示出潜力,其优势在于能够从大量数据中自动提取和学习复杂特征。研究者们已经探索了多种基于深度学习的方法,如递归神经网络(rnn)、卷积神经网络(cnn)和自编码器等,以学习网络流量的特征表示。
技术实现思路
1、专利技术目的:本专利技术的目的是提供一种基于多视图特征融合的恶意加密流量检测方法及系统,至少部分地解决
技术介绍
中的问题。
2、技术方案:第一方面,一种基于多视图特征融合的恶意加密流量检测方法,包括以下步骤:
3、获取并预处理待检测网络流量数据,从v个不同视图提取序列特征xv,利用神经网络fv将每个视图的特征转换为统一维度的特征向量yv;
4、计算不同视图的特征向量yv之间的互相关矩阵cv,通过压缩网络φ将cv从嵌入空间投影到获得交叉视图信息,其中d为矩阵维度,并分别与原始特征向量yv拼接形成单视图综合表示υv;
5、将拼接cv后的不同视图下的单视图综合表示υv组装成多通道的三维矩阵x,输入到多层感知器mlps网络中,自适应地整合不同视图信息,形成多视图综合特征表示y;
6、将多视图综合特征表示y输入到全连接层和softmax函数中,计算待检测网络流量属于各类别的概率,实现恶意加密流量的检测。
7、优选地,获取并预处理待检测网络流量数据,从v个不同视图提取序列特征xv,利用神经网络fv将每个视图的特征转换为统一维度的特征向量yv包括:
8、对于获取的网络流量按照五元组{源地址、源端口、目的地址、目的端口、协议}进行流重组,并标记数据包的传输方向后,截取前m个数据包的序列,并在此基础上提取前n字节原始负载;
9、为每个五元组流样本x构建多视图序列特征集,包括到达间隔序列特征x1、原始负载序列特征x2、数据包长度序列特征x3和内容类型序列特征x4;
10、定义一组神经网络其中每个fv是第v视图的特征提取网络,目的是将多视图特征转换到统一的维度空间:
11、yv=fv(xv)
12、其中,表示转换后的特征向量,每个视图的特征提取网络的参数都是独立并行学习的。
13、优选地,到达间隔序列特征提取包括:计算每个数据包到达的时间间隔,并使用滑动窗口win分割成段,将间隔时间表示为二元组x1={vs,vt},其中vs表示段号,vt表示当前数据包到段中第一个数据包的间隔时间,对其进行词嵌入,即通过参数矩阵将转换为高维向量其中w为矩阵大小,d为矩阵维度,将嵌入后的vs和vt按位相加并计算均值获得
14、优选地,原始负载序列特征提取包括:将传输层安全协议tls原始负载分割为两字节块,并对这些块使用1-gram字典进行编码,形成负载特征向量,通过词嵌入操作将离散输入序列转换为高维向量
15、优选地,数据包长度序列特征提取包括:测量并记录每个数据包的长度,使用正负号表示数据包的传输方向,对数据包长度进行1-gram字典编码并进行词嵌入操作,将原始长度数据转换为高维向量
16、优选地,内容类型序列特征提取包括:提取tls头中的内容类型标志,使用正负号表示传输方向,利用1-gram字典进行重新编码并执行嵌入操作,将原始内容类型数据转换为高维向量
17、优选地,计算不同视图的特征向量yv之间的互相关矩阵cv,通过压缩网络φ将cv从嵌入空间投影到获得交叉视图信息,并分别与原始特征向量yv拼接形成单视图综合表示γv包括:
18、分别计算不同视图的特征向量yv之间的互相关矩阵cv,获取每个视图的潜在的交叉视图信息:其中,表示互相关矩阵,t表示转置,表示是从1到v中选取的除了v之外的视图;
19、通过压缩网络φ将cv从嵌入空间投影到其中,压缩网络φ中的是在所有v视图中学习并共享的参数;
20、将压缩获得的y′v与原始特征向量yv进行拼接,形成每一个视图的最终的特征表示γv:υv=[yv|y′v],其中,|是拼接操作。
21、优选地,将拼接cv后的不同视图的单视图综合特征表示υv组装成多通道的三维矩阵x,输入到多层感知器网络中,自适应地整合不同视图信息,形成多视图综合特征表示y包括:
22、将所有视图的特征矩阵υv拼接,形成多通道的三维矩阵x,具体表示为:x=[υ1|υ2|…|υv];
23、将三维矩阵x输入到由全连接层和激活函数构成的mlps网络中,该网络通过以下操作自适应捕获不同视图间的内在关系:
24、
25、
26、其中,ln表示层归一化操作,表示全连接层,σ表示逐元素的非线性操作;
27、u和z是mlps网络中的中间表示,再对z应用特征提取操作,最终形成一个多视图综合特征表示y。
28、优选地,将多视图综合特征表示y输入到全连接层和本文档来自技高网...
【技术保护点】
1.一种基于多视图特征融合的恶意加密流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,获取并预处理待检测网络流量数据,从V个不同视图提取序列特征xv,利用神经网络fv将每个视图的特征转换为统一维度的特征向量yv包括:
3.根据权利要求2所述的方法,其特征在于,到达间隔序列特征提取包括:计算每个数据包到达的时间间隔,并使用滑动窗口win分割成段,将间隔时间表示为二元组x1={vs,vt},其中vs表示段号,vt表示当前数据包到段中第一个数据包的间隔时间,对其进行词嵌入,即通过参数矩阵将转换为高维向量其中w为矩阵大小,d为矩阵维度,将嵌入后的vs和vt按位相加并计算均值获得
4.根据权利要求1所述的方法,其特征在于,计算不同视图的特征向量yv之间的互相关矩阵Cv,通过压缩网络φ将Cv从嵌入空间投影到获得交叉视图信息,并分别与原始特征向量yv拼接形成单视图综合表示Υv包括:
5.根据权利要求1所述的方法,其特征在于,将拼接Cv后的不同视图的单视图综合特征表示Υv组装成多通道的三维矩阵X,输入到多层感知器网
6.根据权利要求1所述的方法,其特征在于,将多视图综合特征表示Y输入到全连接层和Softmax函数中,计算待检测网络流量属于各类别的概率,实现恶意加密流量的检测包括:
7.根据权利要求6所述的方法,其特征在于,预测给定样本x属于类别i的概率为:
8.一种基于多视图特征融合的恶意加密流量检测系统,其特征在于,包括:
9.一种计算机设备,其特征在于,包括:
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的基于多视图特征融合的恶意加密流量检测方法的步骤。
...【技术特征摘要】
1.一种基于多视图特征融合的恶意加密流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,获取并预处理待检测网络流量数据,从v个不同视图提取序列特征xv,利用神经网络fv将每个视图的特征转换为统一维度的特征向量yv包括:
3.根据权利要求2所述的方法,其特征在于,到达间隔序列特征提取包括:计算每个数据包到达的时间间隔,并使用滑动窗口win分割成段,将间隔时间表示为二元组x1={vs,vt},其中vs表示段号,vt表示当前数据包到段中第一个数据包的间隔时间,对其进行词嵌入,即通过参数矩阵将转换为高维向量其中w为矩阵大小,d为矩阵维度,将嵌入后的vs和vt按位相加并计算均值获得
4.根据权利要求1所述的方法,其特征在于,计算不同视图的特征向量yv之间的互相关矩阵cv,通过压缩网络φ将cv从嵌入空间投影到获得交叉视图信息,并分别与原始特征向量yv拼接形成...
【专利技术属性】
技术研发人员:沈伍强,王业超,崔磊,钱正浩,周纯,龙震岳,李如雄,裴求根,唐亮亮,梁哲恒,沈桂泉,姚潮生,张金波,张小陆,伍江瑶,许明杰,杨春松,
申请(专利权)人:广东电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。