CN112929380B - 结合元学习与时空特征融合的木马通信检测方法及系统 - Google Patents

结合元学习与时空特征融合的木马通信检测方法及系统 Download PDF

Info

Publication number
CN112929380B
CN112929380B CN202110198784.3A CN202110198784A CN112929380B CN 112929380 B CN112929380 B CN 112929380B CN 202110198784 A CN202110198784 A CN 202110198784A CN 112929380 B CN112929380 B CN 112929380B
Authority
CN
China
Prior art keywords
category
meta
network
sample
vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110198784.3A
Other languages
English (en)
Other versions
CN112929380A (zh
Inventor
姜政伟
贾梓健
姚叶鹏
汪秋云
任房利
刘宝旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202110198784.3A priority Critical patent/CN112929380B/zh
Publication of CN112929380A publication Critical patent/CN112929380A/zh
Application granted granted Critical
Publication of CN112929380B publication Critical patent/CN112929380B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Abstract

本发明公开了一种结合元学习与时空特征融合的木马通信检测方法及系统。本方法为:1)构建一元学习网络,将木马流量样本输入元学习网络的嵌入部分,得到样本的特征向量;2)挑选出C个类别,并为每个类别挑选出K个样本并划分为支持集和查询集;3)元学习网络的关系网络将每个元任务对应的支持集中的同一类别样本融合为一条向量,将该条向量作为对应类别的代表向量;4)将每个类别的代表向量与查询集中该类别每一特征向量依次成对输入两个全连接层,得到关系得分,然后根据该关系得分计算损失值,迭代优化元学习网络;5)对于一待识别的流量数据,将其输入训练后的所述元学习网络,根据所得关系得分确定该流量数据对应的类别。

Description

结合元学习与时空特征融合的木马通信检测方法及系统
技术领域
本发明主要涉及网络空间安全领域、流量检测领域和人工智能领域,具体为一种结合元 学习与时空特征融合的小样本木马通信检测方法及系统。
背景技术
随着互联网的发展,网络攻击数量日益增多,多数攻击者以投放木马程序作为攻击手段。 木马程序具有高潜伏性,高危害性,高隐蔽性的特点,黑客通过系统漏洞,社会工程学等手 段向被害者主机内投放木马程序控制主机,从而进行监控用户行为,窃取敏感信息,占用主 机挖矿等破坏性活动。由于木马程序的严重危害性,木马的检测与分类问题一直是当前工业 和学术界上研究的热点。检测与识别攻击者与受害主机之间的通信流量是判断主机中是否存 在木马的一个重要方法,目前多采用基于特征工程的机器学习方法或深度学习方法,这些方 法都需要大量的已标注数据集作为训练集,在获取方式上需要耗费大量时间进行标注工作。 目前主流的木马程序常以变种的形式规避检测,防御方在短时间内无法获取到足够多的新型 木马通信流量样本,导致深度学习训练集出现不平衡的情况,进而造成模型训练的过拟合问 题,这种问题使得模型对于新型或变种木马通信流量的检测率下降。所以本发明旨在引入元 学习的方法,使深度学习模型在小样本情况下规避过拟合的问题。
元学习在小样本情况下进行模型训练的方法近年多应用在计算机视觉和自然语言处理中 对图片和语义的识别。普通的深度学习方法面对单一的学习任务,通过学习大量的数据建立 模型。元学习则面对多个任务进行学习,通过大量的任务让模型学会学习。当某个类别只包 含少量训练样本时,将少量的数据添加到新的任务中,模型可以根据获得的先验知识在新的 任务上快速学习。
元学习中任务的分配可以概括为C-way K-shot问题。从整体的数据集出发,任务每次从 数据集中挑选C个类别,每个类别挑选K个样本(K一般不超过20),构建一个元任务数据 集,元任务以此为基础再划分出支持集和查询集。模型的目的是在每轮任务中学会区分这C 个类别。元学习方法通过多轮任务的迭代逐渐学会在任务的层次上完成分类任务。目前深度 学习模型多为在单一任务上使用大量数据从零开始训练检测模型,并没有与元学习结合的相 关技术。
发明内容
本发明的目的是提供结合元学习与时空特征融合的小样本木马通信检测方法及系统,模 型可以利用多种类的木马样本流量,按照任务进行训练和优化。面对新种类的木马通信流量, 仅使用少量样本即可完成模型训练,进行木马通信流量的检测与分类。
为达到上述目的,本发明采取如下技术方案:
结合元学习与时空特征融合的小样本木马通信检测方法,包括以下步骤:
步骤1:分析原始数据中的内容,筛选包含有效载荷的双向TCP流,保留并转化为可输 入神经网络的定长样本。
步骤2:构建元学习网络的嵌入部分,首先构建包含14个残差块的残差神经网络从样本 的空间上提取流量特征,在大量数据学习的前提下,实验的结果显示更深入的网络对实验结 果过的提升并不是很明显了,故采用设计的14个残差块作为残差网络部分。每个残差块包含 两层卷积神经网络,如图3所示跃层连接。整体包含4个部分,第一部分包含第1残差块, 第二部分包含第2~5残差块,第三部分包含第6~11残差块,第四部分包含第12~14残差块。 残差块之间依次相连,上一个残差块的输出作为下一个残差块的输入,构建起整体的残差网 络。每一部分残差块的卷积核大小相同,包含数量不同。他们的作用都是不断地抽象并提取 原始流量中的空间信息。
残差神经网络最后会生成512个特征图。之后输入一个包含128个节点的全连接层,改 成输出的标量信息将输入到一个双向LSTM网络,该网络用于对之前抽象化后的特征继续运 算,用于提取样本的数值特征,形成一个128维的数值向量作为样本的特征向量。
步骤3:按照C-way K-shot的形式构建元任务,从生成好的样本向量中挑选出C个类别, 每个类别挑选出K个样本特征向量,形成一个元任务中要使用的数据,并将这C*K个样本特 征向量进行随机均分,一半化为支持集(包含C个类别,每个类别包含K/2个样本特征向量), 一半化为查询集(包含C个类别,每个类别包含K/2个样本特征向量)。将每个元任务支持 集中每个类别的样本特征向量使用动态路由算法融合为1条向量,将这条向量作为对应类别 的代表向量。将每个类别的代表向量与查询集中该类别对应的所有样本特征向量依次成对输 入两个全连接层。例如查询集的类别A包含不同样本的特征向量A1、A2、A3等,支持集中所 有类别的代表向量可以与查询集中类别A的所有的样本向量(A1、A2、A3等)分别成对输入 全连接层计算关系得分。查询集中的每个样本向量与支持集中的所有代表向量都会有一个得 分,根据这个得分可以判断样本向量与哪个代表向量更接近,从而判断该样本向量属于这个 类别。在训练时该得分用于计算损失值,帮助模型使用反向传播算法迭代优化。在验证时, 样本与类别的得分越高,证明样本与该类别越相似,进而实现分类效果。
使用过程包含训练和验证两个步骤:
训练部分按照上述的技术方案建立网络模型训练,在每个元任务上使用均方误差计算元 任务的损失值帮助模型进行迭代优化,损失函数如下所示。其中L代表每轮训练的损失值, C代表选择的C个类别,K代表选择的K个样本,r代表关系得分,y代表标签值,其中yi代 表该类别表示的标签,yj表示该样本通过模型得分判断出的标签值。
Figure BDA0002947285690000031
在训练得到分类模型之后,在验证部分构建木马通信流量的不平衡数据集,将某一类别 的木马通信流量样本数量进行缩减,使之远小于其他类别的样本数量,将所有类别的木马样 本包含在一起制作数据集并进行元任务的划分,以完成模型训练。之后对该类的大量样本进 行检测以达到验证模型的目的。
对于一待识别的流量数据,将其输入训练后的所述元学习网络;利用所述元学习网络的 嵌入部分生成该流量数据的特征向量并输入到所述元学习网络的关系网络中,得到该流量数 据的特征向量与各类别代表向量的关系得分;然后根据关系得分确定该流量数据对应的类别。
进一步地,对原始流量进行处理的方法包括,只选取包含有效载荷的双向TCP流,对这 种流数据包中的载荷进行截取作为木马流量样本。
进一步地,残差神经网络中均包含批量正则化层,残差神经网络和双向LSTM之间使用 一个全连接层作为过渡。
进一步地,在元任务的支持集中,每个类别需要将包含的样本进行融合操作,使用胶囊 网络中的动态路由算法代替传统关系网络中的叠加方法。
进一步地,训练时使用元任务的损失值作为每一轮训练的损失值,损失值在元任务层面 上计算,使用均方误差的方法作为元任务的损失函数,使用反向传播算法迭代优化元学习的 嵌入部分与关系部分。
进一步地,在验证环节,从已知的类别中每个类别选取K个样本,由于是验证环节,直 接将待验证的样本作为查询集,类别中选取的样本作为支持集。使用元学习网络对待分类的 每个样本与从已知类别挑选出的样本进行关系得分计算,得分越高,代表待测样本与该类别 更加相似,从而完成样本的分类。
结合元学习与时空特征融合的小样本木马通信检测系统,包括:
数据预处理模块,用于对原始流量包(pcap文件)进行处理,提取双向TCP流作为模型的 训练与检测样本,对样本内容进行筛选与过滤,保留包含有效载荷的样本并对有效载荷进行 提取,将载荷作为数据集中的样本,制作元学习网络模型的输入部分。
嵌入模块,使用残差神经网络与双向LSTM网络相结合的方式对数据预处理模块产生的 原始样本数据进行特征提取,将原始的TCP流转化为可以进行数值计算的空间向量。
关联模块,使用关系网络对元任务内支持集包含的划分出的样本向量进行融合,融合后 向量作为元任务中类别的代表向量。将这个融合向量与查询集中每个样本的向量进行关系得 分计算,使用每个得分来计算整体元任务的损失值,用于模型的迭代优化。在验证环节使用 得分判断待测样本的类别。
本发明和现有技术相比有如下优势:
目前,深度学习模型在单一类别样本过少的不平衡数据集上常出现过拟合问题。本发明 相较于传统的深度学习方法,使用近年迅速发展的基于度量的元学习方法作为基础。在元学 习的嵌入部分采用残差网络与双向LSTM结合的方法,对原始流量从空间和时间上进行特征 提取,该方法在大量数据集上的识别效果优于单一网络模型的效果。在关联部分,对元任务 中支持集上多样本的融合过程进行改进,与传统的叠加方法不同,本发明引入胶囊网络中的 动态路由算法使特征向量自下向上融合,此方法可以更好地计算类别的代表向量,用于优化 关系得分的计算部分。本发明在不平衡样本数据集上的检测效果优于一般的深度学习方法, 可以在小样本情况下有效的提高木马流量分类的准确率,减少大量的人工分析与标注工作。
附图说明
图1是基于元学习的整体流程部分;
图2是基于残差神经网络与双向LSTM网络结合的特征嵌入部分;
图3是残差网络的表示部分;
图4是元学习的学习模式。
具体实施方式
本发明提出的结合元学习与时空特征融合的小样本木马通信检测方法,将残差神经网络 与双向LSTM网络进行结合作为特征嵌入部分,将关系网络作为关联部分(关系网络参考文 献:Sung F,Yang Y,Zhang L,et al.Learning to compare:Relation networkfor few-shot learning[C].Proceedings of the IEEE Conference on ComputerVision and Pattern Recognition. 2018:1199-1208.),实现整体的元学习模型。整体的系统包含3个模块:数据预处理模块、特 征嵌入模块、关联模块。步骤包括:
步骤1:数据预处理模块对原始流量包(pcap文件)进行预处理。系统的整体输入为原始流 量包,对其中的双向TCP流进行提取与筛选,作为样本构建多类别数据集。之后将双向TCP 流中的有效载荷按照一定的长度进行截取,目的是制作神经网络模型的固定输入。
步骤2:利用特征嵌入模块对原始的流量样本进行特征提取工作。特征嵌入模块将每一 个原始流量样本转化为一特征向量,该模块使用残差神经网络与双向LSTM网络相结合的方 法实现。目的是从空间上和时间上对原始的流量提取特征。
步骤3:使用关联模块计算每个元任务上支持集中融合好的类别向量与查询集中每个样 本之间的关系得分。训练时网络模型根据每个类别与样本间的得分计算损失值进行迭代优化。 目的是让元学习网络在多任务形式中学会如何比较类别与样本之间的差异性。验证时模型可 以根据关系得分判断样本属于哪个类别。
对于一待识别的流量数据,将其输入训练后的元学习网络;利用嵌入部分生成该流量数 据的特征向量并输入到关系网络中,得到该流量数据的特征向量与各类别代表向量的关系得 分;然后根据关系得分确定该流量数据对应的类别。
优选地,对于步骤1,输入为原始流量包(pcap文件),需要对pcap文件中包含的双向TCP 流进行内容分析,将原始的木马通信流量转化为二维矩阵,作为神经网络可以接受的定长数 据模式。
优选地,对于步骤2,元学习的特征嵌入部分由残差神经网络,全连接层以及双向LSTM 网络组合构建。步骤一中得到的二维矩阵作为残差神经网络的输入。残差神经网络是一种对 普通卷积神经网络的改进方法,通过将普通卷积神经网络改写为残差块方式,可以在加深网 络结构的同时不引起神经网络衰退问题。卷积神经网络从空间上提取原始流量特征,生成多 张特征图。之后将多个特征图输入全连接层进行特征的空间转化,再输入一个双向LSTM神 经网络,从时间性质上提取特征,最终生成该样本的数值向量。这些向量作为元学习中元任 务分配的基础。
优选地,对于步骤3,进行元任务的分配工作,在步骤2生成的特征向量中进行挑选, 每个元任务中包含支持集和查询集。使用胶囊网络中动态路由算法对支持集中的向量进行融 合操作,这种方法比传统的叠加效果更加显著,使得支持集中每个类别最终都包含一个可以 代替整个类别的融合向量,将这个向量与查询集中每个样本一起输入两个全连接层,用于计 算两者间的关系得分,代表样本与不同类别之间的差异性。网络模型的目的是在多任务的泛 化中学会计算差异性。由于元学习与普通深度学习的训练模式不同,损失函数的选择也会不 同。
下面结合附图对本发明的优选实例进行详细阐述。
如图1所示是本发明训练与测试的整体流程。首先是特征嵌入部分,该部分输入原始流 量包(pcap文件)。提取文件中所有的双向TCP流,根据长度等信息清洗无用的TCP流。由于 项目的原始数据在本地的虚拟环境中生成,因此包头的五元组等信息会对模型训练产生干扰, 选取样本时将不再保留这部分信息,只保留有效载荷部分。神经网络的输入是固定的输入模 式,将有效载荷部分按照784个字节长度进行截取,若长度不够则在末尾填0补全。将这部 分载荷转化为一个28x28的二维矩阵,以灰度图的形式进行保存,作为整体模型的数据集。
如图2所示是本发明中元学习特征嵌入部分对样本进行特征向量转化的过程。将上一步 得到的灰度图输入残差神经网络,在空间上提取特征。残差神经网络中残差块的构建模式如 图3所示,这是一种跃层的卷积神经网络,可以让网络在加深的同时不至于出现衰退的情况。 该部分一共包含4个部分14个残差块,每个残差块由两个卷积层改写,具体构建方法如下:
第一部分:包含1个残差块,残差块中的每层卷积神经网络包含128个3x3的卷积核, 卷积核步长为1,作用为提取样本的空间特征,输出形成的特征图,并作为下一部分的输入。
第二部分:包含4个残差块,残差块中的每层卷积神经网络包含128个3x3的卷积核, 卷积核步长为2,用于提取输入数据的空间特征,形成特征图输出,并作为下一部分的输入。
第三部分:包含6个残差块,残差块中的每层卷积神经网络包含256个3x3的卷积核, 卷积核步长为2,用于提取输入数据的空间特征,形成特征图输出,并作为下一部分的输入。
第四部分:包含3个残差块,残差块中的每层卷积神经网络包含512个3x3的卷积核, 卷积核步长为2,用于提取输入数据的空间特征,形成特征图输出,并作为下一部分的输入。
所有卷积层均使用RELU作为激活函数,包含批量正则化层。模型输出512个特征图, 将所有的特征图输入平均池化层后再输入全连接层作为过渡。之后输入双向LSTM网络,用 于在时间上从上述所得空间特征中提取特征,最终输出一个128维的样本特征向量。
如图4所示为元学习的训练模式,元学习在训练集和测试集中以元任务作为训练单位。 在元任务的分配上按照C-way K-shot形式从数据集中随机进行挑选,挑选之后在每个元任务 上划分支持集和查询集。本发明采用基于度量的元学习方法,当支持集中某一类别的样本数 量超过1时,对该类别所有的样本进行融合。模型使用胶囊网络中的动态路由算法代替传统 的叠加方法。这种算法对于向量的计算效果显著,因为这种算法使用向量的点积方式迭代更 新参数,向量的方向相同时点积增大,反之亦然。神经元可以充分的保留向量的方向等信息, 模型采用3次迭代完成支持集的向量融合。检测效果优于传统的叠加方式。
融合操作使得支持集中的每个类别都可以得到一个代表整体类别的空间向量,类似于聚 类算法的中心值。将这个类别向量(即代表向量)与查询集中的每个样本的特征向量成对输 入两个全连接层,使得神经网络学会计算两者之间的关系得分,目标函数如下所示:
Figure BDA0002947285690000061
公式中角标i和j表示两个类别i和j,其中rij表示元学习网络在每个元任务上类别i的样 本与类别j的样本之间的关系得分,该得分的用于判断样本所属类别,是一个通过目标函数
Figure BDA0002947285690000071
计算出的固定值。
Figure BDA0002947285690000072
表示神经网络在元任务上训练得出的目标函数,用于计算不同类别样本 之间的关系得分。S表示待比较的两个特征向量的级联关系。xi和xj表示数据集中包含的原始 流量样本,yi代表样本的类别标签,yj表示样本通过元学习网络判断出的标签值,
Figure BDA0002947285690000073
表示元 学习网络的特征嵌入部分,用于将原始流量转化为可用于计算的特征向量。由于模型在多任 务上进行迭代优化,固采用均方误差作为元任务的损失函数,模型根据元任务损失值进行迭 代优化。图1中包括模型训练后的检测环节,该环节中将待检测的木马样本流量与其他类别 随机挑选的样本组合为元任务输入元学习模型,模型通过计算关系得分判断待检测流量样本 所属的木马类别。
为证明本方法在小样本情况下对木马通信流量的检测能力,实验中基于CTU13项目构建 了一个木马通信流量数据集。这是捷克理工大学Stratosphere Lab提出的僵尸网络木马通信分 析项目,项目中包含多种木马产生的通信流量,包括通信原始数据包以及网络日志等相关信 息。从中挑选出10种类别的木马通信原始流量包(pcap文件),分析了数据中的内容,在此基 础上筛选出所有的双向TCP流。表1中展示了挑选的木马种类,数据包大小以及提取出的包 含有效载荷的样本数量。
表1 CTU13数据集
Figure BDA0002947285690000074
整体实验以此为基础进行,为了验证数据集不平衡时模型的检测能力,将其中1种类别 的木马通信样本数量缩小为原来的0.25%,将这部分数据与其他种类的木马通信流量作为模 型的训练集和测试集。该类别剩下的样本作为识别验证集。
实验将构建好的数据集按照7:3划分为训练集和测试集,在训练集和测试集上分别划分训 练任务和测试任务。在任务划分上,每个元任务从训练集中随机选取C个类别的木马通信流 量,每个类别选取2K个样本,K个样本作为元任务的支持集,K个样本作为查询集,其中C 和K均可以自己设定。将所有的样本输入特征嵌入模块,特征嵌入模块将每个原始的流量样 本转化为128维的空间向量,该空间向量作为样本的特征向量。之后使用动态路由算法将支 持集中的空间向量自底向上进行融合,得到类别的代表向量,把类别向量和每个样本的向量 成对输入两个全连接层,得到关系得分,根据均方误差得到的损失值迭代优化模型,完成训 练。训练结束后使用先前不平衡的木马类别流量进行验证。
验证部分使用传统的深度学习方法进行比较,搭建了普通卷积神经网络,双向LSTM网 络,残差神经网络以及相关的结合应用等。在小样本情况下,这些深度学习方法都出现了过 拟合问题,而元学习方法在相同情况下,与其中分类效果最好的模型相比,检测精确率提升 了10%左右。实验证明将元学习方法应用在木马通信流量的检测分类上是可行的,在小样本 情况下,模型的检测精确率优于一般的深度学习方法。
本发明提出结合元学习与时空特征融合的小样本木马通信检测方法及系统。在元学习的 特征嵌入部分,使用残差神经网络结合双向LSTM网络的方法提取原始流量中的特征,使用 动态路由算法改进关系网络中的向量融合部分。模型在多个任务中学习如何比较样本与类别 之间的关系,从而解决使用深度学习方法进行木马通信流量检测中因数据集不平衡而出现的 过拟合问题。本发明在样本充足的环境下依然适用。
以上所述仅是本发明的一种优选方案,应当指出,对于本技术领域的普通人员来说,在 不脱离本发明的原理前提下,还可以做出若干修饰和润色,在不脱离本发明的精神和范围内, 各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例和附图所公开的内 容,本发明的保护范围以权利要求书界定的范围为准。

Claims (9)

1.一种结合元学习与时空特征融合的木马通信检测方法,其步骤包括:
1)选取或生成一样本集合,其包括多个木马流量样本;构建一元学习网络,包括嵌入部分和关系网络;其中所述嵌入部分包含残差神经网络、全连接层和双向LSTM网络;
2)将所述木马流量样本输入所述嵌入部分,所述残差神经网络从空间上提取木马流量样本的流量特征并输入所述全连接层,所述全连接层将所述残差神经网络输出的特征转换为标量信息并输入所述双向LSTM网络,从时间上提取木马流量样本的数值特征作为对应木马流量样本的特征向量;
3)挑选出C个类别,并为每个类别挑选出K个样本特征向量;然后将所选C*K个样本特征向量进行随机均分,得到一支持集和一查询集;其中支持集包含C个类别的样本特征向量,每个类别包含若干个样本特征向量;查询集包含C个类别的样本特征向量,每个类别包含若干个样本特征向量;
4)所述关系网络将每个元任务对应的支持集中同一类别的样本特征向量融合为一条向量,将该条向量作为该元任务对应类别的代表向量;
5)将每个类别的代表向量与查询集中该类别的每一特征向量依次成对输入两个全连接层,得到该查询集中每一特征向量与对应类别的代表向量之间的关系得分,然后根据该关系得分计算损失值,迭代步骤3~5)优化所述元学习网络;
6)对于一待识别的流量数据,将其输入训练后的所述元学习网络;利用所述元学习网络的嵌入部分生成该流量数据的特征向量并输入到所述元学习网络的关系网络中,得到该流量数据的特征向量与各类别代表向量的关系得分;然后根据关系得分确定该流量数据对应的类别。
2.如权利要求1所述的方法,其特征在于,所述残差神经网络包括14个残差块,每个所述残差块包含两层卷积神经网络,各所述残差块之间依次相连,上一个残差块的输出作为下一个残差块的输入。
3.如权利要求2所述的方法,其特征在于,所述残差神经网络中的残差块分为四个部分,第一部分包含第一残差块,第二部分包含第二~五残差块,第三部分包含第六~十一残差块,第四部分包含第十二~十四残差块;同一部分残差块的卷积核大小相同。
4.如权利要求1所述的方法,其特征在于,使用动态路由算法将每个元任务对应的支持集中的同一样本特征向量融合为一条向量。
5.如权利要求1所述的方法,其特征在于,所述损失函数为
Figure FDA0003456501590000011
Figure FDA0003456501590000012
其中,L代表损失值,rij代表类别i的样本与类别j的样本之间的关系得分,yi代表样本的类别标签,yj表示样本通过元学习网络判断出的标签值。
6.如权利要求1或5所述的方法,其特征在于,关系得分
Figure FDA0003456501590000021
其中,
Figure FDA0003456501590000022
表示所述关系网络在元任务上训练得出的目标函数,用于计算关系得分,S表示待比较的两个特征向量的级联关系,xi为类别为i的样本,xj表示类别为j的样本,
Figure FDA0003456501590000023
表示所述嵌入部分,用于生成样本的特征向量。
7.如权利要求1所述的方法,其特征在于,生成所述样本集合的方法为:获取包含载荷数据的双向TCP流,并提取其中的载荷数据作为可输入神经网络的木马流量样本;然后对其中一类别的木马流量样本数量进行缩减,使之远小于其他类别的木马流量样本数量。
8.一种结合元学习与时空特征融合的木马通信检测系统,其特征在于,包括元学习网络,所述元学习网络包括嵌入部分和关系网络;其中
所述嵌入部分包含残差神经网络、全连接层和双向LSTM网络;所述残差神经网络用于从空间上提取输入数据的流量特征并输入所述全连接层,所述全连接层用于将所述残差神经网络输出的特征转换为标量信息并输入所述双向LSTM网络,从时间上提取数据的数值特征作为对应数据的特征向量并输入所述关系网络;
所述关系网络,用于根据输入的特征向量,计算该特征向量对应流量数据与各类别的关系得分;然后根据关系得分确定该流量数据对应的类别;
其中训练得到所述元学习网络的方法为:将一样本集合中的木马流量样本输入所述嵌入部分,所述残差神经网络从空间上提取木马流量样本的流量特征并输入所述全连接层,所述全连接层将所述残差神经网络输出的特征转换为标量信息并输入所述双向LSTM网络,从时间上提取木马流量样本的数值特征作为对应木马流量样本的特征向量;所述关系网络挑选出C个类别,并为每个类别挑选出K个样本特征向量;然后将所选C*K个样本特征向量进行随机均分,得到一支持集和一查询集;其中支持集包含C个类别的样本特征向量,每个类别包含若干个样本特征向量;查询集包含C个类别的样本特征向量,每个类别包含若干个样本特征向量;然后将每个元任务对应的支持集中同一类别的样本特征向量融合为一条向量,将该条向量作为该元任务对应类别的代表向量;将每个类别的代表向量与查询集中该类别的每一特征向量依次成对输入两个全连接层,得到该查询集中每一特征向量与对应类别的代表向量之间的关系得分,然后根据该关系得分计算损失值,迭代优化所述元学习网络。
9.如权利要求8所述的系统,其特征在于,还包括一数据预处理模块,用于选取或生成一样本集合,该样本集合包括多个木马流量样本。
CN202110198784.3A 2021-02-22 2021-02-22 结合元学习与时空特征融合的木马通信检测方法及系统 Active CN112929380B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110198784.3A CN112929380B (zh) 2021-02-22 2021-02-22 结合元学习与时空特征融合的木马通信检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110198784.3A CN112929380B (zh) 2021-02-22 2021-02-22 结合元学习与时空特征融合的木马通信检测方法及系统

Publications (2)

Publication Number Publication Date
CN112929380A CN112929380A (zh) 2021-06-08
CN112929380B true CN112929380B (zh) 2022-04-15

Family

ID=76170183

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110198784.3A Active CN112929380B (zh) 2021-02-22 2021-02-22 结合元学习与时空特征融合的木马通信检测方法及系统

Country Status (1)

Country Link
CN (1) CN112929380B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113642465B (zh) * 2021-08-13 2022-07-08 石家庄铁道大学 基于关系网络的轴承健康评估方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111985581A (zh) * 2020-09-09 2020-11-24 福州大学 一种基于样本级注意力网络的少样本学习方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109685780B (zh) * 2018-12-17 2021-05-11 河海大学 一种基于卷积神经网络的零售商品识别方法
US11741356B2 (en) * 2019-02-08 2023-08-29 Korea Advanced Institute Of Science & Technology Data processing apparatus by learning of neural network, data processing method by learning of neural network, and recording medium recording the data processing method
CN112016473B (zh) * 2020-08-31 2022-09-13 国网安徽省电力有限公司电力科学研究院 基于半监督学习和注意力机制的配电网高阻接地故障诊断方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111985581A (zh) * 2020-09-09 2020-11-24 福州大学 一种基于样本级注意力网络的少样本学习方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ConvProtoNet: Deep Prototype Induction towards Better Class Representation for Few-Shot Malware Classification;Zhijie Tang;《MDPI》;20200420;第1小节第1段,3.4小节 *
基于ResNet和双向LSTM融合的物联网入侵检测分类模型构建与优化研究;陈红松等;《湖南大学学报(自然科学版)》;20200825(第08期);第2小节,图7 *

Also Published As

Publication number Publication date
CN112929380A (zh) 2021-06-08

Similar Documents

Publication Publication Date Title
CN114615093B (zh) 基于流量重构与继承学习的匿名网络流量识别方法及装置
US10176364B2 (en) Media content enrichment using an adapted object detector
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN109104441A (zh) 一种基于深度学习的加密恶意流量的检测系统和方法
KR101967645B1 (ko) 퍼지로직과 딥러닝 통합 기반의 화재 감지 장치 및 방법
CN116647411B (zh) 游戏平台网络安全的监测预警方法
CN113806746B (zh) 基于改进cnn网络的恶意代码检测方法
CN112138403B (zh) 交互行为的识别方法和装置、存储介质及电子设备
US20220237917A1 (en) Video comparison method and apparatus, computer device, and storage medium
Alabadi et al. Anomaly detection for cyber-security based on convolution neural network: A survey
CN113343901A (zh) 基于多尺度注意力图卷积网络的人体行为识别方法
CN112906019A (zh) 基于改进dcgan模型的流量数据生成方法、装置及系统
CN117061322A (zh) 物联网流量池管理方法及系统
CN115659966A (zh) 基于动态异构图和多级注意力的谣言检测方法及系统
CN112929380B (zh) 结合元学习与时空特征融合的木马通信检测方法及系统
Zhao et al. A few-shot learning based approach to IoT traffic classification
CN112052816A (zh) 基于自适应图卷积对抗网络的人体行为预测方法及系统
CN112104602A (zh) 一种基于cnn迁移学习的网络入侵检测方法
CN104598898A (zh) 一种基于多任务拓扑学习的航拍图像快速识别系统及其快速识别方法
CN111091102B (zh) 一种视频分析装置、服务器、系统及保护身份隐私的方法
CN113723426A (zh) 基于深度多流神经网络的图像分类方法及装置
EP1480167A1 (en) Pattern feature selection method, classification method, judgment method, program, and device
Vijayalakshmi et al. Hybrid dual-channel convolution neural network (DCCNN) with spider monkey optimization (SMO) for cyber security threats detection in internet of things
Qu et al. An {Input-Agnostic} Hierarchical Deep Learning Framework for Traffic Fingerprinting
CN114358177B (zh) 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant