CN113194092B - 一种精准的恶意流量变种检测方法 - Google Patents

一种精准的恶意流量变种检测方法 Download PDF

Info

Publication number
CN113194092B
CN113194092B CN202110469814.XA CN202110469814A CN113194092B CN 113194092 B CN113194092 B CN 113194092B CN 202110469814 A CN202110469814 A CN 202110469814A CN 113194092 B CN113194092 B CN 113194092B
Authority
CN
China
Prior art keywords
feature
attention
domain
traffic
loss
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110469814.XA
Other languages
English (en)
Other versions
CN113194092A (zh
Inventor
胡晓艳
朱成
程光
吴桦
龚俭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202110469814.XA priority Critical patent/CN113194092B/zh
Publication of CN113194092A publication Critical patent/CN113194092A/zh
Application granted granted Critical
Publication of CN113194092B publication Critical patent/CN113194092B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种精准的恶意流量变种检测方法,具体步骤包括:将恶意流量及其变种进行图像处理后,通过预训练神经网络提取原始特征输入到通道注意力模块;将重新得到的带通道注意力的特征经过局部最大均值差异优化,缩短各子域的特征分布距离;将域适应后的特征输入到空间注意力模块以快速获得最具代表性特征的位置;输出预测标签,使用最大熵分类器优化预测标签与真实标签的差距,最后输出样本类别。本发明能够准确地识别恶意流量变种,并且在训练初期收敛速度更快,以更好的应对突发的恶意软件变种入侵;本发明在少量目标域数据的环境下仍然能准确识别恶意流量变种,进而收集少量恶意流量变种即可实现其检测。

Description

一种精准的恶意流量变种检测方法
技术领域
本发明属于网络空间安全技术领域,涉及一种精准的恶意流量变种检测方法。
背景技术
随着互联网时代的发展和网络攻击的多样化,网络入侵现象已成为常态。攻击者通常利用网络协议漏洞安装恶意软件,窃取网络用户的隐私数据。甚至发起DDoS攻击,占据网络资源从而使用户无法正常发起网络请求,造成大量网络资源被浪费。网络安全技术的更新也防御了一部分网络攻击,但是使用一些恶意软件变种逃避网络检测技术已逐渐成为一种新型攻击手段。因此为了维护网络空间的安全,如何对恶意流量变种进行高效和精确的识别逐渐成为热点问题。
与识别一般的恶意流量相比,恶意流量变种具有变化强、更新快、难以被检测等特点。恶意流量变种由网络攻击者使用更多的“变形技术”和“伪装技术”生成,虽然与原始的恶意流量有极高的相似性,但是使用传统的五元组方法去识别这些恶意流量变种,将导致识别准确率和速度大大降低。并且随着加密时代的来临,让传统的方法识别更为困难。
国内外近些年对恶意流量变种的快速精确识别主要表现在以统计机器学习、深度学习方法为主。这些研究方法围绕着如何从原始恶意流量及其变种中学习共有特征,以适应未知恶意流量变种的分类任务。这在计算机视觉领域被定义为领域适应问题,即原始恶意流量为源域,其变种类型为目标域。无论是使用机器学习算法还是深度学习算法去优化域适应模块,都能在一定程度上识别恶意流量变种。但现有的方法存在如下主要问题:(1)使用机器学习算法需要人工经验来选取特征,然后放入域适应模块中训练,这需要花费大量的时间;(2)大多基于深度学习的恶意流量变种检测模型并没有真正考虑源域和目标域中各子类的细粒度信息,只是进行全局特征对齐而忽略了子类间的识别性,容易混淆子域的区分界线。上述问题导致现有的方法无法准确、快速的识别变种恶意流量。
因此,为了实现快速准确的识别变种恶意流量,本发明将原始时序恶意流量生成RGB图片,通过预训练神经网络自动提取流量特征,最后基于深度子域适应网络和注意力机制进行快速子域对齐。
发明内容
为了加强对网络空间安全的监管,实现快速精确的识别恶意流量变种,本发明提出了一种精准的恶意流量变种检测模型DSAN-AT。针对可能存在的恶意流量变种,首先对其进行可视化RGB图片生成,通过预训练神经网络自动提取流量特征,最后使用基于深度子域适应网络和注意力机制进行快速子域对齐,将训练好的模型用于变种流量识别。
为了达到上述目的,本发明提供如下技术方案:
一种精准的恶意流量变种检测方法,包括如下步骤:
(1)在原始恶意流量中进行流量预处理工作,并生成用作基于注意力的深度子域适应神经网络DSAN-AT模型训练的RGB图像;
(2)将步骤(1)中得到的原始图像特征输入到通道注意力模块中提取带有通道注意力的特征;
(3)将步骤(2)中的特征输入到LMMD局部最大均值差异模块中进行子域适应;
(4)将步骤(3)中经过子域优化后的特征输入到空间注意力模块中提取带有空间注意力的特征;
(5)将上述步骤(4)得到的特征经过分类器优化后输出预测分类概率;
(6)重复步骤(2)~(5),训练合适的轮次后输出模型,识别恶意流量变种类别。
进一步,所述步骤(1)具体包括如下子步骤:
(1.1)将连续的原始恶意流量数据按照一定的细粒度分割成离散的单元;
(1.2)对于流量数据中存在的IP地址和MAC地址等信息可能对特征提取过程产生干扰,因此需要进行流量匿名化处理;
(1.3)将步骤(1.2)中的流量文件字节数大小修正为统一的784字节,如果超过则截取前784字节,不够字节数则向文件中填充0x00;
(1.4)将步骤(1.3)中规范化的流量文件生成28×28的RGB图像。
进一步的,所述步骤(1.1)中细粒度划分方式如下表所示:
进一步,所述步骤(2)具体包括如下子步骤:
(2.1)将步骤(1)中RGB图片分别提取源域和目标域的原始特征Xs,Xt,在预训练神经网络的第一层卷积分别生成源域和目标域的特征图Ms,Mt
(2.2)经过通道注意力模块提取带有通道注意力的特征图
进一步的,所述步骤(2.2)具体包括如下子步骤:
(2.2.1)为了有效计算通道注意力,需要对输入的特征图的各个通道进行平均池化特征和最大池化特征操作,其通道注意力提取函数如下:
其中x表示为源域或者目标域,F代表原始流量特征,σ代表sigmoid激活函数,代表平均池化特征,/>表示为最大池化特征,W1∈Rc/r×c,W0∈Rc×c/r
(2.2.2)将平均池化特征和最大池化特征转发到一个三层感知器中,以产生通道注意力图
(2.2.3)将产生的通道注意力图压缩为带有注意力的特征
进一步的,所述步骤(2.2.2)中,三层感知器作为共享网络,输出的特征向量使用Element-Wise求和进行合并。
进一步,所述步骤(3)具体包括如下子步骤:
(3.1)为了减少源域和目标域中各子类间的特征分布差异,由步骤(2)得到的源域和目标域特征需要进行局部最大均值差异(LMMD)优化操作;
(3.2)为了表述总体损失,需要同时优化分类器分类损失及域适应损失,其函数表述为如下:
其中J(.,.)表示为分类器分类损失,表示为域适应损失,p和q分别来自于源域Ds和Dt的特征分布,λ表示为分类损失和域适应损失间的权重参数,λ>0,l表示为LMMD函数激活特定激活层,ns表示源域中的样本总数,/>表示源域特征向量xs的生成函数,Ec表示特征分布的期望值。
进一步的,所述步骤(3.1)具体包括如下子步骤:
(3.1.1)将源域和目标域各子类映射到特征核k的再生核希尔伯特RKHS空间(RKHS)空间中;
(3.1.2)计算各子域间的特征分布距离,将其表示为LMMD损失函数如下:
其中p(c)、q(c)分别属于源域和目标域的样本分布,c代表子类类别,表示将源域特征向量映射到RKHS中的特征映射函数,/>表示将目标域特征向量映射到RKHS中的特征映射函数,H表示分配给特征核k的RKHS。
进一步的,所述步骤(3.2)中,该损失函数可以在任意的前馈神经网络中使用随机梯度下降算法进行优化。
进一步,所述步骤(4)具体包括如下子步骤:
(4.1)将步骤(3)中得到的子域适应后的特征Xs^,Xt^生成特征图Ms^,Mt^
(4.2)经过空间注意力模块提取带有空间注意力的特征图
进一步的,所述步骤(4.2)具体包括如下子步骤:
(4.2.1)为了提取特征的空间注意力,需要沿着通道轴应用平均池化和最大池化操作,然后将它们连接起来生成一个有效的特征描述符,其中空间注意力函数表示如下:
其中f7×7表示在大小为7×7的卷积滤波器中进行卷积操作,σ表示sigmoid激活函数,和/>分别表示平均池化层操作和最大池化层操作;
(4.2.2)使用卷积层生成具有空间注意力图该注意力图包含了需要特别关注或者无需关注的特征位置。
(4.2.3)将产生的空间注意力图压缩为带有注意力的特征/>
进一步,所述步骤(5)中,由于目标域大多为无标签数据,因此为了更好的训练神经网络模型,需要将预测的目标域样本标签概率使用softmax分类器进行优化。
与现有技术相比,本发明具有如下优点和有益效果:
(1)本发明能够快速精确地识别出恶意流量变种,无需专家经验提取特征,使用深度神经网络的表示能力和迁移学习算法来进行流量精确识别。
(2)本发明基于通道注意力和空间注意力,拥有更快的模型收敛速度以应对突发的恶意流量攻击。
(3)本发明在无需使用大量目标域数据的情况下也能表现优异,极大的节省了网络资源消耗。
附图说明
图1为本发明提供的在精准的恶意流量变种检测模型DSAN-AT的框架。
图2为通道注意力模块的内部实现。
图3位空间注意力模块的内部实现。
图4为使用不同模型与本发明的恶意流量识别准确率。
图5为不同模型与本发明的收敛速度。
图6为减少目标域数据集后不同迁移学习模型的识别准确率。
图7为本发明与DSAN模型在前四轮训练时的准确率。
具体实施方式
以下将结合具体实施例对本发明提供的技术方案进行详细说明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
本发明提出了一种精准的恶意流量变种检测模型,其模型框架如图1所示,包括五个部分,
第一部分为源域和目标域训练数据集的构建,具体内容为将原始流量集经过预处理操作,构建用于神经网络输入的RGB图片;第二部分为通道注意力特征提取操作,具体内容为对每个输入的特征通道使用平均池化和最大池化操作,然后输入到共享网络中进行训练,最终提取通道注意力特征;第三部分为局部最大均值差异优化操作,具体内容为对源域和目标域中各子类的特征映射到核h的希尔伯特空间中,然后将特征之间的距离表示为函数形式,在前馈神经网络中进行优化;第四部分为空间注意力特征提取操作,具体内容为沿着通道轴进行池化操作,然后将它们连接起来生成一个有效的特征描述符,最后应用卷积层生成需要特别关注或者无需关注某位置的特征图;第五部分为恶意流量变种的识别操作,具体内容为将训练好的模型对不同的恶意流量种类进行识别。
具体地说,本发明方法有以下步骤:
(1)在原始流量中进行流量预处理工作,并生成用作DSAN-AT模型训练的RGB图像。
本步骤中具体过程如下:
(1.1)将连续的原始恶意流量数据按照一定的细粒度分割成离散的单元,其中经过细粒度划分后如下表1所示:
表1不同划分类型及其条目
细粒度划分类型 条目数
OSI所有层+流量类型 138145
OSI第七层+流量类型 126665
OSI所有层+会话类型 71692
OSI第七层+会话类型 70131
(1.2)对于流量数据中存在的IP地址和MAC地址等信息可能对特征提取过程产生干扰,因此需要进行流量匿名化处理;
(1.3)将步骤(1.2)中的流量文件字节数大小修正为统一的784字节,如果超过则截取前784字节,不够字节数则向文件中填充0x00;
(1.4)将步骤(1.3)中规范化的流量文件生成28×28的RGB图像。为了更好的考虑数据集具有的迁移性,我们选用表1中第四种细粒度划分类型(经过计算其内部特征差异较大,即包含较多的变种恶意流量),最终数据集划分如下表2所示:
表2数据集设置
(2)将步骤(1)中得到的原始图像特征输入到通道注意力模块中提取带有通道注意力的特征,其模块内部实现如图2所示;
本步骤具体包括以下过程:
(2.1)将步骤(1)中RGB图片分别提取源域和目标域的原始特征Xs,Xt,在预训练神经网络的第一层卷积分别生成源域和目标域的特征图Ms,Mt
(2.2)经过通道注意力模块提取带有通道注意力的特征图其具体过程如下:
(2.2.1)为了有效计算通道注意力,需要对输入的特征图的空间维度进行平均池化特征和最大池化特征操作,其通道注意力提取函数如下:
其中x表示为源域或者目标域,F代表原始流量特征,σ代表sigmoid激活函数,代表平均池化特征,/>表示为最大池化特征,W1∈Rc/r×c,W0∈Rc×c/r
(2.2.2)将平均池化特征和最大池化特征转发到一个三层感知器中,以产生通道注意力图其中三层感知器作为共享网络,输出的特征向量使用Element-Wise求和进行合并;
(2.2.3)将产生的通道注意力图压缩为带有注意力的特征
(3)将步骤(2)中的特征输入到LMMD局部最大均值差异模块中进行子域适应;
本步骤具体包括以下过程:
(3.1)为了减少源域和目标域中各子类间的特征分布差异,由步骤(2)得到的源域和目标域特征需要进行局部最大均值差异(LMMD)优化操作,其具体过程如下:
(3.1.1)将源域和目标域各子类映射到特征核h的希尔伯特(RKHS)空间中;
(3.1.2)计算各子域间的特征分布距离,将其表示为LMMD损失函数如下:
其中p(c)、q(c)分别属于源域和目标域的样本分布,c代表子类类别;
(3.2)为了表述总体损失,需要同时优化分类器分类损失及域适应损失,其函数表述为如下:
其中J(.,.)表示为分类器分类损失,表示为域适应损失,p和q分别来自于源域Ds和Dt的特征分布,λ表示为分类损失和域适应损失间的权重参数,λ>0,l表示为LMMD函数激活特定激活层,该损失函数可以在任意的前馈神经网络中使用随机梯度下降算法进行优化。
(4)将步骤(3)中经过子域优化后的特征输入到空间注意力模块中提取带有空间注意力的特征,其模块内部实现如图3所示;
本步骤具体包括如下过程:
(4.1)将步骤(3)中得到的子域适应后的特征Xs,Xt生成特征图Ms,Mt
(4.2)经过空间注意力模块提取带有空间注意力的特征图其具体过程如下:
(4.2.1)为了提取特征的空间注意力,需要沿着通道轴应用平均池化和最大池化操作,然后将它们连接起来生成一个有效的特征描述符,其中空间注意力函数表示如下:
其中f7×7表示在大小为7×7的卷积滤波器中进行卷积操作;
(4.2.2)使用卷积层生成具有空间注意力图该注意力图包含了需要特别关注或者无需关注的特征位置。
(4.2.3)将产生的空间注意力图压缩为带有注意力的特征/>
(5)将上述步骤(4)得到的特征经过分类器优化后输出预测分类概率,其中由于目标域大多为无标签数据,因此为了更好的训练神经网络模型,需要将预测的目标样本标签概率使用softmax分类器进行优化。其中对于部分恶意流量(RGB形式)的可视化识别结果如表3所示,总体平均准确率和各子类识别准确率如图4所示。
表3部分恶意流量的识别情况
为了验证本发明在收敛速度上拥有的良好性能,分别计算不同模型的收敛时间,其结果如图5所示。
为了验证本发明在减少目标域数据集后仍然拥有优秀的识别率,当按照25%、50%、75%的比例减少目标域数据集时,其实验结果如图6所示。
为了验证本发明在应对突发恶意软件变种攻击事件时能否快速准确识别,当经过少数训练时,使用注意力机制会让模型在前期训练即可拥有较高识别率,其实验结果如图7所示。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (4)

1.一种精准的恶意流量变种检测方法,其特征在于,包括如下步骤:
(1)将恶意流量及其变种进行图像处理操作后,通过预训练神经网络提取原始特征输入到通道注意力模块中,以获取带有通道注意力的特征;
步骤(1)具体包括如下子步骤:
(1.1)将连续的原始恶意流量数据按照一定的细粒度分割成离散的单元;
(1.2)对于流量数据中存在的IP地址和MAC地址信息对特征提取过程产生干扰,因此需要进行流量匿名化处理;
(1.3)将步骤(1.2)中的流量文件字节数大小修正为统一的784字节,如果超过则截取前784字节,不够字节数则向文件中填充0x00;
(1.4)将步骤(1.3)中规范化的流量文件生成28×28的RGB图像;
(1.5)将RGB图片分别提取源域和目标域的原始特征Xs,Xt,在预训练神经网络的第一层卷积分别生成源域和目标域的特征图Ms,Mt
(1.6)经过通道注意力模块提取带有通道注意力的特征图
步骤(1.6)具体包括如下子步骤:
(1.6.1)为了有效计算通道注意力,需要对输入的特征图的各个通道进行平均池化特征和最大池化特征操作,其通道注意力提取函数如下:
其中x表示为源域或者目标域,F代表原始流量特征,σ代表sigmoid激活函数,代表平均池化特征,/>表示为最大池化特征,W1∈Rc/r×c,W0∈Rc×c/r
(1.6.2)将平均池化特征和最大池化特征转发到一个三层感知器中,以产生通道注意力图
(1.6.3)将产生的通道注意力图压缩为带有注意力的特征
(2)将步骤(1)中的带通道注意力特征输入到LMMD模块中进行子域适应;
(2.1)为了减少源域和目标域中各子类间的特征分布差异,由步骤(1)得到的源域和目标域特征需要进行最大均值差异LMMD优化操作;
步骤(2.1)具体包括如下子步骤:
(2.1.1)将源域和目标域各子类映射到特征核k的再生核希尔伯特RKHS空间中;
(2.1.2)计算各子域间的特征分布距离,将其表示为LMMD损失函数如下:
其中p(c)、q(c)分别属于源域和目标域的样本分布,c代表子类类别,表示将源域特征向量映射到RKHS中的特征映射函数,/>表示将目标域特征向量映射到RKHS中的特征映射函数,H表示分配给特征核k的RKHS;
(2.2)为了表述总体损失,需要同时优化分类器分类损失及域适应损失,其函数表述为如下:
其中J(.,.)表示为分类器分类损失,表示为域适应损失,p和q分别来自于源域Ds和Dt的特征分布,λ表示为分类损失和域适应损失间的权重参数,λ>0,l表示为最大均值差异LMMD函数激活特定激活层,ns表示源域中的样本总数,/>表示源域特征向量xs的生成函数,Ec表示特征分布的期望值;
(3)将步骤(2)中经过子域优化后的特征输入到空间注意力模块中提取带有空间注意力的特征;
(3.1)将步骤(2)中得到的子域适应后的特征Xs^,Xt^生成特征图Ms^,Mt^
(3.2)经过空间注意力模块提取带有空间注意力的特征图
步骤(3.2)中具体包括如下子步骤:
(3.2.1)为了提取特征的空间注意力,需要沿着通道轴应用平均池化和最大池化操作,然后将它们连接起来生成一个有效的特征描述符,其中空间注意力函数表示如下:
其中f7×7表示在大小为7×7的卷积滤波器中进行卷积操作,σ表示sigmoid激活函数,和/>分别表示平均池化层操作和最大池化层操作;
(3.2.2)使用卷积层生成具有空间注意力图该注意力图包含了需要特别关注或者无需关注的特征所在位置;
(3.2.3)将产生的空间注意力图压缩为带有注意力的特征/>
(4)将上述步骤(3)得到的特征经过分类器优化后输出预测分类概率;
(5)重复步骤(1)~(4),训练合适的轮次后输出基于注意力的深度子域适应神经网络DSAN-AT模型,识别恶意流量变种类别,将预测的目标域样本标签概率使用softmax分类器进行优化。
2.根据权利要求1所述的精准的恶意流量变种检测方法,其特征在于,步骤(1.1)中细粒度划分方式为:OSI所有层+流量类型、OSI第七层+流量类型、OSI所有层+会话类型、OSI第七层+会话类型。
3.根据权利要求1所述的精准的恶意流量变种检测方法,其特征在于,步骤(1.6.2)中,三层感知器作为共享网络,输出的特征向量使用Element-Wise求和进行合并。
4.根据权利要求1所述的精准的恶意流量变种检测方法,其特征在于,步骤(2.2)中,该损失函数可以在任意的前馈神经网络中使用随机梯度下降算法进行优化。
CN202110469814.XA 2021-04-28 2021-04-28 一种精准的恶意流量变种检测方法 Active CN113194092B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110469814.XA CN113194092B (zh) 2021-04-28 2021-04-28 一种精准的恶意流量变种检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110469814.XA CN113194092B (zh) 2021-04-28 2021-04-28 一种精准的恶意流量变种检测方法

Publications (2)

Publication Number Publication Date
CN113194092A CN113194092A (zh) 2021-07-30
CN113194092B true CN113194092B (zh) 2023-08-04

Family

ID=76980197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110469814.XA Active CN113194092B (zh) 2021-04-28 2021-04-28 一种精准的恶意流量变种检测方法

Country Status (1)

Country Link
CN (1) CN113194092B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115865492B (zh) * 2022-11-30 2024-02-20 四川大学 一种基于相似度指向的变种流量生成方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110765458B (zh) * 2019-09-19 2021-06-08 浙江工业大学 一种基于深度学习的恶意软件图像格式检测方法及其装置
CN111340191B (zh) * 2020-02-27 2023-02-21 福州大学 基于集成学习的僵尸网络恶意流量分类方法及系统
CN111669384B (zh) * 2020-05-29 2021-11-23 重庆理工大学 融合深度神经网络和层级注意力机制的恶意流量检测方法
CN111835769A (zh) * 2020-07-14 2020-10-27 南方电网科学研究院有限责任公司 基于vgg神经网络的恶意流量检测方法、装置、设备及介质

Also Published As

Publication number Publication date
CN113194092A (zh) 2021-07-30

Similar Documents

Publication Publication Date Title
WO2019096099A1 (zh) Dga域名实时检测方法和装置
CN111885035B (zh) 一种网络异常检测方法、系统、终端以及存储介质
CN111340191B (zh) 基于集成学习的僵尸网络恶意流量分类方法及系统
WO2021189364A1 (zh) 一种对抗图像生成方法、装置、设备以及可读存储介质
CN113806746B (zh) 基于改进cnn网络的恶意代码检测方法
CN112804253B (zh) 一种网络流量分类检测方法、系统及存储介质
CN113364787A (zh) 一种基于并联神经网络的僵尸网络流量检测方法
CN112491894A (zh) 一种基于时空特征学习的物联网网络攻击流量监测系统
Rong et al. Umvd-fsl: Unseen malware variants detection using few-shot learning
CN113194092B (zh) 一种精准的恶意流量变种检测方法
Jiang et al. Research progress and challenges on application-driven adversarial examples: A survey
CN109660522B (zh) 面向综合电子系统的基于深层自编码器的混合入侵检测方法
CN113472751B (zh) 一种基于数据包头的加密流量识别方法及装置
CN111291078B (zh) 一种域名匹配检测方法及装置
CN112261063A (zh) 结合深度分层网络的网络恶意流量检测方法
Zanddizari et al. Generating black-box adversarial examples in sparse domain
CN110889467A (zh) 一种公司名称匹配方法、装置、终端设备及存储介质
CN114358177B (zh) 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统
CN114362988B (zh) 网络流量的识别方法及装置
CN113190858B (zh) 一种基于隐私保护的图像处理方法、系统、介质和设备
Mao et al. Semisupervised Encrypted Traffic Identification Based on Auxiliary Classification Generative Adversarial Network.
CN116684357A (zh) 一种传输层安全协议加密流量的识别方法及系统
Ge et al. Robot communication: Network traffic classification based on deep neural network
Xie et al. Research and application of intrusion detection method based on hierarchical features
Ye et al. Label-only Model Inversion Attack: The Attack that Requires the Least Information

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant