CN113612767B - 基于多任务学习增强的加密恶意流量检测方法及系统 - Google Patents

基于多任务学习增强的加密恶意流量检测方法及系统 Download PDF

Info

Publication number
CN113612767B
CN113612767B CN202110876302.5A CN202110876302A CN113612767B CN 113612767 B CN113612767 B CN 113612767B CN 202110876302 A CN202110876302 A CN 202110876302A CN 113612767 B CN113612767 B CN 113612767B
Authority
CN
China
Prior art keywords
encrypted
auxiliary
encrypted malicious
subtask
deep learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110876302.5A
Other languages
English (en)
Other versions
CN113612767A (zh
Inventor
金舒原
张笑天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN202110876302.5A priority Critical patent/CN113612767B/zh
Publication of CN113612767A publication Critical patent/CN113612767A/zh
Application granted granted Critical
Publication of CN113612767B publication Critical patent/CN113612767B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • Evolutionary Biology (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明为克服加密恶意流量检测模型的泛化能力弱、检测精度低的缺陷,提出一种基于多任务学习增强的加密恶意流量检测方法及系统,其中包括:设置辅助子任务,并对每类辅助子任务设置辅助子任务类别标签;采集加密恶意流量数据作为训练样本,对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签;构建深度学习网络模型;将训练样本输入所述深度学习网络模型中,根据输入的训练样本的加密恶意流量类别标签及辅助子任务类别标签进行多任务训练;屏蔽所述深度学习网络模型中辅助子任务对应的输出,得到加密恶意流量检测模型;将实时网络流量数据输入所述加密恶意流量检测模型中,得到加密恶意流量检测结果。

Description

基于多任务学习增强的加密恶意流量检测方法及系统
技术领域
本发明涉及计算机网络安全技术领域,更具体地,涉及一种基于多任务学习增强的加密恶意流量检测方法及系统。
背景技术
近年来网络技术不断发展,人们通过互联网应用提升工作与休闲生活质量的同时,恶意软件也在互联网中悄然流行。不法分子可以利用恶意软件在互联网环境中窃取个人或企业机密信息,甚至夺取恶意软件宿主主机控制权并实施勒索。通过恶意软件在网络通信过程中产生的流量追踪到恶意软件是保证网络空间安全的重要途径。因此,在日益复杂的网络环境中,如何准确并且低误报的检测恶意软件通信流量,是当今网络环境下的重要挑战。
面对加密恶意流量,目前主要采用端到端的深度学习方法执行加密恶意流量检测任务,具体可分为两类主流的模式:第一类是将加密流量的有效载荷映射成为加密流图,然后用一维或二维CNN网络提取握手包中明文特征或加密流量包中的字节分布特征,最后用全连接网络作为检测加密恶意流量的分类层;第二类是将加密流中的包长序列或包到达时间序列作为输入,通过LSTM或GRU网络提取序列整体特征,输入到全连接网络检测加密恶意流量。上述两种基于深度学习的方法都是通过设计出端到端模型,利用带标签的加密恶意流量数据集训练,使用反向传播算法训练模型学习分类加密流量的特征向量,并同时学习分类参数。然而上述两类加密恶意流量检测技术中,由于缺乏约束网络模型学习流量特征的手段,不能确保深度学习模型所捕获的流量特征不是训练数据集上的专有偏差,导致加密恶意流量检测模型存在泛化能力弱的缺陷。此外,由于恶意加密流量和非恶意流量在SSL/TLS加密套件的使用、握手数据包扩展项提供和证书签名方式等方面具有显著的差异,而深度学习网络在训练过程中无法利用恶意流量先验知识,这对加密恶意流量检测的检测精度造成了一定影响。
发明内容
本发明为克服上述现有技术所述的泛化能力弱、检测精度低的缺陷,提供一种基于多任务学习增强的加密恶意流量检测方法,以及基于多任务学习增强的加密恶意流量检测系统。
为解决上述技术问题,本发明的技术方案如下:
基于多任务学习增强的加密恶意流量检测方法,包括以下步骤:
S1、设置辅助子任务,并对每类辅助子任务设置辅助子任务类别标签;
S2、采集加密恶意流量数据作为训练样本,对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签;
S3、构建深度学习网络模型;
S4、将训练样本输入所述深度学习网络模型中,根据输入的训练样本的加密恶意流量类别标签及辅助子任务类别标签进行多任务训练;
S5、屏蔽所述深度学习网络模型中辅助子任务对应的输出,得到加密恶意流量检测模型;将实时网络流量数据输入所述加密恶意流量检测模型中,得到加密恶意流量检测结果。
作为优选方案,所述辅助子任务包括SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务。
作为优选方案,所述SSL/TLS握手信息识别任务包括:识别加密流所用SSL/TLS协议版本类别、SSL/TLS握手阶段提供的扩展项类别、所用的SSL/TLS加密套件类别、客户端提供的SSL/TLS加密套件类别中的一种或多种;
所述流统计特征识别任务包括:识别加密流中数据包长度大小集合中的最大值、最小值、均值、方差中的一种或多种;识别加密流中数据包到达间隔时间集合中的最大值最大值、最小值、均值、方差中的一种或多种;
所述证书特征识别任务包括:识别加密流服务端提供的证书版本、证书序列号长度、证书的签名算法、证书的公钥长度、证书的有效期时长、证书是否为自签名证书中的一种或多种。
作为优选方案,所述流统计特征识别任务还包括对加密流内客户端方向上数据包中的最大值、最小值、均值、方差中的一种或多种进行识别,对加密流内服务端方向上数据包中的最大值、最小值、均值、方差中的一种或多种进行识别。
作为优选方案,所述S4步骤中,所述深度学习网络模型进行多任务训练的步骤包括:
S4.1、将深度学习网络模型中所有参数采用随机数初始化;
S4.2、将训练样本输入深度学习网络模型中,深度学习网络模型对输入的训练样本实施正向传播,得到训练样本的预测加密恶意流量分类标签与预测的辅助子任务标签;
S4.3、根据输入的训练样本的加密恶意流量类别标签与所述深度学习网络模型对应输出的预测向量计算第一损失值,并根据输入的训练样本的辅助子任务类别标签与所述深度学习网络模型对应输出的预测向量计算第二损失值,再将所述第一损失值和第二损失进行加和得到此次正向传播的总损失;
S4.4、通过反向传播算法计算总损失相对于所有权重的梯度,通过梯度下降算法更新所有参数,使得输出与实际标签误差最小;通过多次迭代,得到最优的深度学习网络模型,保存得到训练完成的深度学习网络模型。
作为优选方案,所述S4.2步骤中,其具体步骤包括:
S4.2.1、从输入的训练样本中获得其加密流量在SSL/TLS协议握手阶段的报文原始流量字节序列映射而成的数字序列,以及加密流量的数据包长序列与数据包到达间隔序列;
S4.2.2、将所述数字序列以及加密流量的数据包长序列与数据包到达间隔序列中每个数字映射作为数字二维矩阵中的一行,得到数字二维矩阵;
S4.2.3、将所述数字二维矩阵进行一维卷积变换,得到一维特征图,并对其进行特征降维处理;
S4.2.4、将经过特征降维处理的一维特征图进行非线性映射,得到整体特征向量;其中所述整体特征向量的维数等于预设的加密恶意流量分类中类别数目与辅助子任务标签的维度之和;
S4.2.5、根据所述整体特征向量,获得加密恶意流量类别概率,以及辅助子任务中所有任务各自的类别概率,并依据所获得的概率输出预测加密恶意流量分类标签和预测辅助子任务标签。
进一步的,本发明还提出了一种基于多任务学习增强的加密恶意流量检测系统,应用于上述任一技术方案提出的基于多任务学习增强的加密恶意流量检测方法,其具体包括:
辅助子任务设置模块,用于设置SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务,且每类辅助子任务设置有相应的辅助子任务类别标签;
样本采集模块,用于采集加密恶意流量数据作为训练样本;
标签设置模块,用于对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签;
加密恶意流量检测模块,用于对输入的实时网络流量数据进行加密恶意流量检测模块,输出得到加密恶意流量检测结果;
其中,所述加密恶意流量检测模块包括深度学习网络模型,所述深度学习网络模型根据输入的训练样本的辅助子任务类别标签对所述深度学习网络模型进行多任务训练得到,且所述深度学习网络模型中对辅助子任务对应的输出进行屏蔽。
作为优选方案,所述深度学习网络模型包括输入层、嵌入层、神经网络层、池化层、全连接层、输出层,其中:
所述输入层用于获得加密流量在SSL/TLS协议握手阶段的报文原始流量字节序列映射而成的数字序列,以及加密流量的数据包长序列与数据包到达间隔序列,并将所获得的序列数据传输至所述嵌入层;
所述嵌入层用于将输入的序列数据中每个数字映射作为数字二维矩阵中的一行,并将完成构建的数字二维矩阵传输至所述神经网络层;
所述神经网络层用于将输入的数字二维矩阵通过一维卷积核进行一维卷积变换,得到一维特征图,再将一维特征图传输至所述池化层;
所述池化层用于将输入的一维特征图进行特征降维处理,并且将降维处理后的一维特征图传输至所述全连接层;
所述全连接层用于将输入的一维特征图进行非线性映射,得到整体特征向量,其中所述整体特征向量的维数等于预设的加密恶意流量分类中类别数目与辅助子任务标签的维度之和,最后将所述特征向量传输至所述输出层;
所述输出层,用于根据所述整体特征向量,获得加密恶意流量类别概率与辅助子任务中所有任务各自的类别概率,并依据所获得的概率输出加密恶意流量分类结果和辅助子任务的识别结果。
作为优选方案,所述神经网络层包括LSTM、GRU或1DCNN网络中的一种;其中,当采用LSTM或GRU网络时,去除所述深度学习网络模型中的池化层。
作为优选方案,所述神经网络层采用1DCNN网络,且所述神经网络层与所述池化层堆叠设置。
与现有技术相比,本发明技术方案的有益效果是:本发明引入除加密恶意流量检测分类任务外的辅助子任务,通过多个任务训练深度学习网络模型的参数,能够在加密恶意流量检测的强相关任务中同时达到良好效果,进而反向促进加密流量的特征提取与表示,有效增强加密恶意流量检测任务上的泛化能力与检测精度。
附图说明
图1为实施例1的基于多任务学习增强的加密恶意流量检测方法的流程图。
图2为实施例2的基于多任务学习增强的加密恶意流量检测系统的架构图。
图3为实施例2的深度学习网络模型的架构图。
图4为实施例2的深度学习网络模型的架构图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
本实施例提出一种基于多任务学习增强的加密恶意流量检测方法,如图1所示,为本实施例的基于多任务学习增强的加密恶意流量检测方法的流程图。
本实施例提出的基于多任务学习增强的加密恶意流量检测方法中,包括以下步骤:
步骤1:设置辅助子任务,并对每类辅助子任务设置辅助子任务类别标签。
本步骤用于对多任务训练中采取的辅助子训练任务进行确定。
由于多任务训练的技术本质上是一种迁移学习的深度学习技术,因此为了增强模型在加密恶意流量检测的主任务上的泛化能力和识别精度,辅助子任务的选取直接决定了模型的增强效果。
本实施例中的辅助子任务包括SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务。
其中,SSL/TLS握手信息识别任务包括:
1)识别加密流所用SSL/TLS协议版本类别;
2)识别加密流SSL/TLS握手阶段提供的扩展项类别;
3)识别加密流所用的SSL/TLS加密套件类别;
4)识别加密流中客户端提供的SSL/TLS加密套件类别。
流统计特征识别任务包括:
1)识别加密流中数据包长度大小集合中的最大值;
2)识别加密流中数据包长度大小集合中的最小值;
3)识别加密流中数据包长度大小集合的均值;
4)识别加密流中数据包长度大小集合的方差;
5)识别加密流中数据包到达间隔时间集合中的最大值;
6)识别加密流中数据包到达间隔时间集合中的最小值;
7)识别加密流中数据包到达间隔时间集合的均值;
8)识别加密流中数据包到达间隔时间集合的方差。
进一步的,上述八种流特征识别任务可以扩展为对应的加密流内客户端方向上数据包的八种流特征识别任务,以及对应的加密流内服务端方向上数据包的八种流特征识别任务。即对加密流内客户端方向及服务端方向上,其数据包中的长度大小集合及包到达间隔时间集合的最大值、最小值、均值、方差进行识别,总计24种流特征识别任务可以任意组合。
证书特征识别任务包括:
1)识别加密流服务端提供证书版本;
2)识别加密流服务端提供证书序列号长度;
3)识别加密流服务端提供证书的签名算法;
4)识别加密流服务端提供证书的公钥长度;
5)识别加密流服务端提供证书的有效期时长;
6)识别加密流服务端提供证书是否为自签名证书。
针对上述辅助子任务的各个类别,分别设置有辅助子任务类别标签。在后续步骤中,对于设置有辅助子任务类别标签的训练样本,当其输入深度学习网络模型时,深度学习网络模型根据训练样本设置的辅助子任务类别标签执行相应的辅助子任务,实现通过多个任务训练模型网络参数。
步骤2:采集加密恶意流量数据作为训练样本,对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签。
本实施例中,通过蜜罐技术捕获恶意软件运行时产生的流量作为训练样本,或直接采用现有公开的加密恶意流量数据集作为训练样本。
进一步的,所采集的训练样本还包括非恶意软件产生的正常互联网用户通信过程中的正常加密流量。
此外,对每条加密恶意流量数据设置的辅助子任务类别标签,根据任务类别设置数据格式。同任务不同类别若存在全序关系应采用一维向量作为标签,比如加密流内数据包大小的最大值识别、数据包大小的最小值识别等任务的标签数据。同任务不同类别若不存在全序关系,是离散的不可比较的类别,应采用独热编码后的多维向量作为标签,比如SSL/TLS协议扩展项识别、SSL加密套件识别等任务的标签数据。
步骤3:构建深度学习网络模型。
由于加密流量是互联网通信过程中产生的序列数据,所以在深度学习网络的选择上应选择提取序列特征的LSTM、GRU或1DCNN网络。
考虑到在加密恶意流量检测任务和辅助子任务的完成中,需要对加密流量的局部特征做特征提取,并且1DCNN网络对特征提取具有平移不变性和局部性的特点,因此用基于1DCNN构建的端到端的深度学习网络模型。
步骤4、将训练样本输入所述深度学习网络模型中,根据输入的训练样本的加密恶意流量类别标签及辅助子任务类别标签进行多任务训练。
其中,对深度学习网络模型进行多任务训练的步骤包括:
S4.1、将深度学习网络模型中所有参数采用随机数初始化;
S4.2、将训练样本输入深度学习网络模型中,深度学习网络模型对输入的训练样本实施正向传播,得到训练样本的预测加密恶意流量分类标签与预测的辅助子任务标签;
S4.3、根据输入的训练样本的加密恶意流量类别标签与所述深度学习网络模型对应输出的预测向量计算第一损失值,并根据输入的训练样本的辅助子任务类别标签与所述深度学习网络模型对应输出的预测向量计算第二损失值,再将所述第一损失值和第二损失进行加和得到此次正向传播的总损失;
S4.4、通过反向传播算法计算总损失相对于所有权重的梯度,通过梯度下降算法更新所有参数,使得输出与实际标签误差最小;通过多次迭代,得到最优的深度学习网络模型,保存得到训练完成的深度学习网络模型。
本步骤中,利用设置有加密恶意流量类别标签与多个辅助子任务标签的训练样本,对完成构建的端到端的深度学习网络模型,通过反向传播算法进行训练。
在上述模型训练过程中,反向传播算法需要在每一轮的正向传播过程结束后通过标签数据计算损失。其中,由于采用多训练学习技术增强端到端深度学习网络模型的参数学习,所以训练中的损失,由加密恶意流量类别标签与模型对应预测的加密恶意流量类别概率计算出的损失,和其余辅助子任务标签与模型预测的任务所属类别概率计算出的损失加和得出。
本实施例中对各任务的损失选用交叉熵误差计算。
进一步的,在S4.2步骤中,其具体步骤包括:
S4.2.1、从输入的训练样本中获得其加密流量在SSL/TLS协议握手阶段的报文原始流量字节序列映射而成的数字序列,以及加密流量的数据包长序列与数据包到达间隔序列;
S4.2.2、将所述数字序列以及加密流量的数据包长序列与数据包到达间隔序列中每个数字映射作为数字二维矩阵中的一行,得到数字二维矩阵;
S4.2.3、将所述数字二维矩阵进行一维卷积变换,得到一维特征图,并对其进行特征降维处理;
S4.2.4、将经过特征降维处理的一维特征图进行非线性映射,得到整体特征向量;其中所述整体特征向量的维数等于预设的加密恶意流量分类中类别数目与辅助子任务标签的维度之和;
S4.2.5、根据所述整体特征向量,获得加密恶意流量类别概率,以及辅助子任务中所有任务各自的类别概率,并依据所获得的概率输出预测加密恶意流量分类标签和预测辅助子任务标签。
上述步骤可根据深度学习模型的结构作适应性调整设置。
步骤5:屏蔽所述深度学习网络模型中辅助子任务对应的输出,得到加密恶意流量检测模型;将实时网络流量数据输入所述加密恶意流量检测模型中,得到加密恶意流量检测结果。
本步骤中,可通过去除输出层中用于生成辅助子任务结果的神经元实现辅助子任务对应输出的屏蔽。
本实施例中,利用多任务学习技术,在用于加密恶意流量检测的深度学习网络模型的训练过程中,引入除加密恶意流量检测分类任务外的辅助子任务,通过多个任务训练深度学习网络模型的参数,能够在加密恶意流量检测的强相关任务中同时达到良好效果,进而反向促进加密流量的特征提取与表示,增强加密恶意流量检测任务上的泛化能力与检测精度。
此外,本实施例在对辅助子任务的设置,利用以往加密恶意流量识别工作中得到的先验知识设计与加密恶意流量任务强相关的辅助子任务,确保本发明提出的多任务学习增强技术在加密恶意流量检测任务上达到有效的泛化能力与识别精度的提升。
实施例2
本实施例提出一种基于多任务学习增强的加密恶意流量检测系统,如图2所示,为本实施例的基于多任务学习增强的加密恶意流量检测系统的架构图。
本实施例提出的基于多任务学习增强的加密恶意流量检测系统应用实施例1提出的加密恶意流量检测方法中,其具体包括:
辅助子任务设置模块1,用于设置SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务,且每类辅助子任务设置有相应的辅助子任务类别标签;
样本采集模块2,用于采集加密恶意流量数据作为训练样本;
标签设置模块3,用于对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签;
加密恶意流量检测模块4,用于对输入的实时网络流量数据进行加密恶意流量检测模块4,输出得到加密恶意流量检测结果。
其中,所述加密恶意流量检测模块4包括深度学习网络模型,所述深度学习网络模型根据输入的训练样本的辅助子任务类别标签对所述深度学习网络模型进行多任务训练得到,且所述深度学习网络模型中对辅助子任务对应的输出进行屏蔽。
本实施例中,所述深度学习网络模型包括输入层、嵌入层、神经网络层、池化层、全连接层、输出层,其中:
所述输入层用于获得加密流量在SSL/TLS协议握手阶段的ClientHello报文、ServerHello报文与Certificate报文原始流量字节序列映射而成的数字序列,以及加密流量的数据包长序列与数据包到达间隔序列,并将所获得的序列数据传输至所述嵌入层;
所述嵌入层用于将输入的序列数据中每个数字映射作为数字二维矩阵中的一行,并将完成构建的数字二维矩阵传输至所述神经网络层;
所述神经网络层用于将输入的数字二维矩阵通过一维卷积核进行一维卷积变换,得到一维特征图,再将一维特征图传输至所述池化层;
所述池化层用于将输入的一维特征图进行特征降维处理,并且将降维处理后的一维特征图传输至所述全连接层;
所述全连接层用于将输入的一维特征图进行非线性映射,得到整体特征向量,其中所述整体特征向量的维数等于预设的加密恶意流量分类中类别数目与辅助子任务标签的维度之和,最后将所述特征向量传输至所述输出层;
所述输出层,用于根据所述整体特征向量,获得加密恶意流量类别概率与辅助子任务中所有任务各自的类别概率,并依据所获得的概率输出加密恶意流量分类结果和辅助子任务的识别结果。
如图3所示,为本实施例的深度学习网络模型的架构图。其中包括依次连接的输入层101、嵌入层102、1DCNN层103、池化层104、全连接层105、输出层106,且每层构造皆满足本实施例的深度学习网络模型中对应的要求。
进一步的,上述神经网络层可采用LSTM、GRU或1DCNN网络中的一种。其中,当采用LSTM或GRU作为神经网络层时,将深度学习网络模型中的池化层去除。
本实施例中,采用1DCNN网络提取加密流量握手数据包信息特征与流统计信息特征。本实施例利用1DCNN对序列数据局部信息特征提取的良好效果和识别特征时的平移不变性,对加密流量实施细粒度的特征提取,为模型训练中使用多任务学习技术创造模型结构设计上的可能性。
在另一实施例中,进一步的,神经网络层采用1DCNN网络,且1DCNN神经网络层与池化层多层堆叠设置,能够得到不同细粒度的一维特征图,其架构图如图4所示。其中包括依次连接的输入层101、嵌入层102、第一1DCNN层201、第一池化层202、第二1DCNN层203、第二池化层204、全连接层107、输出层108,且每层构造皆满足本实施例的深度学习网络模型中对应的要求。
在具体实施过程中,先通过辅助子任务设置模块1对应用于深度学习网络模型多任务训练的辅助子任务进行设置,并分别设置其类别标签。
采用样本采集模块2采集加密恶意流量数据作为训练样本,然后输入标签设置模块3中,通过标签设置模块3对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签。
标签设置模块3将完成标签设置的训练样本输入加密恶意流量检测模块4中对其深度学习网络模型进行多任务训练。其中,深度学习网络模型对输入的训练样本实施正向传播,得到训练样本的预测加密恶意流量分类标签与预测的辅助子任务标签。进一步的,深度学习网络模型根据输入的训练样本的加密恶意流量类别标签与所述深度学习网络模型对应输出的预测向量计算第一损失值,并根据输入的训练样本的辅助子任务类别标签与所述深度学习网络模型对应输出的预测向量计算第二损失值,再将所述第一损失值和第二损失进行加和得到此次正向传播的总损失,然后通过反向传播算法计算总损失相对于所有权重的梯度,通过梯度下降算法更新所有参数,使得输出与实际标签误差最小;经过多次迭代,得到最优的深度学习网络模型,加密恶意流量检测模块4将训练完成的深度学习网络模型进行保存,包括模型结构、训练配置、优化器状态和模型参数,并去除输出层中用于生成辅助子任务结果的神经元实现辅助子任务对应输出的屏蔽。
经过上述过程,对本实施例的加密恶意流量检测系统完成构建及训练。在进行加密恶意流量检测时,将实时网络流量数据输入加密恶意流量检测模块4中,加密恶意流量检测模块4输出得到加密恶意流量检测结果。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (8)

1.基于多任务学习增强的加密恶意流量检测方法,其特征在于,包括以下步骤:
S1、设置辅助子任务,并对每类辅助子任务设置辅助子任务类别标签;
S2、采集加密恶意流量数据作为训练样本,对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签;
S3、构建深度学习网络模型;
S4、将训练样本输入所述深度学习网络模型中,根据输入的训练样本的加密恶意流量类别标签及辅助子任务类别标签进行多任务训练;其中:
S4.1、将深度学习网络模型中所有参数采用随机数初始化;
S4.2、将训练样本输入深度学习网络模型中,深度学习网络模型对输入的训练样本实施正向传播,得到训练样本的预测加密恶意流量分类标签与预测的辅助子任务标签;其中:
S4.2.1、从输入的训练样本中获得其加密流量在SSL/TLS协议握手阶段的报文原始流量字节序列映射而成的数字序列,以及加密流量的数据包长序列与数据包到达间隔序列;
S4.2.2、将所述数字序列以及加密流量的数据包长序列与数据包到达间隔序列中每个数字映射作为数字二维矩阵中的一行,得到数字二维矩阵;
S4.2.3、将所述数字二维矩阵进行一维卷积变换,得到一维特征图,并对其进行特征降维处理;
S4.2.4、将经过特征降维处理的一维特征图进行非线性映射,得到整体特征向量;其中所述整体特征向量的维数等于预设的加密恶意流量分类中类别数目与辅助子任务标签的维度之和;
S4.2.5、根据所述整体特征向量,获得加密恶意流量类别概率,以及辅助子任务中所有任务各自的类别概率,并依据所获得的概率输出预测加密恶意流量分类标签和预测辅助子任务标签;
S4.3、根据输入的训练样本的加密恶意流量类别标签与所述深度学习网络模型对应输出的预测向量计算第一损失值,并根据输入的训练样本的辅助子任务类别标签与所述深度学习网络模型对应输出的预测向量计算第二损失值,再将所述第一损失值和第二损失进行加和得到此次正向传播的总损失;
S4.4、通过反向传播算法计算总损失相对于所有权重的梯度,通过梯度下降算法更新所有参数,使得输出与实际标签误差最小;通过多次迭代,得到最优的深度学习网络模型,保存得到训练完成的深度学习网络模型
S5、屏蔽所述深度学习网络模型中辅助子任务对应的输出,得到加密恶意流量检测模型;将实时网络流量数据输入所述加密恶意流量检测模型中,得到加密恶意流量检测结果。
2.根据权利要求1所述的加密恶意流量检测方法,其特征在于,所述辅助子任务包括SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务。
3.根据权利要求2所述的加密恶意流量检测方法,其特征在于,所述SSL/TLS握手信息识别任务包括:识别加密流所用SSL/TLS协议版本类别、SSL/TLS握手阶段提供的扩展项类别、所用的SSL/TLS加密套件类别、客户端提供的SSL/TLS加密套件类别中的一种或多种;
所述流统计特征识别任务包括:识别加密流中数据包长度大小集合中的最大值、最小值、均值、方差中的一种或多种;识别加密流中数据包到达间隔时间集合中的最大值、最小值、均值、方差中的一种或多种;
所述证书特征识别任务包括:识别加密流服务端提供的证书版本、证书序列号长度、证书的签名算法、证书的公钥长度、证书的有效期时长、证书是否为自签名证书中的一种或多种。
4.根据权利要求3所述的加密恶意流量检测方法,其特征在于,所述流统计特征识别任务还包括对加密流内客户端方向和/或服务端方向上,其数据包中的长度大小集合及包到达间隔时间集合的最大值、最小值、均值、方差中的一种或多种进行识别。
5.基于多任务学习增强的加密恶意流量检测系统,应用于权利要求1~4任一项所述的基于多任务学习增强的加密恶意流量检测方法,其特征在于,包括:
辅助子任务设置模块,用于设置SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务,且每类辅助子任务设置有相应的辅助子任务类别标签;
样本采集模块,用于采集加密恶意流量数据作为训练样本;
标签设置模块,用于对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签,以及设置多个辅助子任务类别标签;
加密恶意流量检测模块,用于对输入的实时网络流量数据进行加密恶意流量检测模块,输出得到加密恶意流量检测结果;
其中,所述加密恶意流量检测模块包括深度学习网络模型,所述深度学习网络模型根据输入的训练样本的辅助子任务类别标签对所述深度学习网络模型进行多任务训练得到,且所述深度学习网络模型中对辅助子任务对应的输出进行屏蔽。
6.根据权利要求5所述的加密恶意流量检测系统,其特征在于,所述深度学习网络模型包括输入层、嵌入层、神经网络层、池化层、全连接层、输出层,其中:
所述输入层用于获得加密流量在SSL/TLS协议握手阶段的报文原始流量字节序列映射而成的数字序列,以及加密流量的数据包长序列与数据包到达间隔序列,并将所获得的序列数据传输至所述嵌入层;
所述嵌入层用于将输入的序列数据中每个数字映射作为数字二维矩阵中的一行,并将完成构建的数字二维矩阵传输至所述神经网络层;
所述神经网络层用于将输入的数字二维矩阵通过一维卷积核进行一维卷积变换,得到一维特征图,再将一维特征图传输至所述池化层;
所述池化层用于将输入的一维特征图进行特征降维处理,并且将降维处理后的一维特征图传输至所述全连接层;
所述全连接层用于将输入的一维特征图进行非线性映射,得到整体特征向量,其中所述整体特征向量的维数等于预设的加密恶意流量分类中类别数目与辅助子任务标签的维度之和,最后将所述特征向量传输至所述输出层;
所述输出层,用于根据所述整体特征向量,获得加密恶意流量类别概率,以及当前辅助子任务所属类别概率,并依据所获得的概率输出加密恶意流量分类结果和辅助子任务的识别结果。
7.根据权利要求6所述的加密恶意流量检测系统,其特征在于,所述神经网络层包括LSTM、GRU或1DCNN网络中的一种;其中,当采用LSTM或GRU网络时,去除所述深度学习网络模型中的池化层。
8.根据权利要求6所述的加密恶意流量检测系统,其特征在于,所述神经网络层包括1DCNN网络,且所述神经网络层与所述池化层堆叠设置。
CN202110876302.5A 2021-07-31 2021-07-31 基于多任务学习增强的加密恶意流量检测方法及系统 Active CN113612767B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110876302.5A CN113612767B (zh) 2021-07-31 2021-07-31 基于多任务学习增强的加密恶意流量检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110876302.5A CN113612767B (zh) 2021-07-31 2021-07-31 基于多任务学习增强的加密恶意流量检测方法及系统

Publications (2)

Publication Number Publication Date
CN113612767A CN113612767A (zh) 2021-11-05
CN113612767B true CN113612767B (zh) 2022-09-20

Family

ID=78338921

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110876302.5A Active CN113612767B (zh) 2021-07-31 2021-07-31 基于多任务学习增强的加密恶意流量检测方法及系统

Country Status (1)

Country Link
CN (1) CN113612767B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472809B (zh) * 2021-07-19 2022-06-07 华中科技大学 一种加密恶意流量检测方法、检测系统及计算机设备
CN114710322B (zh) * 2022-03-15 2023-06-20 清华大学 基于流量交互图的隐蔽恶意流量检测方法和装置
CN114866310A (zh) * 2022-04-29 2022-08-05 厦门服云信息科技有限公司 一种恶意加密流量检测方法、终端设备及存储介质
CN115834495A (zh) * 2022-10-12 2023-03-21 中国科学院计算技术研究所 一种用于加密流量的识别方法和系统
CN116319107B (zh) * 2023-05-19 2023-08-18 新华三人工智能科技有限公司 一种数据流量识别模型训练方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111340191A (zh) * 2020-02-27 2020-06-26 福州大学 基于集成学习的僵尸网络恶意流量分类方法及系统
CN112270346A (zh) * 2020-10-20 2021-01-26 清华大学 基于半监督学习的物联网设备识别方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016146609A1 (en) * 2015-03-17 2016-09-22 British Telecommunications Public Limited Company Learned profiles for malicious encrypted network traffic identification
US11201877B2 (en) * 2018-12-11 2021-12-14 Cisco Technology, Inc. Detecting encrypted malware with SPLT-based deep networks
WO2020133098A1 (zh) * 2018-12-27 2020-07-02 驭势科技(北京)有限公司 一种分布式计算网络系统与方法
CN112270351A (zh) * 2020-10-24 2021-01-26 国网江苏省电力有限公司信息通信分公司 基于辅助分类生成对抗网络的半监督加密流量识别方法
CN112465003B (zh) * 2020-11-23 2023-05-23 中国人民解放军战略支援部队信息工程大学 一种加密离散序列报文的识别方法及系统
CN113067839B (zh) * 2021-06-02 2021-08-10 中国人民解放军国防科技大学 一种基于多模态神经网络的恶意加密流量检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111340191A (zh) * 2020-02-27 2020-06-26 福州大学 基于集成学习的僵尸网络恶意流量分类方法及系统
CN112270346A (zh) * 2020-10-20 2021-01-26 清华大学 基于半监督学习的物联网设备识别方法及装置

Also Published As

Publication number Publication date
CN113612767A (zh) 2021-11-05

Similar Documents

Publication Publication Date Title
CN113612767B (zh) 基于多任务学习增强的加密恶意流量检测方法及系统
Liang et al. Variational few-shot learning for microservice-oriented intrusion detection in distributed industrial IoT
Qin et al. Learning meta model for zero-and few-shot face anti-spoofing
Yu et al. PBCNN: Packet bytes-based convolutional neural network for network intrusion detection
CN113542259B (zh) 基于多模态深度学习的加密恶意流量检测方法及系统
CN116647411B (zh) 游戏平台网络安全的监测预警方法
Piskozub et al. Malalert: Detecting malware in large-scale network traffic using statistical features
WO2023070696A1 (zh) 针对连续学习能力系统的基于特征操纵的攻击和防御方法
Sun et al. Contaminant removal for android malware detection systems
Alzahrani et al. A novel method for feature learning and network intrusion classification
Bayazit et al. Neural network based Android malware detection with different IP coding methods
Han et al. Network intrusion detection based on n-gram frequency and time-aware transformer
AlGarni et al. An efficient convolutional neural network with transfer learning for malware classification
Zhang et al. Detection of android malware based on deep forest and feature enhancement
Diao et al. EC-GCN: A encrypted traffic classification framework based on multi-scale graph convolution networks
Vijayalakshmi et al. Hybrid dual-channel convolution neural network (DCCNN) with spider monkey optimization (SMO) for cyber security threats detection in internet of things
Hong et al. Graph based encrypted malicious traffic detection with hybrid analysis of multi-view features
Liang et al. FECC: DNS tunnel detection model based on CNN and clustering
Seo et al. Hunt for unseen intrusion: Multi-head self-attention neural detector
Warnecke et al. Don’t paint it black: White-box explanations for deep learning in computer security
CN115567305B (zh) 基于深度学习的顺序网络攻击预测分析方法
CN115051874B (zh) 一种多特征的cs恶意加密流量检测方法和系统
Soliman et al. A network intrusions detection system based on a quantum bio inspired algorithm
Zhang et al. An uncertainty-based traffic training approach to efficiently identifying encrypted proxies
Bar et al. Scalable attack propagation model and algorithms for honeypot systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant