CN115225310B - 基于优化元学习的轻量恶意软件流量检测方法及装置 - Google Patents
基于优化元学习的轻量恶意软件流量检测方法及装置 Download PDFInfo
- Publication number
- CN115225310B CN115225310B CN202210547678.6A CN202210547678A CN115225310B CN 115225310 B CN115225310 B CN 115225310B CN 202210547678 A CN202210547678 A CN 202210547678A CN 115225310 B CN115225310 B CN 115225310B
- Authority
- CN
- China
- Prior art keywords
- dimensional
- malicious software
- sample
- network
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000005457 optimization Methods 0.000 title claims abstract description 45
- 238000001514 detection method Methods 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 24
- 238000012549 training Methods 0.000 claims abstract description 24
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims description 18
- 108010064775 protein C activator peptide Proteins 0.000 claims description 18
- 230000006870 function Effects 0.000 claims description 17
- 238000013507 mapping Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 6
- 238000013527 convolutional neural network Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000000638 solvent extraction Methods 0.000 claims description 4
- 230000004931 aggregating effect Effects 0.000 claims description 2
- 238000005259 measurement Methods 0.000 description 9
- 238000012360 testing method Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000012512 characterization method Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于优化元学习的轻量恶意软件流量检测方法及装置,所述方法包括:将每一恶意软件家族产生的加密流量数据分割为若干网络会话,并生成每一网络会话的二维会话灰度图样本;基于所述二维会话灰度图样本,训练原始网络,得到恶意软件流量检测模型;将待测软件流量的二维会话灰度图输入至所述恶意软件流量检测模型,得到恶意软件流量检测结果。本发明使用元学习框架提高了恶意软件加密流量的检测与分类效率,通过原点优化算法与三元组优化算法提高了原型网络在高维度量空间中的样本使用效率和特征分布合理性,并在只使用少量训练样本的前提下,训练能具备更高检出率的恶意软件加密流量检测模型。
Description
技术领域
本发明属于恶意软件检测领域,涉及恶意软件流量识别和检测技术,具体涉及一种基于优化元学习的轻量恶意软件流量检测方法及装置。
背景技术
恶意软件加密流量的检测和分类技术,是恶意软件检测的主要分支之一。该技术通过检测恶意软件产生的加密流量,识别和归类该流量数据属于的恶意软件家族。目前,恶意软件的数量和种类逐渐增加,基于逆向分析恶意软件二进制代码的传统方法需要大量的专家分析力量,而使用恶意软件流量产生的流量数据作为检测和分类依据,是目前学术和工业界逐渐重视的方法。另一方面,通信加密技术日渐成熟,恶意软件的通讯内容逐渐从明文转变为密文,因此传统的深度包检测技术无法很好应对现在的应用场景;同时,由于新家族的恶意软件在野数量较少,因此难以捕获足够量的通信流量作为检测模型的训练用料。
目前,恶意软件加密流量检测与分类存在以下几个难以解决的挑战:首先,加密技术的大规模普及使得通信内容不可见,传统的深度包检测失效;其次,新家族的恶意软件在野数量较少,捕获的通信流量无法很好地训练传统的检测模型。在计算机视觉领域,已经存在许多针对样本量不足问题的轻量模型(如元学习架构),但是,由于领域间的巨大鸿沟,这些方法无法有效地解决该领域的以上挑战,原因是该类轻量学习方法在恶意软件加密流量上的表征能力不足,无法充分利用少量样本中的细粒度特征;同时,没有很好的优化算法适配,导致例如元学习与度量学习在高维空间的搜索空间约束不足,因此无法做到恶意软件加密流量的轻量学习与检测分类。
发明内容
本发明的目的在于提供一种基于优化元学习的轻量恶意软件流量检测方法及装置,重点利用设计的路径优化算法,优化原型网络在轻量学习过程中的学习效率和表征能力;同时,使用优化后的原型网络检测和分类恶意软件加密流量。
本发明首先将恶意软件产生的少量流量数据分割为单个网络会话,分别存储在单个PCAP文件中,然后提取每个PCAP文件的前N2个字节形成N×N的二维会话灰度图;灰度图作为每个加密流量样本的原始训练样本,输入到优化的原型网络中,优化的原型网络将灰度图映射到高维的度量空间后,计算样本与原型点之间的度量距离,聚合相同类别的高维样本,在测试阶段输出样本与每个恶意软件家族原型点之间距离度量,以检测和分类不同的恶意软件家族样本。
本发明采用的技术方案如下:
一种基于优化元学习的轻量恶意软件流量检测方法,其步骤包括:
将每一恶意软件家族产生的加密流量数据分割为若干网络会话,并生成每一网络会话的二维会话灰度图样本;
基于所述二维会话灰度图样本,训练原始网络,得到恶意软件流量检测模型,其中所述原始网络将所述二维会话灰度图样本映射到高维度量空间后,分别计算高维样本中心点与各高维样本到所述高维样本中心点的距离,并通过迭代拉近同一恶意软件家族相应高维样本之间的距离,得到所述恶意软件流量检测模型;
将待测软件流量的二维会话灰度图输入至所述恶意软件流量检测模型,得到恶意软件流量检测结果。
进一步地,所述将每一恶意软件家族产生的加密流量数据分割为若干网络会话,包括:
使用五元组对所述加密流量数据进行分割,所述五元组包括:目的IP地址、源IP地址、目的端口、源端口和传输层协议;
分别聚合具有相同五元组属性的加密流量数据,得到若干网络会话。
进一步地,所述生成每一网络会话的二维会话灰度图样本,包括:
将每一网络会话分别存储在单个PCAP文件中;
提取每个PCAP文件的前N2个字节,形成N×N的二维会话灰度图样本,其中,所述前N2个字节包含所述PCAP文件的头部与所述网络的握手阶段。
进一步地,所述原始网络将所述二维会话灰度图样本映射到高维度量空间的方法,包括:使用卷积神经网络作为映射函数。
进一步地,所述计算高维样本中心点,包括:
使用欧几里得距离,计算所有高维样本的中心点,并将所有高维样本的中心点作为虚拟原点;
选择β个与所述虚拟原点的高维欧几里得距离最短的高维样本,以构建启发式高维空间向量集合;
使用欧几里得距离,计算启发式高维空间向量集合的中心点,并将所述启发式高维空间向量集合的中心点作为高维样本中心点。
进一步地,所述通过迭代拉近同一恶意软件家族相应高维样本之间的距离,包括:
在高维度量空间中选取锚点Ancj、正向点Posj与负向点Negj,其中j为第k个恶意软件家族中高维样本的编号;
分别计算锚点Ancj与正向点Posj的欧式距离SP及锚点Ancj与负向点Negj的欧式距离SN;
以迭代算法拉进欧式距离SP,并拉远欧式距离SN。
进一步地,锚点其中,/>Sj为第j个恶意软件家族中的样本集合,ρj为第j个恶意软件家族的高维样本中心点,ξ(·)表示映射到高维度量空间的映射函数;
正向点
负向点
进一步地,训练原始网络的总体损失包括:原点优化损失和三元优化损失,所述原点优化损失所述三元优化损失/>其中M为每一轮训练的样本数量,S为恶意软件家族的类别数量。
一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述方法。
一种电子装置,所述电子装置包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行,以实现上述方法。
利用本发明的方法可以使用少量的恶意软件加密流量作为训练样本,训练高效的检测模型,与现有技术相比具有以下优点:
1、本发明提出了一种恶意软件加密流量的检测系统与检测方法,使用元学习框架提高了恶意软件加密流量的检测与分类效率。
2、本发明使用原型网络框架,提出了两种路径优化算法,组合使用下提高了原型网络在高维度量空间中的样本使用效率和特征分布合理性。
3、本发明使用路径优化的原型网络,在只使用少量训练样本的前提下,训练能具备更高检出率的恶意软件加密流量检测模型。
附图说明
图1是本发明的轻量恶意软件流量检测方法的流程图。
图2是本发明的原点优化算法的示意图。
图3是本发明的三元组优化算法的示意图。
具体实施方式
下面通过具体实施例和附图,对本发明做进一步详细说明。
本发明提供的基于优化元学习的轻量恶意软件流量检测系统及检测方法,适用只有少量可用的训练样本下的恶意软件流量检测模型的训练与实际测试部署,本发明的流程图如图1所示,其主要步骤包括:首先将恶意软件产生的轻量流量数据分割为单个网络会话,分别存储在单个PCAP文件中,然后提取每个PCAP文件的前N2个字节形成N×N的二维会话灰度图;灰度图作为每个加密流量样本的原始训练样本,输入到优化的原型网络中,优化的原型网络将灰度图映射到高维的度量空间后,适用如图2所示的原先优化算法得到优化后的原点,计算样本与原型点之间的度量距离,同时使用图3所示的三元组优化算法聚合相同类别的高维样本,并拉远不同类别的高维样本,形成稳定的高维空间特征分布;在测试阶段输出样本与每个恶意软件家族原型点之间距离度量,以检测和分类不同的恶意软件家族样本。其中,图2与图3中的点P,A,N分别代表正向点,锚点与负向点。
本发明方法分为训练和测试两部分,训练阶段,使用路径优化算法,在轻量样本的条件下训练原型网络。在测试阶段,测试流量样本经过预处理后输入到路径优化的原型网络中,网络输出其对应的预测家族标签。
实例1基于优化元学习的轻量恶意软件流量检测系统的训练方法
以AndMalDroid2017数据集为例,数据集中包含了42个家族的恶意软件加密流量,其中每一个家族的样本量极少,大致为20个样本:
一、对每一个样本使用预定义的五元组抽象出独立的网络会话。
本实施例在训练阶段中使用流量分割技术:对收集到的恶意软件加密流量数据包集合,使用抽象化的五元组,即{目的IP地址,源IP地址,目的端口,源端口,传输层协议},作为分割键值,将具有相同五元组属性的一段时间内的流量数据包聚合起来,作为一个唯一的网络会话。
二、将每一个网络会话分别存储在PCAP文件中。
本实施例对分割的网络会话,分别存储在单个网络流量专用存储格式的文件中,即PCAP文件。
三、提取每一个PCAP文件的前784个字节,作为该PCAP文件的表征字节,然后将784的字节流重组为28×28的二维会话灰度图。
本实施例对于每个PCAP文件,抽取前784个字节作为该PCAP文件的代表。PCAP文件是网络流量专用的存储格式,其前置字节具有明显的恶意软件家族区分性。提取前N2个字节囊括了PCAP文件的头部与网络会话的握手阶段。同时,为了充分利用卷积网络的空间特征表征能力,将字节流重组为N×N(28×28)的二维图;对于二维图的每一个像素点,以该点位数值化的大小作为其像素值,像素值从0x00至0xff,视觉上从黑色渐变为白色。
四、将会话灰度图训练集合输入到初始化的原型网络中,原型网络通过CNN映射函数将二维会话图映射到64维的高维度量空间。
本实施例使用卷积神经网络(CNN)作为映射函数,该CNN使用卷积核,将N×N的二维会话灰度图映射为64维的向量,从而将低维空间的二维数据映射到M维的高维度量空间中。
五、在高维度量空间中,使用原点优化算法与三元组优化算法作为路径优化算法,从而生成恶意软件流量检测模型。
1、原点优化算法
原点优化算法是指对于每一家族的高维映射后的样本,计算虚拟原点,然后计算每一个高维样本与虚拟原点之间的欧氏距离,选取前β个最小欧式距离的高维样本作为启发式原点(优化原点)的计算候选样本,求得到的β个候选样本在高维空间中的中心点,以获得每一个家族的优化原点。
具体来说,在原始的原型网络中,高维空间中的原点选择过程是随机的,即用于计算每个家族的原点的样本是随机选择的,这导致原始的原型网络的原点选择合理性不足。而本发明提出了启发式的原点优化算法,在选择用于计算原点的高维样本时,首先计算所有的同类样本的虚拟原点,然后选择β个与虚拟原点的度量距离最近的高维样本。
以下是原点优化的形式化表示:
1)计算所有的同类样本的虚拟原点
其中,Sj表示恶意软件家族类别j的样本集合,为样本集合Sj中的第i个样本,ξ(·)为映射函数,用于将样本/>映射为高维样本。
2)选择β个与虚拟原点的高维欧几里得距离最短的样本,用以获取用于计算恶意软件家族类别j原点的启发式高维空间向量集合/>
3)计算高维样本中心点ρj:
2、三元组优化算法
在原始的原型网络中,在高维空间中,样本与计算与同类原点之间的欧几里得距离,并通过迭代算法,拉近样本与同类原点之间的距离。
本发明得到的每一个家族的优化原点后,使用三元组优化,进一步优化高维空间的样本分布;对于每一家族的高维样本集合,分别选取一定数量的三元组,每一个三元组分别包含锚点Ancj、正向点Posj与负向点Negj通过上述的启发式选取策略获得每个三元组。基于每个三元组中锚点Ancj与正向点Posj、锚点Ancj与负向点Negj的欧氏距离,以减少同类样本之间的欧氏距离,同时增加异类样本之间的欧式距离,以获得更好的高维空间表征能力。
本实施例的三元组优化算法,包括:
1)在高维空间中选取三个点:锚点Ancj、正向点Posj与负向点Negj。三个点的选取方式如下公式所示:
其中,锚点Ancj是通过计算与同类原点ρj之前的欧几里得距离,选择最小距离的样本点获得的。正向点Posj与负向点Negj的获取方式类似。是由j家族的高维样本点指向同类原点ρj的向量,/>是由锚点Ancj指向同类原点ρj。计算/>与/>之间的余弦值,获取余弦值最小的样本点作为正向点Posj,在不同于家族j的家族高维家族样本中重新计算余弦值,获取余弦值最大的样本点作为负向点Negj。
2)分别计算锚点Anck与正向点Posk,锚点Anck与负向点Negk的欧式距离,以迭代算法拉近锚点Anck与正向点Posk的度量距离,拉远锚点锚点Anck与负向点Negk的度量距离。
3、训练损失
在高维空间中,在每一轮的训练中计算两种路径优化算法的损失值,使用的原点优化损失函数如下:
其中LP是原点优化损失值,M为每一轮训练的样本数量,S为恶意软件家族类别数量,Dst为欧式距离计算函数。通过计算每个高维样本与同类原点之间的欧式距离,加权平均后得到该轮的原型优化损失值。
使用的三元组优化损失函数如下:
其中LT是三元组优化损失值,通过计算锚点Ancj与正向点Posj,锚点Ancj与负向点Negj之间的高维空间欧式距离,获得该轮的三元组优化损失值。
对两组路径优化算法的损失值进行加权统一,统一计算方式如下所示:
ζ←ζ+[αLP+(l-α)LT]
其中,ζ是总体的损失值,两组损失值通过损失函数控制比率α控制比例,α一般设为0.5。然后,通过BP迭代算法,逐渐优化原型网络在高维空间上的表征能力,最后,得到训练好的路径优化的原型网络,具备检测和分类恶意软件的加密流量的能力。
实例2基于优化元学习的轻量恶意软件流量检测系统的测试方法
1)对于每个测试的流量样本,使用实例1中所述的步骤1)-3)作为预处理过程;
2)通过1)预处理后的二维图样本,输入到训练好的恶意软件流量检测模型中;
3)检测模型通过CNN映射函数,在高维空间中将高维样本与每一家族的优化原点互相计算高维度量距离。
4)度量距离最小的优化原点,输出其对应的标签,作为该测试样本预测的所属恶意软件家族。
实验数据
比较本发明方法与其他方法的结果,其中,表1为在AndMalDroid2017数据集上与传统的恶意软件加密流量分类方法对比,在轻量化下的恶意软件识别准确率,表2为在AndMalDroid2017数据集上与跨领域的轻量学习方法的对比的恶意软件识别准确率。
表1
数据集 | 本发明方法 | Flowprint | RBRN | FC-Net |
AndMalDroid2017 | 77.44 | 14.67 | 29.26 | 56.25 |
表2
数据集 | 本发明方法 | ProNets | Matching Nets | Triplet Nets |
AndMalDroid2017 | 77.44 | 42.25 | 35.74 | 23.08 |
根据表1和表2的结果,分别体现了本发明方法在传统恶意软件加密流量与轻量学习方法的检测优势。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (7)
1.一种基于优化元学习的轻量恶意软件流量检测方法,其步骤包括:
将每一恶意软件家族产生的加密流量数据分割为若干网络会话,并生成每一网络会话的二维会话灰度图样本;
基于所述二维会话灰度图样本,训练原始网络,得到恶意软件流量检测模型,其中所述原始网络将所述二维会话灰度图样本映射到高维度量空间后,分别计算高维样本中心点与各高维样本到所述高维样本中心点的距离,并通过迭代拉近同一恶意软件家族相应高维样本之间的距离,得到所述恶意软件流量检测模型;其中,
所述计算高维样本中心点,包括:
使用欧几里得距离,计算所有高维样本的中心点,并将所有高维样本的中心点作为虚拟原点;
选择β个与所述虚拟原点的高维欧几里得距离最短的高维样本,以构建启发式高维空间向量集合;
使用欧几里得距离,计算启发式高维空间向量集合的中心点,并将所述启发式高维空间向量集合的中心点作为高维样本中心点;
所述通过迭代拉近同一恶意软件家族相应高维样本之间的距离,包括:
在高维度量空间中选取锚点Ancj、正向点Posj与负向点Negj,其中,所述锚点Sj为恶意软件家族类别j的样本集合,/>为样本集合Sj中的第i个样本,ρj为第j个恶意软件家族的高维样本中心点,ξ(·)表示映射到高维度量空间的映射函数,所述正向点/>所述负向点/>
分别计算锚点Ancj与正向点Posj的欧式距离SP及锚点Ancj与负向点Negj的欧式距离SN;
以迭代算法拉进欧式距离SP,并拉远欧式距离SN;
将待测软件流量的二维会话灰度图输入至所述恶意软件流量检测模型,得到恶意软件流量检测结果。
2.如权利要求1所述的方法,其特征在于,所述将每一恶意软件家族产生的加密流量数据分割为若干网络会话,包括:
使用五元组对所述加密流量数据进行分割,所述五元组包括:目的IP地址、源IP地址、目的端口、源端口和传输层协议;
分别聚合具有相同五元组属性的加密流量数据,得到若干网络会话。
3.如权利要求1所述的方法,其特征在于,所述生成每一网络会话的二维会话灰度图样本,包括:
将每一网络会话分别存储在单个PCAP文件中;
提取每个PCAP文件的前N2个字节,形成N×N的二维会话灰度图样本,其中,所述前N2个字节包含所述PCAP文件的头部与所述网络的握手阶段。
4.如权利要求1所述的方法,其特征在于,所述原始网络将所述二维会话灰度图样本映射到高维度量空间的方法,包括:使用卷积神经网络作为映射函数。
5.如权利要求1所述的方法,其特征在于,训练原始网络的总体损失函数包括:原点优化损失函数和三元组优化损失函数;其中,在高维空间中,在每一轮的训练中使用的原点优化损失函数:使用的三元组优化损失函数:/>M为每一轮训练的样本数量,S为恶意软件家族的类别数量,Dst为欧式距离计算函数,LP是原点优化损失值,LT是三元组优化损失值。
6.一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为处理器运行时执行权利要求1-5中任一所述方法。
7.一种电子装置,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行如权利要求1-5中任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210547678.6A CN115225310B (zh) | 2022-05-18 | 2022-05-18 | 基于优化元学习的轻量恶意软件流量检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210547678.6A CN115225310B (zh) | 2022-05-18 | 2022-05-18 | 基于优化元学习的轻量恶意软件流量检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115225310A CN115225310A (zh) | 2022-10-21 |
CN115225310B true CN115225310B (zh) | 2024-05-07 |
Family
ID=83607795
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210547678.6A Active CN115225310B (zh) | 2022-05-18 | 2022-05-18 | 基于优化元学习的轻量恶意软件流量检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115225310B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116738429B (zh) * | 2023-08-15 | 2023-11-14 | 之江实验室 | 基于生成对抗的目标检测引擎优化方法、装置及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
CN112884061A (zh) * | 2021-03-10 | 2021-06-01 | 河北师范大学 | 一种基于参数优化元学习的恶意软件家族分类方法 |
CN113705619A (zh) * | 2021-08-03 | 2021-11-26 | 广州大学 | 一种恶意流量检测方法、系统、计算机及介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11463473B2 (en) * | 2019-12-10 | 2022-10-04 | Shanghai Jiaotong University | Large-scale malware classification system |
US20210256401A1 (en) * | 2020-02-18 | 2021-08-19 | Crowdstrike, Inc. | Embedding networks to extract malware family information |
-
2022
- 2022-05-18 CN CN202210547678.6A patent/CN115225310B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
CN112884061A (zh) * | 2021-03-10 | 2021-06-01 | 河北师范大学 | 一种基于参数优化元学习的恶意软件家族分类方法 |
CN113705619A (zh) * | 2021-08-03 | 2021-11-26 | 广州大学 | 一种恶意流量检测方法、系统、计算机及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115225310A (zh) | 2022-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112953924B (zh) | 网络异常流量检测方法、系统、存储介质、终端及应用 | |
CN111967294B (zh) | 一种无监督域自适应的行人重识别方法 | |
CN110311829B (zh) | 一种基于机器学习加速的网络流量分类方法 | |
CN108229550B (zh) | 一种基于多粒度级联森林网络的云图分类方法 | |
CN107786388B (zh) | 一种基于大规模网络流数据的异常检测系统 | |
CN107483473B (zh) | 一种云环境的低速拒绝服务攻击数据流检测方法 | |
CN112511555A (zh) | 基于稀疏表示和卷积神经网络的私有加密协议报文分类法 | |
CN113806746A (zh) | 基于改进cnn网络的恶意代码检测方法 | |
CN115225310B (zh) | 基于优化元学习的轻量恶意软件流量检测方法及装置 | |
CN110365603A (zh) | 一种基于5g网络能力开放的自适应网络流量分类方法 | |
CN112416976A (zh) | 基于分布式多级协同的分布式拒绝服务攻击监控系统及方法 | |
CN116260642A (zh) | 一种基于知识蒸馏时空神经网络的轻量化物联网恶意流量识别方法 | |
CN114172688A (zh) | 基于gcn-dl的加密流量网络威胁关键节点自动提取方法 | |
CN114915575B (zh) | 一种基于人工智能的网络流量检测装置 | |
CN114048795A (zh) | 一种基于PCA和XGBoost融合的业务类型识别方法 | |
Ren et al. | A novel deep learning method for application identification in wireless network | |
CN114897085A (zh) | 一种基于封闭子图链路预测的聚类方法及计算机设备 | |
CN112990371B (zh) | 一种基于特征扩增的无监督夜间图像分类方法 | |
CN114328942A (zh) | 关系抽取方法、装置、设备、存储介质和计算机程序产品 | |
CN111291078B (zh) | 一种域名匹配检测方法及装置 | |
CN117155701A (zh) | 一种网络流量入侵检测方法 | |
CN116599720A (zh) | 一种基于GraphSAGE的恶意DoH流量检测方法、系统 | |
CN114979017B (zh) | 基于工控系统原始流量的深度学习协议识别方法及系统 | |
CN114124565B (zh) | 一种基于图嵌入的网络入侵检测方法 | |
CN111556018B (zh) | 一种基于cnn的网络入侵检测方法及电子装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |