CN116527399B - 基于不可靠伪标签半监督学习的恶意流量分类方法和设备 - Google Patents
基于不可靠伪标签半监督学习的恶意流量分类方法和设备 Download PDFInfo
- Publication number
- CN116527399B CN116527399B CN202310746304.1A CN202310746304A CN116527399B CN 116527399 B CN116527399 B CN 116527399B CN 202310746304 A CN202310746304 A CN 202310746304A CN 116527399 B CN116527399 B CN 116527399B
- Authority
- CN
- China
- Prior art keywords
- sample
- network model
- samples
- category
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000012549 training Methods 0.000 claims abstract description 28
- 238000007781 pre-processing Methods 0.000 claims abstract description 8
- 238000012512 characterization method Methods 0.000 claims description 37
- 230000006870 function Effects 0.000 claims description 10
- 238000004140 cleaning Methods 0.000 claims description 5
- 238000000586 desensitisation Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 4
- 239000002131 composite material Substances 0.000 claims description 3
- 238000002372 labelling Methods 0.000 abstract description 6
- 230000007786 learning performance Effects 0.000 abstract description 3
- 238000003860 storage Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 239000004973 liquid crystal related substance Substances 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001351 cycling effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/0895—Weakly supervised learning, e.g. semi-supervised or self-supervised learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供了基于不可靠伪标签半监督学习的恶意流量分类方法和设备。所述方法包括获取流量数据样本,进行预处理,得到标记样本和未标记样本;将标记样本输入第一网络模型进行训练;通过训练后的第一网络模型对部分未标记样本进行预测,将预测结果作为伪标签对部分未标记样本进行标记;将具有伪标签的未标记样本与标记样本混杂后输入第二网络模型进行训练,通过训练后的第二网络模型对网络流量数据进行恶意流量分类。以此方式,可以在恶意流量分类任务中,减少对标注数据集的依赖程度,最大程度利用流量样本,增加模型对于恶意流量的识别能力,提高模型的学习性能,从而增强模型对恶意流量识别分类的效率和准确率。
Description
技术领域
本发明一般涉及网络安全领域,并且更具体地,涉及基于不可靠伪标签半监督学习的恶意流量分类方法和设备。
背景技术
随着互联网技术的蓬勃发展,网络技术已经成为生产生活必不可少的工具,如电子支付,工业网络,网络会议等。同时,网络也带来了一些风险,黑客可以通过网络漏洞对特定的服务器或终端发起攻击。传统的方法难以对多样化的恶意流量进行全面防御,使用深度学习方法可以很方便的对恶意流量进行检测和分类。
关于检测恶意流量的方法,通常采用深度学习技术,其中监督学习、无监督学习和半监督学习等方式被广泛应用。监督学习需要大量标注数据集,这需要网络安全专业人士对数据进行手工判别,需要大量的精力投入。相比之下,无监督学习容易陷入局部最优,检测效率低,准确率也不尽人意。采用半监督学习的方法检测恶意流量,通常需要在预测结果中进行样本筛选,以去除低置信度的预测结果,而选择高置信度的预测结果作为伪标签。然而,这种方法可能会去除大量无标签数据,导致训练数据不足,阻碍模型的充分训练。同时,对于某些模型难以预测的分类,该方法可能无法准确地为该类别的流量样本分配伪标签,从而导致模型对该分类的预测能力无法得到有效优化。
发明内容
根据本发明的实施例,提供了一种基于不可靠伪标签半监督学习的恶意流量分类方案。本方案能够在恶意流量分类任务中,减少对标注数据集的依赖程度,最大程度利用流量样本,增加模型对于恶意流量的识别能力,提高模型的学习性能,从而增强模型对恶意流量识别分类的效率和准确率。
在本发明的第一方面,提供了一种基于不可靠伪标签半监督学习的恶意流量分类方法。该方法包括:
获取流量数据样本,对所述流量数据样本进行预处理,得到标记样本和未标记样本;
将所述标记样本输入第一网络模型,对所述第一网络模型进行训练;
通过训练后的第一网络模型对部分未标记样本进行预测,将预测结果作为伪标签对所述部分未标记样本进行标记;
将具有伪标签的未标记样本与所述标记样本混杂后输入第二网络模型,对所述第二网络模型进行训练,根据训练后的第二网络模型的参数对所述第一网络模型的参数进行更新,以及通过训练后的第二网络模型对网络流量数据进行恶意流量分类。
进一步地,所述对所述流量数据样本进行预处理,包括:
将所述流量数据样本按五元组形式分割为多个网络流;
根据样本流量类型对所述多个网络流中的一部分进行标记,得到标记样本和未标记样本;
对所述标记样本和未标记样本进行脱敏处理、样本清洗、切片处理、归一化处理中的一种或几种,得到预处理后的流量数据样本。
进一步地,所述第一网络模型和第二网络模型均为CNN网络模型,所述CNN网络模型的分类预测输出为:所述CNN网络模型的表征输出为:/>其中,/>为输入样本;/>为权重;/>为分类预测输出模块;/>为分类预测输出;/>为特征提取模块;/>为表征输出模块;/>为表征输出;/>表示复合映射。
进一步地,利用信息熵将所述伪标签区分为可靠伪标签和不可靠伪标签;当信息熵大于阈值时,伪标签为不可靠伪标签;当信息熵不大于阈值时,伪标签为可靠伪标签。
进一步地,所述信息熵为:其中,为信息熵;/>为类别数量;/>为第i个样本分为类别/>的概率。
进一步地,所述第二网络模型的损失函数为:其中,/>为标记样本对应的监督损失;/>为标记可靠伪标签的未标记样本对应的无监督学习的损失;为充分利用不可靠伪标签的对比损失;/>为未标记样本对应的无监督学习的损失所对应的权重;/>为充分利用不可靠伪标签的对比损失所对应的权重。
进一步地,还包括:在计算所述第二网络模型的损失函数时,选择正样本表征和负样本表征;
所述正样本表征为:其中,/>为类别/>的锚点样本表征集合;为类别/>的正样本表征;/>为锚点样本表征;
所述负样本表征为:其中,/>为类别/>的负样本表征;/>为标记样本中属于类别/>的负样本表征的集合;/>为未标记样本中属于类别/>的负样本表征的集合。
进一步地,所述根据训练后的第二网络模型的参数对所述第一网络模型的参数进行更新,包括:将训练后的第二网络模型的参数通过指数移动平均的方式赋予所述第一网络模型,对所述第一网络模型的参数进行更新。
进一步地,在一次训练中,使用分类存储库存储所述负样本表征。
在本发明的第二方面,提供了一种电子设备。该电子设备至少一个处理器;以及与所述至少一个处理器通信连接的存储器;所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明第一方面的方法。
应当理解,发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征,亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了根据本发明的实施例的基于不可靠伪标签半监督学习的恶意流量分类方法的流程图;
图2示出了能够实施本发明的实施例的示例性电子设备的方框图;
其中,200为电子设备、201为计算单元、202为ROM、203为RAM、204为总线、205为I/O接口、206为输入单元、207为输出单元、208为存储单元、209为通信单元。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1示出了本发明实施例的基于不可靠伪标签半监督学习的恶意流量分类方法的流程图。
该方法包括:
S101、获取流量数据样本,对所述流量数据样本进行预处理,得到标记样本和未标记样本。
在本实施例中,获取流量数据样本可以收集包含恶意流量和常规流量的开源数据集,例如CIC-IDS-2017数据集,包含良性流量和常见攻击流量,攻击流量有DoS攻击、Web攻击等。
在本实施例中,获取流量数据样本还可以直接对现实网络流量数据进行采集。
在本实施例中,预处理主要用于将流量数据样本进行转换,使其变为模型可以接收的固定格式的矩阵输出。
所述对所述流量数据样本进行预处理,包括:
将所述流量数据样本按五元组形式分割为多个网络会话或网络流。原始网络流量数据是一个包含所有网络流量的PACP文件,由于原始的流量数据是连续的流量数据,不同IP和端口之间的流量数据应被视为独立的流量数据,为了对数据进行区分,需要对流量数据进行分割。该PACP文件需要按协议类型、源IP、源端口、目的IP、目的端口的五元组形式被分割为多个网络会话或网络流,每个网络流和网络会话包含网络中不同主机的两个端口之间的多个数据包。在分割流量之后,应对分割后的流量样本进行人工标记,标记样本流量类型,由于本实施例为半监督学习,因此无需标记全部样本。
根据样本流量类型对所述多个网络流中的一部分进行标记,得到标记样本和未标记样本。可以通过随机选取的方式从多个网络流中选择一部分网络流进行标记。标记样本和未标记样本可以随机选择,但需确保每种类别都应有一定的数量。
对所述标记样本和未标记样本进行脱敏处理、样本清洗、切片处理、归一化处理中的一种或几种,得到预处理后的流量数据样本。
若网络流量数据中含有敏感数据,例如IP地址、MAC地址等被包含在数据包中,应该对该部分数据进行随机化脱敏处理。
样本清洗是去除无效数据包,清理其中的脏数据,以防止其对模型训练和检测产生影响。
不同网络流的数据长度往往存在较大差异,为了使流量数据包长度为适应模型输入的固定长度,需要对样本进行切片处理,将过长的数据包进行尾部截断,过短的数据包尾部填充0补齐。
归一化是将数据包字节除以255,使所有字节处于区间。
最后,获得模型的输入,使/>为流量样本中第/>个字节,流量样本可以表示为:/>;其中,/>代表拼接操作;/>表示实数集。
S102、将所述标记样本输入第一网络模型,对所述第一网络模型进行训练。
在本实施例中,所述第一网络模型与第二网络模型采用网络结构完全相同的CNN网络模型。网络模型分为特征提取模块,分类预测输出模块/>,表征输出模块/>。所述CNN网络模型的分类预测输出为:/>所述CNN网络模型的表征输出为:其中,/>为输入样本;/>为权重;/>为分类预测输出模块;/>为分类预测输出;为特征提取模块;/>为表征输出模块;/>为表征输出;/>表示复合映射。
在本实施例中,利用标记样本对第一网络模型进行训练,得到训练后的第一网络模型。
S103、通过训练后的第一网络模型对部分未标记样本进行预测,将预测结果作为伪标签对所述部分未标记样本进行标记。
在本实施例中,将部分未标记样本输入到训练后的第一网络模型中,输出预测结果,将该预测结果作为伪标签。利用信息熵将所述伪标签区分为可靠伪标签和不可靠伪标签;当信息熵大于阈值时,伪标签为不可靠伪标签,不能用于模型训练;当信息熵不大于阈值时,伪标签为可靠伪标签,可以用于模型训练。所述信息熵为:其中,/>为信息熵;/>为类别数量;为第i个样本分为类别/>的概率。
第个未标记样本伪标签定义为:/> 是判断伪标签是否可靠的阈值;/>为第/>个未标记样本伪标签。
S104、将具有伪标签的未标记样本与所述标记样本混杂后输入第二网络模型,对所述第二网络模型进行训练,根据训练后的第二网络模型的参数对所述第一网络模型的参数进行更新,以及通过训练后的第二网络模型对网络流量数据进行恶意流量分类,再进行下一批次训练,不断循环直至结束。
在本实施例中,所述第二网络模型的损失函数为:其中,为标记样本对应的监督损失;/>为标记可靠伪标签的未标记样本对应的无监督学习的损失;/>为充分利用不可靠伪标签的对比损失;/>为未标记样本对应的无监督学习的损失所对应的权重;/>为充分利用不可靠伪标签的对比损失所对应的权重。在本实施例中,充分利用指的是相比于为了防止模型训练干扰直接舍弃不可靠伪标签样本的训练方式,即对这种样本进行了充分利用。在损失函数的计算中,第一网络模型对样本的预测的不可靠伪标签用作了对样本分类置信度的排序。
在上述实施例中,损失分为三部分,第一部分是带标签样本的损失;第二部分是不带标签但是具有好的伪标签(信息熵较小,伪标签较为可靠)的样本对应损失;第三部分是充分利用不可靠伪标签的对比损失,第三部分损失的主要作用就是在特征空间中缩小类内距离,拉大类间距离,从而帮助模型更好的对样本进行分类。
在上述实施例中,需要充分利用不可靠伪标签样本。在损失函数中,与/>均为交叉熵损失,计算结果如下所示:/> 和/>分别是标记的流量样本集合和未标记的但经过第一网络模型推理后具有可靠伪标签的流量样本集合,/>用于求取集合中样本的数量。/>代表经过标记的第/>个流量样本,/>代表样本所对应的分类的独热编码向量,/> 代表向量中对应于类别/>的取值,当流量样本/>属于类别/>时为1,否则为0。/>是未标记且具有可靠伪标签的第/>个流量样本,/>是样本/>是否属于类别/>的伪标签,当类别/>为样本/>最有可能所属的类别时取值为1,否则为0。
充分利用不可靠伪标签的对比损失如下:其中,为类别/>的锚点样本表征集合,/>是其中的锚点样本表征,/>为类别/>的负样本表征的集合,/>是锚点样本表征/>与其对应的第/>个负样本表征的相似性得分,/>是锚点样本表征/>与其对应的正样本表征的相似性得分,相似性得分可以表示为两个样本表征的余弦相似度。/>为尺度因子,/>为阈值。
在上述实施例中,在计算所述第二网络模型的损失函数时,选择正样本表征和负样本表征。
具体地,每一批次训练对于每个类别产生一个正样本和多个负样本。训练时,当前批次中的类别为的标记样本的表征集合为:/> 为特定类别的正阈值,/>为当前批次中的类别为/>的带标签的流量样本的表征集合;/>为是第/>个样本的表征;/>为是第/>个样本的标记;/>为类别;/>是第/>个样本分为类别/>的概率。
同理,对于未标记样本,其具有可靠类伪标签的表征集合为:因此,在当前训练批次中,具有可靠的类别为/>的标签的流量样本表征集合为:/>以上即类别为/>的锚点样本表征的集合。正样本的表征设置为该集合的中心,所述正样本表征为:/>其中,/>为类别/>的锚点样本表征集合;为类别/>的正样本表征;/>为锚点样本表征。
具体地,对于标记后的流量样本,当其满足如下两个条件时可以被认定为类别/>的负样本:1)该样本不属于类别/>;2)难以使用模型区分该样本是否属于类别/>或其事实类别。即:
其中,/>即标记样本中属于类别/>的负样本的表征的集合,/>是对样本/>类别概率的排序,/>为低级阈值,当类别/>对应的概率较高时即次序较低时,模型难以区分该样本是否属于类别/>或其事实类别。
对于未标记的流量样本,当其满足如下三个条件时可以被认定为类别/>的负样本:1)标签不可靠;2)可能不属于类别/>;3)/>不属于最不可能的类别。即:其中,/>为未标记样本中属于类别/>的负样本的表征的集合,/>为判断标签是否可靠的阈值,/>为高级阈值,当类别的次序高于该阈值时即属于最不可能的类别。/>为是第/>个样本的表征。
最后,类别的负样本表征为:/>其中,/>为类别/>的负样本表征;为标记样本中属于类别/>的负样本表征的集合;/>为未标记样本中属于类别/>的负样本表征的集合。根据以上正负样本表征计算损失/>。
在本实施例中,所述根据训练后的第二网络模型的参数对所述第一网络模型的参数进行更新,包括:将训练后的第二网络模型的参数通过指数移动平均(ExponentialMoving Average,EMA)的方式赋予所述第一网络模型,对所述第一网络模型的参数进行更新。
由于恶意流量样本数据分布极端不平衡,具有长尾效应,在一次训练中,某些类别的占比极为有限甚至为0。为了抑制长尾效应对模型训练效果的影响,在一次训练中,使用分类存储库存储目标类别的负样本表征。所述分类存储库包含了不同分类的负样本表征,有时在进行单次训练时,由于样本长尾效应,分布不均匀等影响使得本次训练可能不会产生或产生过少的某个类别的负样本,这时就可以引用分类存储库的负样本用于损失函数中对比损失的计算。
在一些实施例中,通过训练后的第二网络模型对网络流量数据进行恶意流量分类,分为恶意流量和正常网络流量。将正常网络流量数据放行,对预测为恶意流量的流量数据进行拦截和标记。
根据本发明的实施例,在恶意流量分类任务中,减少对标注数据集的依赖程度,最大程度利用流量样本,增加模型对于恶意流量的识别能力,提高模型的学习性能,从而增强模型对恶意流量识别分类的效率和准确率。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
本发明的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本发明的实施例,本发明还提供了一种电子设备。
图2示出了可以用来实施本发明的实施例的电子设备200的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
设备200包括计算单元201,其可以根据存储在只读存储器(ROM)202中的计算机程序或者从存储单元208加载到随机访问存储器(RAM)203中的计算机程序,来执行各种适当的动作和处理。在RAM 203中,还可存储设备200操作所需的各种程序和数据。计算单元201、ROM 202以及RAM 203通过总线204彼此相连。输入/输出(I/O)接口205也连接至总线204。
设备200中的多个部件连接至I/O接口205,包括:输入单元206,例如键盘、鼠标等;输出单元207,例如各种类型的显示器、扬声器等;存储单元208,例如磁盘、光盘等;以及通信单元209,例如网卡、调制解调器、无线通信收发机等。通信单元209允许设备200通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元201可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元201的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元201执行上文所描述的各个方法和处理,例如方法S101~S104。例如,在一些实施例中,方法S101~S104可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元208。在一些实施例中,计算机程序的部分或者全部可以经由ROM 202和/或通信单元209而被载入和/或安装到设备200上。当计算机程序加载到RAM 203并由计算单元201执行时,可以执行上文描述的方法S101~S104的一个或多个步骤。备选地,在其他实施例中,计算单元201可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法S101~S104。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (7)
1.一种基于不可靠伪标签半监督学习的恶意流量分类方法,其特征在于,包括:
获取流量数据样本,对所述流量数据样本进行预处理,得到标记样本和未标记样本;
将所述标记样本输入第一网络模型,对所述第一网络模型进行训练;
通过训练后的第一网络模型对部分未标记样本进行预测,将预测结果作为伪标签对所述部分未标记样本进行标记;利用信息熵将所述伪标签区分为可靠伪标签和不可靠伪标签;当信息熵大于阈值时,伪标签为不可靠伪标签;当信息熵不大于阈值时,伪标签为可靠伪标签;
将具有伪标签的未标记样本与所述标记样本混杂后输入第二网络模型,对所述第二网络模型进行训练,根据训练后的第二网络模型的参数对所述第一网络模型的参数进行更新,以及通过训练后的第二网络模型对网络流量数据进行恶意流量分类;所述第二网络模型的损失函数为:其中,/>为标记样本对应的监督损失;/>为标记可靠伪标签的未标记样本对应的无监督学习的损失;/>为充分利用不可靠伪标签的对比损失;/>为未标记样本对应的无监督学习的损失所对应的权重;/>为充分利用不可靠伪标签的对比损失所对应的权重;
所述充分利用不可靠伪标签的对比损失如下:其中,/>为类别/>的锚点样本表征集合,/>是其中的锚点样本表征,/>为类别/>的负样本表征的集合,/>是锚点样本表征/>与其对应的第/>个负样本表征的相似性得分,/>是锚点样本表征/>与其对应的正样本表征的相似性得分,相似性得分可以表示为两个样本表征的余弦相似度;/>为尺度因子,/>为阈值;C为类别数量;
所述根据训练后的第二网络模型的参数对所述第一网络模型的参数进行更新,包括:将训练后的第二网络模型的参数通过指数移动平均的方式赋予所述第一网络模型,对所述第一网络模型的参数进行更新。
2.根据权利要求1所述的方法,其特征在于,所述对所述流量数据样本进行预处理,包括:
将所述流量数据样本按五元组形式分割为多个网络流;
根据样本流量类型对所述多个网络流中的一部分进行标记,得到标记样本和未标记样本;
对所述标记样本和未标记样本进行脱敏处理、样本清洗、切片处理、归一化处理中的一种或几种,得到预处理后的流量数据样本。
3.根据权利要求1所述的方法,其特征在于,所述第一网络模型和第二网络模型均为CNN网络模型,所述CNN网络模型的分类预测输出为:所述CNN网络模型的表征输出为:/>其中,/>为输入样本;/>为权重;/>为分类预测输出模块;/>为分类预测输出;/>为特征提取模块;/>为表征输出模块;/>为表征输出;/>表示复合映射。
4.根据权利要求1所述的方法,其特征在于,所述信息熵为:其中,/>为信息熵;/>为类别数量;为第i个样本分为类别/>的概率。
5.根据权利要求1所述的方法,其特征在于,还包括:在计算所述第二网络模型的损失函数时,选择正样本表征和负样本表征;
所述正样本表征为:其中,/>为类别/>的锚点样本表征集合;/>为类别/>的正样本表征;/>为锚点样本表征;
所述负样本表征为:其中,/>为类别/>的负样本表征;/>为标记样本中属于类别/>的负样本表征的集合;/>为未标记样本中属于类别/>的负样本表征的集合。
6.根据权利要求5所述的方法,其特征在于,在一次训练中,使用分类存储库存储所述负样本表征。
7.一种电子设备,包括至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其特征在于,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310746304.1A CN116527399B (zh) | 2023-06-25 | 2023-06-25 | 基于不可靠伪标签半监督学习的恶意流量分类方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310746304.1A CN116527399B (zh) | 2023-06-25 | 2023-06-25 | 基于不可靠伪标签半监督学习的恶意流量分类方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116527399A CN116527399A (zh) | 2023-08-01 |
| CN116527399B true CN116527399B (zh) | 2023-09-26 |
Family
ID=87397895
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310746304.1A Active CN116527399B (zh) | 2023-06-25 | 2023-06-25 | 基于不可靠伪标签半监督学习的恶意流量分类方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116527399B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117557843B (zh) * | 2023-11-13 | 2024-07-05 | 江苏君立华域信息安全技术股份有限公司 | 一种基于半监督学习的流量识别方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149280A (zh) * | 2019-05-27 | 2019-08-20 | 中国科学技术大学 | 网络流量分类方法和装置 |
| CN114037876A (zh) * | 2021-12-16 | 2022-02-11 | 马上消费金融股份有限公司 | 一种模型优化方法和装置 |
| CN115496955A (zh) * | 2022-11-18 | 2022-12-20 | 之江实验室 | 图像分类模型训练方法、图像分类方法、设备和介质 |
| WO2023032665A1 (ja) * | 2021-09-06 | 2023-03-09 | オムロン株式会社 | ラベル生成方法、モデル生成方法、ラベル生成装置、ラベル生成プログラム、モデル生成装置、及びモデル生成プログラム |
| CN115953621A (zh) * | 2022-12-08 | 2023-04-11 | 华中师范大学 | 一种基于不可靠伪标签学习的半监督高光谱图像分类方法 |
| CN116232699A (zh) * | 2023-01-12 | 2023-06-06 | 清华大学深圳国际研究生院 | 细粒度网络入侵检测模型的训练方法和网络入侵检测方法 |
-
2023
- 2023-06-25 CN CN202310746304.1A patent/CN116527399B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149280A (zh) * | 2019-05-27 | 2019-08-20 | 中国科学技术大学 | 网络流量分类方法和装置 |
| WO2023032665A1 (ja) * | 2021-09-06 | 2023-03-09 | オムロン株式会社 | ラベル生成方法、モデル生成方法、ラベル生成装置、ラベル生成プログラム、モデル生成装置、及びモデル生成プログラム |
| CN114037876A (zh) * | 2021-12-16 | 2022-02-11 | 马上消费金融股份有限公司 | 一种模型优化方法和装置 |
| CN115496955A (zh) * | 2022-11-18 | 2022-12-20 | 之江实验室 | 图像分类模型训练方法、图像分类方法、设备和介质 |
| CN115953621A (zh) * | 2022-12-08 | 2023-04-11 | 华中师范大学 | 一种基于不可靠伪标签学习的半监督高光谱图像分类方法 |
| CN116232699A (zh) * | 2023-01-12 | 2023-06-06 | 清华大学深圳国际研究生院 | 细粒度网络入侵检测模型的训练方法和网络入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116527399A (zh) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116527399B (zh) | 基于不可靠伪标签半监督学习的恶意流量分类方法和设备 | |
| CN114553591B (zh) | 随机森林模型的训练方法、异常流量检测方法及装置 | |
| CN111523588B (zh) | 基于改进的lstm对apt攻击恶意软件流量进行分类的方法 | |
| CN114444619B (zh) | 样本生成方法、训练方法、数据处理方法以及电子设备 | |
| CN115632874A (zh) | 一种实体对象的威胁检测方法、装置、设备及存储介质 | |
| CN113904943B (zh) | 账号检测方法、装置、电子设备和存储介质 | |
| CN114726823A (zh) | 一种基于生成对抗网络的域名生成方法、装置和设备 | |
| CN113452700B (zh) | 处理安全信息的方法、装置、设备以及存储介质 | |
| CN111444364B (zh) | 一种图像检测方法和装置 | |
| CN117201340A (zh) | 一种报文特征识别方法、装置、设备及存储介质 | |
| CN112613576A (zh) | 确定告警的方法、装置、电子设备和存储介质 | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
| CN116668054A (zh) | 一种安全事件协同监测预警方法、系统、设备及介质 | |
| CN111046892A (zh) | 异常识别方法和装置 | |
| CN116015861A (zh) | 一种数据检测方法、装置、电子设备及存储介质 | |
| CN115589339A (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN112818972B (zh) | 兴趣点图像的检测方法、装置、电子设备及存储介质 | |
| CN114565105A (zh) | 处理数据的方法和深度学习模型的训练方法、装置 | |
| CN113810342B (zh) | 一种入侵检测方法、装置、设备、介质 | |
| CN115273148A (zh) | 行人重识别模型训练方法、装置、电子设备及存储介质 | |
| CN114882557A (zh) | 一种人脸识别方法和装置 | |
| CN112560987A (zh) | 图像样本处理方法、装置、设备、存储介质和程序产品 | |
| CN113868660B (zh) | 恶意软件检测模型的训练方法、装置以及设备 | |
| CN114092739B (zh) | 图像处理方法、装置、设备、存储介质和程序产品 | |
| CN117135163A (zh) | 下载限速方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |