CN116599683A

CN116599683A - 一种恶意流量检测方法、系统、装置及存储介质

Info

Publication number: CN116599683A
Application number: CN202211061332.1A
Authority: CN
Inventors: 王禹博; 徐小龙
Original assignee: Nanjing University of Posts and Telecommunications
Current assignee: Nanjing University of Posts and Telecommunications
Priority date: 2022-09-01
Filing date: 2022-09-01
Publication date: 2023-08-15

Abstract

本发明公开了一种恶意流量检测方法、系统、装置及存储介质，属于网络流量分析和网络空间安全应用的技术领域，方法包括：获取待检测的流量统计信息，对流量统计信息进行格式预处理得到样本向量；将样本向量输入到预训练好的神经网络部分框架搜索网络模型中，得到预测向量；预测向量中包含多个预测值，每个预测值中包含自身的分类标签，选取最大预测值的分类标签作为最终分类标签，若最终分类标签为恶意，则流量统计信息对应的流量为恶意流量，否则为非恶意流量；无需进行手动特征设计即可判断所述流量的类别；通过使用较为轻量化的模型，计算量减小，能够部署在边缘计算节点，增强了特征提取能力与实用性，克服了精度不足与普适性不够的问题。

Description

一种恶意流量检测方法、系统、装置及存储介质

技术领域

本发明涉及一种恶意流量检测方法、系统、装置及存储介质，属于网络流量分析和网络空间安全应用的技术领域。

背景技术

随着互联网、物联网(Internet of Tings,IoT)、大数据以及人工智能为代表的新一代信息技术的快速发展，以及与传统产业的加速融合，全球新一轮科技革命和产业革命正蓬勃兴起，新的生产方式、组织方式和商业模式的不断涌现，工业物联网(IndustrialInternet of Tings,IIoT)应运而生，推动着全球工业体系的智能化变革。

相较传统IoT，在IIoT中，由于设备组件通常多出数个数量级，且组件间的联系十分复杂，基于经验与签名的人工恶意流量检测成本十分高昂。此外，相对传统IoT，由于IIoT往往涉及更高价值的设备资产，且常大规模地应用在具有更高重要性的行业，如能源、运输、工业控制等，对网络攻击的准确性检测与异常及时处理有着更高的要求，因此，设计一种高效、准确、稳定而又具有鲁棒性的IIoT恶意流量检测方法在当下显得愈发重要。

但是，由于上文提出的IIoT的设备复杂性以及组件间的海量的通信，可以预见，传统恶意流量检测的计算开销将变得十分巨大，以至于云计算中心将无法承担；为了解决这个问题，研究人员提出了新的分布式智能计算网络架构，如边缘计算，以弥补云计算的不足；这些技术允许边缘计算节点以分布式、低延迟和高可用性的形式为附近的数据源提供服务，将计算任务卸载到边缘节点，解决了IIoT中的资源紧张问题,可以满足IIoT的计算、存储、控制需求。

与其他服务类似，传统的集中式网络恶意流量检测架构难以适应分布式环境，此外，分布式计算导致的计算节点之间的多次、海量通信不仅增加了IIoT组件通信的复杂性，还使得分布式计算节点成为了新的易受攻击的对象。因此，更好的方式是直接在边缘节点部署，将恶意流量检测部署到边缘节点，从而为直接连接的网络设备提供低延时的安全支持，但是，相较计算中心和分布式计算，边缘计算节点往往缺乏足够的计算能力。

网络恶意流量检测是计算机网络的必要任务之一，在新型网络架构不断涌现，规模和复杂度不断扩展的今天，网络安全问题成为了网络发展的阻碍；传统的网络恶意流量检测的方法大致可以分为两类，第一类是基于签名的方法，第二类是基于特征的方法。

基于签名的方法通过将输入样本与一系列已知的网络异常攻击样本模式进行匹配，从而识别出异常流量；这类方法需要维护一个记录异常行为规则的数据库，成本高，时间开销大，由于新的网络攻击类型不断地出现，这种方法无法适应现在网络吞吐量高速增长下的安全需求。

而基于特征的方法则很好地弥补了该缺陷，这些方法通过分析学习历史数据、统计特征，从而识别出当前网络中的异常行为；其中机器学习方法在检测未知异常行为上具有更大的潜力。

基于机器学习的方法通常基于统计特征，需要手动设计和选择特征，目前的工作通常包括两部分：特征提取和算法设计。

综上，当前工作中对工业物联网恶意流量检测的研究仍存在以下不足：一、随着加密技术和混淆技术的普及，流量特征容易变化，基于规则的方法(包括基于端口、基于荷载的方法)对规则的提取十分困难，流量变动之后容易失效，时间效率低；二、基于流量包内容的机器学习方法，手动设计特征困难，流量包内容更为复杂，且无关信息更低，实时性差；三、基于深度学习的算法计算成本通常十分高昂，无法部署在边缘计算节点，实时性以及安全性无法保证；四、基于深度学习的算法，通常普适性较低，在不同的场景下难以达到预期的效果。

发明内容

本发明的目的在于提供一种恶意流量检测方法、系统、装置及存储介质，解决现有技术中手动设计特征困难、无法部署在边缘计算节点、实时性和普适性差、特征提取能力差等问题。

为实现以上目的，本发明是采用下述技术方案实现的：

第一方面，本发明提供了一种恶意流量检测方法，包括：

获取待检测的流量统计信息，对流量统计信息进行格式预处理得到样本向量；

将样本向量输入到预训练好的神经网络部分框架搜索网络模型中，得到预测向量；

预测向量中包含多个预测值，每个预测值中包含自身的分类标签，选取最大预测值的分类标签作为最终分类标签，若最终分类标签为恶意，则流量统计信息对应的流量为恶意流量，否则为非恶意流量。

结合第一方面，进一步的，所述对流量统计信息进行格式预处理得到样本向量，包括：

对流量统计信息中的字符串型的信息进行独热编码，然后对流量统计信息进行向量化、归一化和标准化处理，得到格式化的样本向量。

结合第一方面，进一步的，所述神经网络部分框架搜索网络模型通过以下方法训练：

获取训练数据集，对训练数据集中的训练数据进行格式预处理；

将格式预处理后的训练数据输入到神经网络部分框架搜索网络模型中，得到模型的输出；

根据模型的输出计算交叉熵损失，根据交叉熵损失更新神经网络部分框架搜索网络模型的参数；

重复上述步骤，直至交叉熵损失达到收敛。

结合第一方面，进一步的，所述交叉熵损失的计算公式为：

其中，L是交叉熵损失，K是预测的流量种类综合数，I(·)是指示函数，y是当前流量种类的标签，p_k是当前流量为第k类的softmax概率。

结合第一方面，进一步的，在更新神经网络部分框架搜索网络模型的参数时，使用了余弦指数波动衰减学习率更新策略，表示为：

其中，lr(epoch)是在第epoch轮训练时的学习率，epoch是训练的轮数，epoch_max是最大训练轮数，lr_basic是学习率下限，γ是初始学习率衰减率，times是训练过程中波动次数。

结合第一方面，进一步的，在神经网络部分框架搜索网络模型中，通过多线性多维投影机制对样本向量进行升维，使一维的样本向量转换为二维矩阵，通过基于二维高斯分布的部分可学习位置编码对二维矩阵进行位置信息的嵌入，基于多头自注意力机制对二维矩阵进行自注意力计算，基于神经网络部分框架搜索进行最优体系结构的寻找，最后通过全连接层输出预测向量。

结合第一方面，进一步的，在进行位置信息嵌入时的位置编码矩阵为：

其中，PE为在查询中嵌入的位置信息，嵌入方法为将查询对应行row上对应位置pos的值与PE(pos,row)相乘作为新的查询，A是用于放缩PE范围的常数，μ₀,μ₁,σ₀,σ₁,ρ是用于控制PE值的大小的参数；

函数γ(μ₀,μ₁,σ₀,σ₁,ρ,pos,row)的表达式为：

第二方面，本发明还提供了一种恶意流量检测系统，包括：

样本向量获取模块：用于获取待检测的流量统计信息，对流量统计信息进行格式预处理得到样本向量；

样本向量处理模块：用于将样本向量输入到预训练好的神经网络部分框架搜索网络模型中，得到预测向量；

恶意流量判断模块：用于选取最大预测值的分类标签作为最终分类标签，预测向量中包含多个预测值，每个预测值中包含自身的分类标签，若最终分类标签为恶意，则流量统计信息对应的流量为恶意流量，否则为非恶意流量。

第三方面，本发明还提供了一种恶意流量检测装置，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据第一方面任一项所述方法的步骤。

第四方面，本发明还提供了计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现第一方面任一项所述方法的步骤。

与现有技术相比，本发明所达到的有益效果是：

本发明提供的一种恶意流量检测方法、系统、装置及存储介质，仅需要获得流量的统计特征(即流量统计信息)，即可判断所述流量的类别，不需要专家进行手动特征设计；在使用固定长度样本以保证训练效率的前提下，通过神经网络部分框架搜索网络模型的使用，模型较为轻量化，计算量相比传统深度学习模型大大减小，能够部署在工业物联网的边缘计算节点，大大增强了模型的特征提取能力与实用性，克服了模型精度不足与普适性不够的问题；

且本发明方案还提出了使用多线性多维投影机制对样本向量进行升维，使一维的样本向量转换为二维矩阵，解决了输入特征序列的重要特征分布过远的问题。

附图说明

图1是本发明实施例提供的一种恶意流量检测方法的流程图之一；

图2是本发明实施例提供的一种恶意流量检测方法的流程图之二；

图3是本发明实施例提供的神经网络部分框架搜索网络模型的结构示意图；

图4是本发明实施例提供的多线性多维投影机制的示意图。

具体实施方式

下面结合附图对本发明作进一步描述，以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例1

如图1所示，本发明实施例提供的一种恶意流量检测方法，包括以下步骤：

S1、获取待检测的流量统计信息，对流量统计信息进行格式预处理得到样本向量。

对待检测的流量进行信息统计，得到流量统计信息。

对流量统计信息中存在的部分信息是字符串的信息进行独热编码，将一个分类变量替换为一个或多个新特征，新特征取值为0和1。

由于流量统计信息中各类型量化单位不同，且数值差异较大，为了提升训练速度与模型精度，有必要对各类型进行归一化处理；故对独热编码后的流量统计信息进行向量化、归一化和标准化处理，得到格式化的样本向量。

S2、将样本向量输入到预训练好的神经网络部分框架搜索网络模型中，得到预测向量。

神经网络部分框架搜索网络模型是预先构建的，如图3所示，在神经网络部分框架搜索网络模型中，通过多线性多维投影机制对样本向量进行升维，使一维的样本向量转换为二维矩阵，通过基于二维高斯分布的部分可学习位置编码对二维矩阵进行位置信息的嵌入，基于多头自注意力机制对二维矩阵进行自注意力计算，基于神经网络部分框架搜索进行最优体系结构的寻找，最后通过全连接层输出预测向量(图3中的独热预测标签矩阵)。

如图4所示，多线性多维投影机制是一种具有缩短特征间距离的多线性多维投影机制，其具体方法如下：

(1)首先将样本向量通过h个全连接层,产生h个长度为m’的序列分别为γ₁,γ₂,γ₃……γ_h。

(2)随后将上述序列进行逆置操作,得到序列γ₁’,γ₂’,γ₃’……γ_h’。

(3)接下来，从γ₁,γ₂,γ₃……γ_h中选取h-1个序列，编号为λ₁,λ₂,λ₃……λ_h-1,进行移位操作，具体方法为：选取第j个序列，将第i位的特征放入第位，得到序列λ₁,λ₂,λ₃……λ_h-1。

(4)随后将上述γ₁,γ₂,γ₃……γ_h、γ₁’,γ₂’,γ₃’……γ_h’、λ₁,λ₂,λ₃……λ_h-1进行拼接,获得了一个m’*(3h-1)的多维矩阵,拼接方式为：γ₁,γ₂’,λ₁,γ₂,γ₃’,λ₂,γ₃,γ₄’,λ₃……γ_h’,λ_h-1,γ_h’,γ₁’。

如图4所示，通过多线性多维投影机制能够对单次数据进行复用，通过窗口平移与倒序交叠操作在较大程度上减小计算量，并且保证每一个特征可以尽可能地远离其本来的位置，以降低任意两特征之间的最大距离，该距离可以近似看作在卷积过程中获得两特征间联系的计算难度。

网络流量传播过程中数据包的统计特征出现的位置是固定的，因此先后顺序对结果的影响十分显著，在过去，对强依赖先后逻辑顺序的特征进行处理时，研究人员常使用长短期记忆人工神经网络(Long Short-Term Memory，LSTM)来进行特征提取，LSTM可以同时处理同一个样本中的多个数据特征向量，捕获不同数据之间的时间序列关系；然而，LSTM在长距离传播中损失的信息较多，且对特征重要度不敏感，因此本发明实施例采用多头注意力机制对流量的重要统计特征进行提取。

在进行自注意力计算前，对于存在先后逻辑顺序的特征，需要通过位置编码(PE)，给输入特征人工地添加一部分用以辨别的位置信息，从而解决自注意力机制自身相较传统卷积神经网络等神经网络模块对位置信息的缺失，在进行位置信息嵌入时的位置编码矩阵为：

函数γ(μ₀,μ₁,σ₀,σ₁,ρ,pos,row)的表达式为：

神经网络框架搜索(Neural Architecture Search，NAS)可以在无需人工干预的情况下为特定的深度学习问题寻找有效的体系结构，从而取代了设计繁琐的网络体系结构的过程；NAS可以粗略地看作一个最优化问题，其关键方法是构建一个庞大的网络体系结构搜索空间，开发一种有效的算法来探索该空间，并在训练数据和特定约束(如有限的模型大小或限制最低推理速度)的组合下发现最优结构。

神经网络框架搜索(Neural Architecture Partical Search，NPAS)是本专利提出的一个概念，由于上文所述的各种NAS框架均是以卷积层与池化层作为基本的计算单元，计算模式相对单一，本发明实施例将恶意流量检测的网络模型与多头自注意力机制相结合，但是相比卷积层，多头自注意力机制的计算开销十分巨大，如果加入子网络，搜索速度会受到很大的影响；因此在本发明实施例中，整个骨干网络只是部分参与了搜索过程。

其功能在于综上模型具有轻量化特性，可以部署在边缘计算节点以减少工业物联网计算中心负担，且具有高准确率、低误报率的可信性，相较其它恶意流量检测模型，本模型的误报率在同数据集下的表现结果通常要低1-2个数量级；此外，本发明实施例所述模型还具有各场景下均有较好表现的普适性，表现在其网络架构随训练数据的变化而变化。

神经网络部分框架搜索网络模型通过以下方法训练：

重复上述步骤，直至交叉熵损失达到收敛。

交叉熵损失的计算公式为：

在更新神经网络部分框架搜索网络模型的参数时，使用了余弦指数波动衰减学习率更新策略，表示为：

在本发明实施例的神经网络部分框架搜索网络模型中，将神经单元堆叠多次以形成主干卷积神经网络；定义两种类型的神经单元(正常单元和还原单元)，正常单元是保持特征张量空间分辨率的单元，还原单元是将空间分辨率除以2，并将过滤器数量乘以2的单元；将位于总深度1/3和2/3的单元设置为还原单元，其他单元为正常单元，所有正常单元共享相同的结构，所有还原单元分别共享相同的结构，最后一个单元的输出随后被馈送到平均池化层，紧接着是输出sfotmax概率的全连接层。

定义两组参数：一组控制操作选择的结构参数α和一组O中所有操作的权重参数ω；使用结构参数α_ij∈R|O|将边(i,j)上特定操作o_ij的分类选择放宽为搜索空间中所有可能操作的softmax；因此，搜索空间变得连续，可以通过优化结构参数来实现神经网络部分框架搜索；此外，由于有两种类型的神经单元(正常单元和还原单元)，结构参数变为α＝(α_正常,α_还原),其中α_正常在所有正常单元中共享,α_还原在所有还原单元中共享。

使用部分通道连接可微神经网络部分框架搜索算法通过反向传播联合学习α和ω；将训练损失表示为L_训练集(ω,α)，验证损失表示为L_验证集(ω,α)；神经网络部分框架搜索过程可以被视为一个双层优化问题，其目的是找到一个使L_验证集(ω,α)最小化的最优α，其中最优ω是通过最小化L_训练集(ω,α)来确定的：

其中，s.t.表示使其满足…条件，argmin_ωL_训练集(ω,α)表示使L_训练集(ω,α)取最小值时的ω的取值。

对L_训练集和L_验证集使用交叉熵损失：

当神经单元中的操作选择收敛时，算法终止，通过结构参数α的熵来衡量神经单元中的操作选择是否收敛：

熵越小，表示在所有可能的操作中选择特定操作的置信度越高。

对于每个节点x_j，保留所有前一个节点x_i中具有最高softmax概率的两个操作(零操作除外)；节点(i,j)之间操作o的softmax概率定义为:

其中，指对/>取自然指数操作，/>是对节点(i,j)的加权运算o(x_i)的超参数。

利用衍生的神经单元，通过堆叠多个神经单元来构建卷积神经网络。

如图2所示，将样本向量输入到预训练好的神经网络部分框架搜索网络模型中，得到预测向量。

S3、预测向量中包含多个预测值，每个预测值中包含自身的分类标签，选取最大预测值的分类标签作为最终分类标签，若最终分类标签为恶意，则流量统计信息对应的流量为恶意流量，否则为非恶意流量。

如图2所示，本发明实施例提供的一种恶意流量检测方法，还可以总结为下述步骤：

将流量统计信息(即图2中的特定场景下原始流量统计特征)进行预处理，具体的预处理方法参见上文，得到样本向量，将样本向量分为训练数据集和验证数据集；训练数据集中的样本向量输入到神经网络部分框架搜索网络模型中进行训练，训练方法参见上文，训练结束后对模型进行固化；验证数据集中的样本向量则直接输入到训练好的神经网络部分框架搜索网络模型中，得到预测向量(即图2中最终模型的输出)，取预测向量中最大预测值的分类标签作为最终分类标签，若最终分类标签为恶意，则流量统计信息对应的流量为恶意流量，否则为非恶意流量。

综上所述，本发明实施例提供的一种恶意流量检测方法，利用神经网络技术的特征提取能力，与神经网络部分框架搜索的模型自动重构能力，仅通过流量的统计特征，即可高精度、高速、低计算代价地识别流量的类别。

实施例2

本发明实施例提供的一种恶意流量检测系统，包括：

实施例3

本发明实施例提供的一种恶意流量检测装置，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行下述方法的步骤：

实施例4

本发明实施例提供的计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现下述方法的步骤：

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

1.一种恶意流量检测方法，其特征在于，包括：

2.根据权利要求1所述的一种恶意流量检测方法，其特征在于，所述对流量统计信息进行格式预处理得到样本向量，包括：

3.根据权利要求1所述的一种恶意流量检测方法，其特征在于，所述神经网络部分框架搜索网络模型通过以下方法训练：

重复上述步骤，直至交叉熵损失达到收敛。

4.根据权利要求3所述的一种恶意流量检测方法，其特征在于，所述交叉熵损失的计算公式为：

5.根据权利要求3所述的一种恶意流量检测方法，其特征在于，在更新神经网络部分框架搜索网络模型的参数时，使用了余弦指数波动衰减学习率更新策略，表示为：

6.根据权利要求1所述的一种恶意流量检测方法，其特征在于，在神经网络部分框架搜索网络模型中，通过多线性多维投影机制对样本向量进行升维，使一维的样本向量转换为二维矩阵，通过基于二维高斯分布的部分可学习位置编码对二维矩阵进行位置信息的嵌入，基于多头自注意力机制对二维矩阵进行自注意力计算，基于神经网络部分框架搜索进行最优体系结构的寻找，最后通过全连接层输出预测向量。

7.根据权利要求6所述的一种恶意流量检测方法，其特征在于，在进行位置信息嵌入时的位置编码矩阵为：

函数γ(μ₀,μ₁,σ₀,σ₁,ρ,pos,row)的表达式为：

8.一种恶意流量检测系统，其特征在于，包括：

9.一种恶意流量检测装置，其特征在于，包括处理器及存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据权利要求1至7任一项所述方法的步骤。

10.计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。