CN116886433A - 一种基于深度对比学习的加密异常流量检测方法 - Google Patents

Abstract

本发明涉及加密流量识别技术领域，特别涉及一种基于深度对比学习的加密异常流量检测方法，本发明通过经有干扰性词嵌入量和无干扰词嵌入量两者计算得到的第一预测标签输出值和第二预测标签输出值，可以实现两者的结合来学习扰动前后的相似性，通过第一预测标签输出值和第二预测标签输出值计算得到损失标量值，进而可以实现学习扰动前后的差异性，通过学习扰动前后的相似性和差异性，有助于提高模型的鲁棒性，并使其在不平衡样本下表现出色，从而可以有效的捕获到通道特征信息和加密异常流程的多尺度局部信息，使得其能够在加密流量识别任务中较好地处理全局和局部信息，并有效抑制加密异常流量的逃逸攻击。

Description

一种基于深度对比学习的加密异常流量检测方法

技术领域

本发明涉及加密流量识别技术领域，特别涉及一种基于深度对比学习的加密异常流量检测方法。

背景技术

如今，伴随物联网、大数据、云计算等新型网络技术的涌现与演进，互联网的规模不断扩大，从而导致了网络流量呈现出指数级增长。随着公众对网络安全意识的日益增强，未加密的数据传输逐渐被安全的加密传输所代替，加密网络流量在互联网中的占比持续上升。

目前，基于加密异常流量分类方法主要有基于修改网络基础结构并解密、基于统计分析和基于深度学习的检测方法，基于解密的方法涉及用户的隐私问题，并且并非所有的场景下都适合解密，基于统计分析的方法主要是采用机器学习算法，将流量特征传入机器学习模型中进行学习并分类，然而，机器学习需要研究人员基于专家经验手动构建特征集，特征集的质量对分类任务的结果有很大影响，其泛化能力有限，深度学习能够通过训练进行自动化提取特征，基于深度学习的加密流量异常检测也得到了迅速发展。深度学习可以自动从原始流量数据中提取特征，无需复杂的手工特征提取过程，经过一定时间的训练，该方法在准确性以及漏报率等方面都可以取得良好的成果，现已成为流量分类领域的主流方法。

但是上述方法中存在着无法识别出当某些恶意流量只需添加不影响恶意功能的微小扰动即可绕过网络入侵检测系统的检测，从而使得深度学习算法容易遭受逃逸攻击，进而使得其无法再加密流量识别任务中有效的处理全局和局部信息。

发明内容

本发明的主要目的为提供一种基于深度对比学习的加密异常流量检测方法，旨在解决现有技术中的技术问题。

本发明提出一种基于深度对比学习的加密异常流量检测方法，包括：

获取数据集标签数据和多个原始数据包；

根据所述数据集标签数据对多个原始数据包进行反标记，得到无干扰词嵌入向量；

将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值；

向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量，其中，所述干扰性特征包括端口特征、到达时间特征和网协特征；

将所述有干扰词嵌入向量输入至加密流量识别模型中，得到第二预测标签输出值；

根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值；

判断所述损失标量值与预设阈值是否一致；

若所述损失标量值与预设阈值一致，则判定原始数据包为正常流量；

若所述损失标量值与预设阈值不一致，则判定原始数据包为异常流量，并基于源网协地址对异常流量的防火墙规则进行配置，以避免异常流量从内部网络逃逸到外部网络。

作为优选，所述根据所述数据集标签数据对原始数据包进行反标记，得到无干扰词嵌入向量的步骤包括：

将多个所述原始数据包合成流量数据包；

提取所述流量数据包中的网协地址、端口和到达时间信息；

获取特征数据集；

将所述网协地址、端口和到达时间信息与特征数据集中对应的特征值进行标注，得到标注类别信息；

根据所述标注类别信息对原始数据包进行反标记，删除干扰性特征，得到反标记数据包；

将所述反标记数据包进行词嵌入处理，得到无干扰词嵌入向量。

作为优选，所述将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值的步骤，包括：

根据所述有干扰词嵌入向量获取多个第一流量特征，其中，所述第一流量特征包括统计特征、时域特征和频域特征；

将多个第一流量特征进行合并，得到第一全局特征；

将所述第一全局特征分别进行平均池化和最大池化处理，得到第一平均特征值和第一最大特征值；

将所述第一平均特征值和第一最大特征值输入至逻辑函数中，得到第一通道注意力权重，其中，逻辑函数为：其中，W_(C)表示第一通道注意力权重，e表示自然对数的底数，p表示第一平均特征值，z表示第一最大特征值；

获取第一通道注意力权重；

根据第一通道注意力权重和多个第一流量特征计算第一预测标签输出值，其中，计算公式为：

Y＝∑(W_(C)*X_(C))^N；

其中，Y表示第一预测标签输出值，表示W_(C)表示第一通道注意力权重，X_(C)表示每个第一流量特征；N表示第一流量特征的数量。

作为优选，所述将所述第一全局特征分别进行平均池化和最大池化处理，得到第一平均特征值和第一最大特征值的步骤，包括：

获取第一全局特征的通道数；

将所述第一全局特征按照通道数分解为多个通道特征向量；

根据多个通道特征向量按照大小顺序进行排列，得到通道特征排序表；

选取所述通道特征排序表中的最大值，得到第一最大特征值；

根据多个通道特征向量计算第一平均特征值，其中，计算公式为：

其中，T表示第一平均特征值，A₁、A₂、...、An表示多个通道特征向量，N表示通道特征向量的数量。

作为优选，所述向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量的步骤，包括：

设置扰动向量范数上限；

根据所述扰动向量范数上限获取对抗性扰动；

根据所述对抗性扰动生成干扰性特征；

将所述干扰性特征嵌入无干扰词嵌入向量的输入维度中，得到初步嵌入向量；

根据自由负余弦损失算法对所述初步嵌入向量进行迭代更新，得到有干扰词嵌入向量。

作为优选，所述根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值的步骤，包括：

获取第一预测标签输出值和第二预测标签输出值；

根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值，其中，计算公式为：

其中，L表示损失标量值，S₁表示第一预测标签输出值，S₂表示第二预测标签输出值。

本申请还提供一种基于深度对比学习的加密异常流量检测系统，包括：

获取模块，用于获取数据集标签数据和多个原始数据包；

标记模块，用于根据所述数据集标签数据对多个原始数据包进行反标记，得到无干扰词嵌入向量；

第一输入模块，用于将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值；

去除模块，用于向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量，其中，所述干扰性特征包括端口特征、到达时间特征和网协特征；

第二输入模块，用于将所述有干扰词嵌入向量输入至加密流量识别模型中，得到第二预测标签输出值；

计算模块，用于根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值；

判断模块，用于判断所述损失标量值与预设阈值是否一致；

若所述损失标量值与预设阈值一致，则判定原始数据包为正常流量；

若所述损失标量值与预设阈值不一致，则判定原始数据包为异常流量。

作为优选，所述标记模块，包括：

合成单元，用于将多个所述原始数据包合成流量数据包；

提取单元，用于提取所述流量数据包中的网协地址、端口和到达时间信息；

获取单元，用于获取特征数据集；

标注单元，用于将所述网协地址和到达时间信息与特征数据集中对应的特征值进行标注，得到标注类别信息；

反标记单元，用于根据所述标注类别信息对原始数据包进行反标记，删除干扰性特征，得到反标记数据包；

嵌入单元，用于将所述标注类别信息进行词嵌入处理，得到有干扰词嵌入向量。

本发明还提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述基于深度对比学习的加密异常流量检测方法的步骤。

本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述基于深度对比学习的加密异常流量检测方法的步骤。

本发明的有益效果为：本发明首先通过数据集标签数据对多个原始数据包进行反标记，不仅可以生成额外的训练样本，从而扩充训练数据集，而且可以为原始数据包提供额外的信息，通过伪标记，可以将先验知识或领域知识应用于原始数据包中，使模型能够利用这些信息进行更好的学习，然后通过将有干扰词嵌入向量和无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值和第二预测标签输出值，进而再计算损失标量值，通过经有干扰性词嵌入量和无干扰词嵌入量两者计算得到的第一预测标签输出值和第二预测标签输出值，可以实现两者的结合来学习扰动前后的相似性，通过第一预测标签输出值和第二预测标签输出值计算得到损失标量值，进而可以实现学习扰动前后的差异性，若判断出损失标量值与预设阈值不一致，则可识别出当前数据包为异常流量，然后通过配置防火墙规则，限制或阻止异常流量从内部网络逃逸到外部网络或其他敏感区域，确保适当的出站和入站流量过滤，以及控制网络服务和端口的访问，通过学习扰动前后的相似性和差异性，有助于提高模型的鲁棒性，并使其在不平衡样本下表现出色，从而可以有效的捕获到通道特征信息和加密异常流程的多尺度局部信息，使得其能够在加密流量识别任务中较好地处理全局和局部信息，并有效抑制加密异常流量的逃逸攻击。

附图说明

图1为本发明一实施例的方法流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本申请提供一种基于深度对比学习的加密异常流量检测方法，包括：

S1、获取数据集标签数据和多个原始数据包；

S2、根据所述数据集标签数据对多个原始数据包进行反标记，得到无干扰词嵌入向量；

S3、将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值；

S4、向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量，其中，所述干扰性特征包括端口特征、到达时间特征和网协特征；

S5、将所述有干扰词嵌入向量输入至加密流量识别模型中，得到第二预测标签输出值；

S6、根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值；

S7、判断所述损失标量值与预设阈值是否一致；

若所述损失标量值与预设阈值一致，则判定原始数据包为正常流量；

若所述损失标量值与预设阈值不一致，则判定原始数据包为异常流量，并基于源网协地址对异常流量的防火墙规则进行配置，以避免异常流量从内部网络逃逸到外部网络。

如上述步骤S1-S7所述，如今，伴随物联网、大数据、云计算等新型网络技术的涌现与演进，互联网的规模不断扩大，从而导致了网络流量呈现出指数级增长。随着公众对网络安全意识的日益增强，未加密的数据传输逐渐被安全的加密传输所代替，加密网络流量在互联网中的占比持续上升，目前基于深度对比学习的加密异常流量检测方法是一种利用深度学习和对比学习技术来检测加密流量中异常行为的方法，主要应用于网络安全领域，用于监测和识别加密通信中的潜在恶意活动或异常行为，在传统的网络流量检测方法中，加密通信往往会给检测过程带来困难，因为加密流量会隐藏真实的数据内容，使得传统的基于特征或规则的方法无法准确分析和检测，而基于深度对比学习的加密异常流量检测方法旨在解决这一问题，基于深度对比学习的加密异常流量检测方法在加密异常流量检测中，它可以用于构建一个特征提取模型，使得正常流量和异常流量在特征空间中有明显的区别，深度学习可以自动从原始流量数据中提取特征，无需复杂的手工特征提取过程，经过一定时间的训练，该方法在准确性以及漏报率等方面都可以取得良好的成果，现已成为流量分类领域的主流方法，但是上述方法中存在着某些恶意流量只需添加不影响恶意功能的微小扰动即可绕过网络入侵检测系统的检测，从而使得深度学习算法容易遭受逃逸攻击，而本发明首先通过数据集标签数据对多个原始数据包进行反标记，不仅可以生成额外的训练样本，从而扩充训练数据集，而且可以为原始数据包提供额外的信息，通过伪标记，可以将先验知识或领域知识应用于原始数据包中，使模型能够利用这些信息进行更好的学习，然后通过将有干扰词嵌入向量和无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值和第二预测标签输出值，进而再计算损失标量值，通过经有干扰性词嵌入量和无干扰词嵌入量两者计算得到的第一预测标签输出值和第二预测标签输出值，可以实现有干扰性词嵌入量和无干扰词嵌入量两者的结合来学习扰动前后的相似性，通过第一预测标签输出值和第二预测标签输出值计算得到损失标量值，进而可以实现学习扰动前后的差异性，若判断出损失标量值与预设阈值不一致，则可识别出当前数据包为异常流量，然后通过配置防火墙规则，防火墙规则可以基于源网协地址、目标网协地址、端口号、协议类型等信息进行设置，以防止未经授权的访问或特定的攻击类型，限制或阻止异常流量从内部网络逃逸到外部网络或其他敏感区域，确保适当的出站和入站流量过滤，以及控制网络服务和端口的访问，通过学习扰动前后的相似性和差异性，从而能够在加密流量识别任务中较好地处理全局和局部信息，并有效抑制加密异常流量的逃逸攻击，有助于提高模型的鲁棒性，并使其在不平衡样本下表现出色，从而可以有效的捕获到通道特征信息和加密异常流程的多尺度局部信息。

在一个实施例中，所述根据所述数据集标签数据对原始数据包进行反标记，得到无干扰词嵌入向量的步骤包括：

S8、将多个所述原始数据包合成流量数据包，并提取所述流量数据包中的网协地址、端口和到达时间信息；

S9、获取特征数据集；

S10、将所述网协地址、端口和到达时间信息与特征数据集中对应的特征值进行标注，得到标注类别信息；

S11、根据所述标注类别信息对原始数据包进行反标记，删除干扰性特征，得到反标记数据包；

S12、将所述反标记数据包进行词嵌入处理，得到无干扰词嵌入向量。

如上述步骤S8-S12所述，在现有技术中，通过数据集标签数据对多个原始数据包进行反标记主要是通过模型会选择最具信息量的样本来进行人工标记，使用已标记数据进行初始训练，然后使用该模型对未标记数据进行预测，然后选择一些预测结果最不确定或置信度最低的样本进行人工标记，并将其添加到已标记数据集中，上述方式中原始数据包的标记通常需要人工参与，并且是一个耗时和费力的过程，而本发明通过数据集标签数据对多个原始数据包进行反标记，具体是根据提取流量数据包中的网协地址、端口和到达时间信息与特征数据集中对应的特征值得到标注类别信息对原始数据包进行反标记，删除干扰性特征，得到反标记数据包后再进行词嵌入处理，得到无干扰词嵌入向量，上述方式不仅可以生成额外的训练样本，从而扩充训练数据集，可以为原始数据包提供额外的信息，可以将先验知识或领域知识应用于原始数据包中，使模型能够利用这些信息进行更好的学习，通过反标记可以使用已有的标签数据对原始数据包进行伪标记，从而减少了额外的标记工作和相关成本，通过对原始数据包进行反标记，删除干扰性特征，得到反标记数据包，可以实现防止由于网协地址、端口和到达时间信息对检测过程产生干扰并导致过拟合的影响，通过反标记得到的无干扰词嵌入向量便于与后续有干扰词嵌入向量在加密流量识别模型中输出得到的两个预测值便于学习在添加扰动前后的相似性。

在一个实施例中，所述将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值的步骤，包括：

S13、根据所述无干扰词嵌入向量获取多个第一流量特征，其中，所述第一流量特征包括统计特征、时域特征和频域特征；

S14、将多个第一流量特征进行合并，得到第一全局特征；

S15、将所述第一全局特征分别进行平均池化和最大池化处理，得到第一平均特征值和第一最大特征值；

S16、将所述第一平均特征值和第一最大特征值输入至逻辑函数中，得到第一通道注意力权重，其中，逻辑函数为：其中，W_(C)表示第一通道注意力权重，e表示自然对数的底数，p表示第一平均特征值，z表示第一最大特征值；

S17、获取第一通道注意力权重；

S18、根据第一通道注意力权重和多个第一流量特征计算第一预测标签输出值，其中，计算公式为：

Y＝∑(W_(C)*X(_C))^N；

其中，Y表示第一预测标签输出值，表示W_(C)表示第一通道注意力权重，X_(C)表示每个第一流量特征；N表示第一流量特征的数量。

如上述步骤S13-S18所述，现有技术中，计算第一预测标签输出值的方式主要是通过Softmax函数(软最大值函数)将模型的输出转化为每个类别的概率分布，通过生成一个输出向量，每个元素表示对应类别的得分或概率，然后应用Softmax函数将得分或概率转化为概率分布，即将所有类别的得分进行归一化，使其满足概率的性质，根据Softmax函数计算得到的概率分布中概率最高的类别即为第一预测标签输出值，但是上述计算方式通常只考虑最高得分或概率对应的类别，而忽略了其他类别的置信度信息，这可能导致在模型预测不确定性较高的情况下，忽略了其他可能的类别，并可能导致错误的预测，而本发明通过先对第一全局特征分别进行平均池化和最大池化处理，得到第一平均特征值和第一最大特征值，通过第一平均特征值和第一最大特征值输入至逻辑函数中，得到第一通道注意力权重，进而再根据第一通道注意力权重和多个第一流量特征计算第一预测标签输出值，由于加密流量通常较为隐蔽和复杂，嵌入干扰词可以使得输入数据变得更具挑战性，通过将这些有干扰的词嵌入向量引入模型，可以增加模型对于干扰的鲁棒性，提高模型的处理能力，还可以让模型在训练阶段学习到更具有泛化性的特征，从而使得模型在面对未知的加密流量时仍能做出准确的预测，通过将干扰词嵌入向量作为输入，相当于对数据进行了一种扩充和增强，通过引入更多变化和不确定性，可以使得模型更好地适应多样化的加密流量，提升模型的鲁棒性和准确性，加密流量识别模型的任务是检测和识别潜在的恶意行为或威胁，而攻击者通常会尝试绕过模型的识别。通过引入干扰词嵌入向量，可以增加攻击者在生成具有干扰性的流量时的难度，提高系统的安全性。

在一个实施例中，所述将所述第一全局特征分别进行平均池化和最大池化处理，得到第一平均特征值和第一最大特征值的步骤，包括：

S19、获取第一全局特征的通道数；

S20、将所述第一全局特征按照通道数分解为多个通道特征向量；

S21、根据多个通道特征向量按照大小顺序进行排列，得到通道特征排序表；

S22、选取所述通道特征排序表中的最大值，得到第一最大特征值；

S23、根据多个通道特征向量计算第一平均特征值，其中，计算公式为：

其中，T表示第一平均特征值，A₁、A₂、...、An表示多个通道特征向量，N表示通道特征向量的数量。

如上述步骤S421-S425所述，现有技术中计算第一平均特征值和第一最大特征值的方式是通过自注意力机制，自注意力机制是一种通过计算不同位置之间的注意力权重来得到全局特征的方法，它在自然语言处理和计算机视觉领域都有广泛的应用，通过将全局特征与自身进行交互，自注意力机制可以学习到更丰富的特征表示，但是上述方式通常需要计算每个位置与其他位置之间的注意力权重，这导致了较高的计算复杂度，特别是在处理大规模数据时，计算复杂度可能会成为一个问题，限制了自注意力机制在实际应用中的可扩展性和效率，而本发明中通过平均池化用于从全局特征中提取单一的特征值，在平均池化中，全局特征向量中的各个特征值被求平均值，从而得到一个平均特征值，具体是将所述第一全局特征按照通道数分解为多个通道特征向量，根据多个通道特征向量计算第一平均特征值，而通过最大池化用于从全局特征中提取单一的特征值。在最大池化中，全局特征向量中的各个特征值中的最大值被选取作为特征值，具体是将所述第一全局特征按照通道数分解为多个通道特征向量，然后根据多个通道特征向量按照大小顺序进行排列，得到通道特征排序表，选取所述通道特征排序表中的最大值，即可得到第一最大特征值，上述方式可以从全局特征中提取代表性的特征值，避免了计算复杂度，并可用于特征降维和表征。

在一个实施例中，所述向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量的步骤，包括：

S24、设置扰动向量范数上限；

S25、根据所述扰动向量范数上限获取对抗性扰动，并根据所述对抗性扰动生成干扰性特征；

S26、将所述干扰性特征嵌入无干扰词嵌入向量的输入维度中，得到初步嵌入向量；

S27、根据自由负余弦损失算法对所述初步嵌入向量进行迭代更新，得到有干扰词嵌入向量。

如上述步骤S24-S27所述，本发明中通过去除这些干扰性特征，模型可以更专注于任务相关的有效特征，从而提高模型的准确性和泛化能力，而根据自由负余弦损失算法(FreeLB算法)来实现学习扰动前后的相似性，即使得得到的有干扰词嵌入向量与无干扰词嵌入向量之间相似，其中FreeLB算法主要是通过最小化同一样本的不同视角之间的负余弦相似度，并同时最大化不同样本的负余弦相似度，来学习句子或文本的表示，而由于词嵌入向量通常是高维的，包含大量的特征，去除干扰性特征可以减少维度，从而降低模型的复杂度和计算成本，提高模型训练和推断的效率，去除干扰性特征可以使模型更具解释性，通过减少无关特征的影响，可以更清晰地理解模型对任务的关注点和决策依据，从而提高模型的可解释性，干扰性特征可能加大模型的过拟合风险，即模型在训练数据上表现良好，但在新数据上表现较差，通过去除这些干扰性特征，可以减少模型对训练数据中的噪声和不相关特征的学习，从而降低过拟合的风险，通过保留与任务相关的重要特征，模型能够更好地适应新数据，产生更准确和可靠的预测结果。

在一个实施例中，所述根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值的步骤，包括：

S28、获取第一预测标签输出值和第二预测标签输出值；

S29、根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值，其中，计算公式为：

其中，L表示损失标量值，S₁表示第一预测标签输出值，S₂表示第二预测标签输出值。

如上述步骤S28-S29所述，现有技术中计算损失标量值的方式主要是通过许多机器学习和深度学习框架中的损失函数直接返回一个标量值，这个值代表了模型的损失或错误度量，例如，对于分类任务，交叉熵损失函数通常会返回一个标量值，有时损失函数会计算每个样本的损失值，并将其求和或求平均来得到一个标量值。这可以通过调用框架内置的函数或显式计算来完成。例如，在训练过程中，可以计算每个批次的损失值，并将它们求和或求平均来得到总体损失标量值，而本发明中通过第一预测标签输出值和第二预测标签输出值计算损失标量值，其中，第一预测标签输出值和第二预测标签输出值是采用有干扰性词嵌入量和无干扰词嵌入量经Barlow Twins方法(巴洛双胞胎对比学习)，通过经有干扰性词嵌入量和无干扰词嵌入量两者计算得到的第一预测标签输出值和第二预测标签输出值之间的互信息来学习特征表示，通过Barlow Twins方法与自由负余弦损失算法(FreeLB算法)的结合来学习扰动前后的相似性，其中，上述两个输出值是通过双正损失函数来计算得到损失标量值的，进而可以实现学习扰动前后的差异性，通过学习扰动前后的相似性和差异性，从而能够在加密流量识别任务中较好地处理全局和局部信息，并有效抑制加密异常流量的逃逸攻击，通过对比学习方法和双正损失函数的结合有助于提高模型的鲁棒性，并使其在不平衡样本下表现出色，而且可以进行多任务学习，通过共享模型的表示能力和参数，可以提高模型的泛化能力和效率，例如，在图像分类任务中，可以同时预测图像的类别和属性，通过计算类别和属性的损失来训练模型，通过比较不同预测标签之间的损失，可以评估模型在不同任务上的性能差异，这有助于选择最佳模型或进行模型选择，不仅通过同时考虑多个预测标签之间的损失，可以增强模型的泛化能力，不同的预测标签可以提供互补的信息，帮助模型更好地理解数据和学习数据中的不同方面，通过将这些信息捕捉到损失中，可以让模型更全面地学习任务的特征表示，而且通过引入多个预测标签的损失，可以增加模型的多样性和鲁棒性，不同的预测标签可以对应不同的模型假设和学习目标，从而提供对不同方面的鲁棒建模能力，这对于处理多样化的数据和应对模型输入的变化或噪声具有好处。

本申请还提供一种基于深度对比学习的加密异常流量检测系统，包括：

获取模块，用于获取数据集标签数据和多个原始数据包；

标记模块，用于根据所述数据集标签数据对多个原始数据包进行反标记，得到无干扰词嵌入向量；

第一输入模块，用于将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值；

去除模块，用于向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量，其中，所述干扰性特征包括端口特征、到达时间特征和网协特征；

第二输入模块，用于将所述有干扰词嵌入向量输入至加密流量识别模型中，得到第二预测标签输出值；

计算模块，用于根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值；

判断模块，用于判断所述损失标量值与预设阈值是否一致；

若所述损失标量值与预设阈值一致，则判定原始数据包为正常流量；

若所述损失标量值与预设阈值不一致，则判定原始数据包为异常流量。

在一个实施例中，所述标记模块，包括：

合成单元，用于将多个所述原始数据包合成流量数据包；

提取单元，用于提取所述流量数据包中的网协地址、端口和到达时间信息；

获取单元，用于获取特征数据集；

标注单元，用于将所述网协地址和到达时间信息与特征数据集中对应的特征值进行标注，得到标注类别信息；

反标记单元，用于根据所述标注类别信息对原始数据包进行反标记，删除干扰性特征，得到反标记数据包；

嵌入单元，用于将所述标注类别信息进行词嵌入处理，得到有干扰词嵌入向量。

本发明还提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述基于深度对比学习的加密异常流量检测方法的步骤。

本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述基于深度对比学习的加密异常流量检测方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储与一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM通过多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于深度对比学习的加密异常流量检测方法，其特征在于，包括：

获取数据集标签数据和多个原始数据包；

根据所述数据集标签数据对多个原始数据包进行反标记，得到无干扰词嵌入向量；

将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值；

向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量，其中，所述干扰性特征包括端口特征、到达时间特征和网协特征；

将所述有干扰词嵌入向量输入至加密流量识别模型中，得到第二预测标签输出值；

根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值；

判断所述损失标量值与预设阈值是否一致；

若所述损失标量值与预设阈值一致，则判定原始数据包为正常流量；

若所述损失标量值与预设阈值不一致，则判定原始数据包为异常流量，并基于源网协地址对异常流量的防火墙规则进行配置，以避免异常流量从内部网络逃逸到外部网络。

2.根据权利要求1所述的基于深度对比学习的加密异常流量检测方法，其特征在于，所述根据所述数据集标签数据对原始数据包进行反标记，得到无干扰词嵌入向量的步骤包括：

将多个所述原始数据包合成流量数据包；

提取所述流量数据包中的网协地址、端口和到达时间信息；

获取特征数据集；

将所述网协地址、端口和到达时间信息与特征数据集中对应的特征值进行标注，得到标注类别信息；

根据所述标注类别信息对原始数据包进行反标记，删除干扰性特征，得到反标记数据包；

将所述反标记数据包进行词嵌入处理，得到无干扰词嵌入向量。

3.根据权利要求1所述的基于深度对比学习的加密异常流量检测方法，其特征在于，所述将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值的步骤，包括：

根据所述无干扰词嵌入向量获取多个第一流量特征，其中，所述第一流量特征包括统计特征、时域特征和频域特征；

将多个第一流量特征进行合并，得到第一全局特征；

将所述第一全局特征分别进行平均池化和最大池化处理，得到第一平均特征值和第一最大特征值；

将所述第一平均特征值和第一最大特征值输入至逻辑函数中，得到第一通道注意力权重，其中，逻辑函数为：其中，W_(C)表示第一通道注意力权重，e表示自然对数的底数，p表示第一平均特征值，z表示第一最大特征值；

获取第一通道注意力权重；

根据第一通道注意力权重和多个第一流量特征计算第一预测标签输出值，其中，计算公式为：

Y＝∑(W_(C)*X_(C))^N；

其中，Y表示第一预测标签输出值，表示W_(C)表示第一通道注意力权重，X_(C)表示每个第一流量特征；N表示第一流量特征的数量。

4.根据权利要求3所述的基于深度对比学习的加密异常流量检测方法，其特征在于，所述将所述第一全局特征分别进行平均池化和最大池化处理，得到第一平均特征值和第一最大特征值的步骤，包括：

获取第一全局特征的通道数；

将所述第一全局特征按照通道数分解为多个通道特征向量；

根据多个通道特征向量按照大小顺序进行排列，得到通道特征排序表；

选取所述通道特征排序表中的最大值，得到第一最大特征值；

根据多个通道特征向量计算第一平均特征值，其中，计算公式为：

其中，T表示第一平均特征值，A₁、A₂、...、An表示多个通道特征向量，N表示通道特征向量的数量。

5.根据权利要求1所述的基于深度对比学习的加密异常流量检测方法，其特征在于，所述向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量的步骤，包括：

设置扰动向量范数上限；

根据所述扰动向量范数上限获取对抗性扰动；

根据所述对抗性扰动生成干扰性特征；

将所述干扰性特征嵌入无干扰词嵌入向量的输入维度中，得到初步嵌入向量；

根据自由负余弦损失算法对所述初步嵌入向量进行迭代更新，得到有干扰词嵌入向量。

6.根据权利要求1所述的基于深度对比学习的加密异常流量检测方法，其特征在于，所述根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值的步骤，包括：

获取第一预测标签输出值和第二预测标签输出值；

根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值，其中，计算公式为：

其中，L表示损失标量值，S₁表示第一预测标签输出值，S₂表示第二预测标签输出值。

7.一种基于深度对比学习的加密异常流量检测系统，其特征在于，包括：

获取模块，用于获取数据集标签数据和多个原始数据包；

标记模块，用于根据所述数据集标签数据对多个原始数据包进行反标记，得到无干扰词嵌入向量；

第一输入模块，用于将所述无干扰词嵌入向量输入至加密流量识别模型中，得到第一预测标签输出值；

去除模块，用于向所述无干扰词嵌入向量嵌入干扰性特征，得到有干扰词嵌入向量，其中，所述干扰性特征包括端口特征、到达时间特征和网协特征；

第二输入模块，用于将所述有干扰词嵌入向量输入至加密流量识别模型中，得到第二预测标签输出值；

计算模块，用于根据所述第一预测标签输出值和第二预测标签输出值计算损失标量值；

判断模块，用于判断所述损失标量值与预设阈值是否一致；

若所述损失标量值与预设阈值一致，则判定原始数据包为正常流量；

若所述损失标量值与预设阈值不一致，则判定原始数据包为异常流量，并基于源网协地址对异常流量的防火墙规则进行配置，以避免异常流量从内部网络逃逸到外部网络。

8.根据权利要求7所述的基于深度对比学习的加密异常流量检测系统，其特征在于，所述标记模块，包括：

合成单元，用于将多个所述原始数据包合成流量数据包；

提取单元，用于提取所述流量数据包中的网协地址、端口和到达时间信息；

获取单元，用于获取特征数据集；

标注单元，用于将所述网协地址和到达时间信息与特征数据集中对应的特征值进行标注，得到标注类别信息；

反标记单元，用于根据所述标注类别信息对原始数据包进行反标记，删除干扰性特征，得到反标记数据包；

嵌入单元，用于将所述标注类别信息进行词嵌入处理，得到有干扰词嵌入向量。

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。