CN117336057A - 一种基于深度学习的轻量化恶意流量分类方法 - Google Patents
一种基于深度学习的轻量化恶意流量分类方法 Download PDFInfo
- Publication number
- CN117336057A CN117336057A CN202311300181.5A CN202311300181A CN117336057A CN 117336057 A CN117336057 A CN 117336057A CN 202311300181 A CN202311300181 A CN 202311300181A CN 117336057 A CN117336057 A CN 117336057A
- Authority
- CN
- China
- Prior art keywords
- module
- lrb
- lightweight
- malicious traffic
- convolution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000013135 deep learning Methods 0.000 title claims abstract description 24
- 208000037170 Delayed Emergence from Anesthesia Diseases 0.000 claims abstract description 29
- 238000013145 classification model Methods 0.000 claims abstract description 23
- 238000011176 pooling Methods 0.000 claims abstract description 15
- 230000003211 malignant effect Effects 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 35
- 238000010606 normalization Methods 0.000 claims description 19
- 238000012549 training Methods 0.000 claims description 15
- 238000013461 design Methods 0.000 claims description 7
- 238000003491 array Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 4
- 230000006872 improvement Effects 0.000 description 4
- 238000012935 Averaging Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于深度学习的轻量化恶意流量分类方法。轻量化恶意流量分类方法将表征流量数据的灰度图像通过设计好的轻量化恶意流量分类模型进行分类,得到是良性流量还是恶性流量的输出结果。轻量化恶意流量分类模型包括1个卷积层、8个LRB模块、1个全局平均池化层、1个全连接层和1个分类器。灰度图像首先经过所述卷积层,再经过顺序连接的8个LRB模块,之后依次输入全局平均池化层、全连接层和分类器。本发明利用改进后的残差块(LRB)构建的模型,拥有较低的参数和计算量,和较高的推理速度,以及与模型相当的准确率,可以部署在资源受限的物联网设备上,实时并且准确的检测物联网中的恶意流量。
Description
技术领域
本发明涉及数据识别领域中的一种流量分类方法,尤其涉及一种基于深度学习的轻量化恶意流量分类方法。
背景技术
随着无线通信、边缘计算等技术的飞速发展,物联网设备得到了广泛应用,实现了高效的通信和数据交换。根据一项新的研究发现,到2024年,物联网设备将从2020年的35亿增加到83亿。物联网设备通过提供前所未有的便利和效率,革新了医疗保健、交通运输和智能家居等各个领域。然而,物联网的快速增长也带来了严重的安全问题。近年来,越来越多的物联网设备开始暴露在公共网络中,并且通常直接与物理世界交互以收集隐私数据或控制物理环境变量,这使它们成为攻击者的有吸引力的目标。因此,检测网络中的恶意流量是目前在物联网中急需解决的问题。
目前主流的恶意流量分类方法包括基于传统的机器学习方法和深度学习方法。虽然基于传统的机器学习方法可以有效检测恶意流量,但是特征的选择需要耗费时间,并且严重依赖于专家经验。相比于传统的机器学习,深度学习可以从原始数据中自动提取特征,而不是使用手动特征选择。虽然基于深度学习的模型能高效地检测恶意流量。但是现有算法复杂度通常较高,难以在计算和存储资源有限的物联网设备中实现。
发明内容
为了解决现有算法复杂度通常较高,难以在计算和存储资源有限的物联网设备中实现的技术问题,本发明提供一种基于深度学习的轻量化恶意流量分类方法。本发明对ResNet的残差块进行改进,并用改进后的残差块构建轻量级恶意流量分类模型(Mobile-ResNet),Mobile-ResNet的参数和计算量远小于ResNet,分类准确率和ResNet相当,并且具有优秀的流量推理速度,已解决上述深度学习方法所存在的技术缺陷。
本发明采用以下技术方案实现:一种轻量化恶意流量分类方法,其将表征流量数据的灰度图像通过设计好的轻量化恶意流量分类模型进行分类,得到是良性流量还是恶性流量的输出结果;所述轻量化恶意流量分类模型包括1个卷积层、8个LRB模块、1个全局平均池化层、1个全连接层和一个Softmax分类器,所述灰度图像首先经过所述卷积层,再经过顺序连接的8个所述LRB模块,第8个所述LRB模块的输出依次输入所述全局平均池化层、全连接层和Softmax分类器,Softmax分类器的输出结果为良性流量或者恶性流量;在8个所述LRB模块中,依次是2个步长均为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块;
对于步长为1的LRB模块:对LRB的输入特征A进行通道拆分操作,得到两个通道数相同的输出特征A 1和A 2;A 2依次通过一个Ghost Module、一个批归一化BN函数和一个Relu函数得到输出特征B 1,B 1再依次通过一个Ghost Module和一个批归一化BN函数得到输出特征B 2;A 2和B 2相加后再经过一个Relu函数得到输出特征C,将C和A 1进行拼接,得到输出特征D;D经过通道混洗操作,将通道的顺序打乱并重新排列,得到的输出特征D out 即为LRB模块的最终输出特征;
对于步长为2的LRB模块:LRB的输入特征A首先依次经过一个Ghost Module、一个批归一化BN函数和一个Relu函数得到输出特征A 1,A 1再依次经过一个步长为2的深度卷积DWConv操作、一个批归一化BN函数和一个Relu函数得到输出特征A 2,A 2再依次经过一个Ghost Module和一个批归一化BN函数得到输出特征A 3;A同时依次经过一个步长为2、大小为1×1的卷积操作、一个批归一化BN函数和一个Relu函数得到输出特征B 1,B 1和A 3相加再经过一个Relu函数得到输出特征C 1;A同时经过一个步长为2、大小为2×2的平均池化层,得到输出特征C 2,将C 1和C 2进行拼接,得到输出特征D;D经过通道混洗操作,将通道的顺序打乱并重新排列,得到的输出特征D out 即为LRB模块的最终输出特征。
作为上述方案的进一步改进,所述灰度图像的获取方法包括以下步骤:
将包括恶意流量包和良性流量包的pcap流量包根据会话进行切分,得到会话数据;
删除所述会话数据中的重复数据和空白数据,得到所述流量数据;
将所述流量数据按784字节的固定长度进行截取;
截取后的流量数据的字节转化为对应灰度图像的像素值,然后将像素值转化为二维数组,最后将二维数组转化为所述灰度图像。
进一步地,在将所述流量数据按784字节的固定长度进行截取时,如果长度大于784字节,则删除额外的字节。
进一步地,在将所述流量数据按784字节的固定长度进行截取时,如果长度小于784字节,则添加0字节至784字节。
作为上述方案的进一步改进,所述卷积层使用一个步长为2、大小为3×3的卷积核进行卷积操作,再经过一个BN函数和一个Relu函数,对输入的特征进行初级特征提取,输出初级特征。
进一步地,所述初级特征的具体公式为:
F out =Relu(BN(F IN ))
其中,F IN 为输入卷积层的特征,F out 为卷积层输出的初级特征。
作为上述方案的进一步改进,LRB模块的设计方法包括以下步骤:
引入轻量级卷积模块Ghost Module,用Ghost Module替换残差块中大小为3×3的卷积层,得到基于Ghost Module构建的残差块;
结合ShuffleNetv2的思想,设计基于Ghost Module构建的残差块,得到LRB模块。
优选地,Ghost Module 的设计方法包括以下步骤:
首先,Ghost Module的输入特征定义为X R h×w×c ,其中,X是输入特征,c是输入特征X的通道数,h是输入特征X的高度,w是输入特征X的宽度,输入特征X经过卷积操作生成m个内在特征Y的运算表示为:
Y=X*f+b
其中,*是卷积运算,b是偏差项,,/>为内在特征Y的高度,/>为内在特征Y的宽度,f是卷积核,其中,卷积核定义为f /> R c×k×k×m ,k×k为卷积核f的核大小,接着,对每一个内在特征进行深度卷积DWConv操作,得到m个ghost特征,最后,将m个内在特征和m个ghost特征进行拼接。
作为上述方案的进一步改进,所述轻量化恶意流量分类方法还包括对所述轻量化恶意流量分类模型基于深度学习进行训练。
进一步地,训练方法包括以下步骤:
将构建灰度图像的数据集,并将数据集划分为训练集和测试集;
利用训练集训练所述轻量化恶意流量分类模型;
利用测试集检验训练之后的所述轻量化恶意流量分类模型。本发明引入了GhostModule来替换残差块中的卷积模块,可以减少残差块的参数和计算量;其次,结合ShuffleNetv2的思想重新设计了残差块的结构,在进一步减少计算量的同时加快了流量的推理速度,保持了模型的分类性能。
本发明的有益效果是:
1.引入Ghost Module替换ResNet残差块中的卷积模块,能够有效减少残差块的计算量和参数。
2. 结合ShuffleNetv2的思想,设计残差块结构。能够进一步减少残差块的计算量,同时利用 ShuffleNetv2特征复用和通道拆分的设计,可以使Mobile-ResNet保持和ResNet一样性能的同时拥有优秀的推理速度。
3.用改进后的残差块构成的恶意流量分类模型Mobile-ResNet,拥有远远低于ResNet的计算量和参数和高于ResNet的流量推理速度,并具有和ResNet一样的分类性能,可以部署在资源受限的物联网设备上。
附图说明
图1为本发明提出的一种基于深度学习的轻量化恶意流量分类方法的步骤流程图;
图2为本发明中的卷积模块和Ghost Module的对比图;
图3为本发明中的LRB模块的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其为本发明的轻量化恶意流量分类方法的流程图,本发明的轻量化恶意流量分类方法将表征流量数据的灰度图像通过设计好的轻量化恶意流量分类模型(Mobile-ResNet)进行分类,得到是良性流量还是恶性流量的输出结果。
良性流量是指在计算机网络或在线平台上的数据流,其源自合法用户或合法程序,其目的是合法的、无害的、符合规范的,并且不具有任何恶意性质。良性流量通常包括正常的用户访问、合法的数据传输以及合法的网络通信,其操作与系统或服务的正常预期行为一致。
恶意流量是指在计算机网络或在线平台上的数据流,其源自恶意活动、恶意程序或恶意行为,其目的可能包括但不限于未经授权的访问、数据泄露、系统破坏、欺诈、间谍活动、病毒传播、拒绝服务攻击(DDoS)等。恶意流量通常违反了系统或服务的规定,并可能对其造成损害或不正当利益。
可以在资源受限(不足)的物联网设备上部署本方案的模型,用来检测恶意流量。部署在物联网上设备上的重要性:物联网设备得到了广泛应用,但是容易受到恶意程序发出的恶意流量攻击,所以在物联网设备上检测恶意流量很重要。本方案轻量化的目的:物联网设备存储空间和算力资源有限,并且物联网中的流量规模大,所以需要一个轻量化的模型可以部署在物联网设备上(传统神经网络模型参数和计算量高,无法部署)。
所述轻量化恶意流量分类模型包括1个卷积层、8个LRB模块、1个全局平均池化层、1个全连接层和一个Softmax分类器,所述灰度图像首先经过所述卷积层,再经过顺序连接的8个所述LRB模块,第8个所述LRB模块的输出依次输入所述全局平均池化层、全连接层和Softmax分类器,Softmax分类器的输出结果为良性流量或者恶性流量。
本发明先对pcap流量包进行预处理,得到流量数据。所述pcap流量包预处理的具体步骤为:将pcap流量包根据会话进行切分,得到会话数据;删除所述会话数据中的重复数据和空白数据,得到所述流量数据;将所述流量数据按784字节的固定长度进行截取,如果长度大于784字节,则删除额外的字节,如果长度小于784字节,则添加0字节至784字节;截取后的流量数据的字节转化为对应灰度图像的像素值,然后将像素值转化为二维数组,最后将二维数组转化为所述灰度图像。
在8个所述LRB模块中,依次是2个步长均为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块。Mobile-ResNet的输入特征首先经过卷积层,再经过顺序连接的8个LRB模块,第8个LRB模块的输出依次输入全局平均池化层、全连接层和Softmax分类器,Softmax分类器的输出结果为Mobile-ResNet的最终输出。
卷积层使用一个步长为2,大小为3×3的卷积核进行卷积操作,再经过一个BN函数和一个Relu函数,对输入的特征进行初级特征提取,输出初级特征,具体公式为:
F out =Relu(BN(F IN ))
其中,F IN 为输入卷积层的特征,F out 为卷积层输出的初级特征;
全局平均池化层,全局平均池化层对最后一个LRB模块输出的特征的每一个通道进行平均操作,生成一个与特征通道数目相同的一维向量。这个操作没有需要优化的参数,因此有助于防止过拟合;
全连接层,全连接层接受来自全局平均池化层的输出,并将其与类别判别信息结合起来。全连接层包含多个神经元,每个神经元对应一种流量类别。
在本实施例中,LRB模块的设计理念为:引入轻量级卷积模块Ghost Module,用Ghost Module替换残差块中大小为3×3的卷积层,得到基于Ghost Module构建的残差块;结合ShuffleNetv2的思想,设计基于Ghost Module构建的残差块,得到LRB模块。因此,在本实施例中,引入轻量级卷积模块Ghost Module,用Ghost Module替换残差块中大小为3×3的卷积层,得到基于Ghost Module构建的残差块;结合经典的轻量级卷积神经网络ShuffleNetv2的思想,设计基于Ghost Module构建的残差块,得到LRB模块;ResNet,ResNet是一种深度卷积神经网络架构,旨在解决深度神经网络中的梯度消失和梯度爆炸问题,ResNet引入了残差块,允许网络通过跳跃连接在不同层级之间传递信息,从而使网络可以更轻松地训练非常深的模型,这一架构在图像分类、物体检测、语义分割等计算机视觉任务中取得了巨大成功,利用改进的残差块构建恶意流量分类模型,可以确保模型具有较高的分类性能。
Ghost Module 如图2所示,其设计方法包括以下步骤:
首先,Ghost Module的输入特征定义为X R h×w×c ,其中,X是输入特征,c是输入特征X的通道数,h是输入特征X的高度,w是输入特征X的宽度,输入特征X经过卷积操作生成m个内在特征Y的运算表示为:
Y=X*f+b
其中,*是卷积运算,b是偏差项,,/>为内在特征Y的高度,/>为内在特征Y的宽度,f是卷积核,其中,卷积核定义为f /> R c×k×k×m ,k×k为卷积核f的核大小,接着,对每一个内在特征进行深度卷积DWConv操作,得到m个ghost特征,最后,将m个内在特征和m个ghost特征进行拼接。
模型设立之后,最好采用基于深度学习的理论进行训练,优化为最优的轻量化恶意流量分类模型。训练方法包括以下步骤:将构建灰度图像的数据集,并将数据集划分为训练集和测试集;利用训练集训练所述轻量化恶意流量分类模型;利用测试集检验训练之后的所述轻量化恶意流量分类模型。
也就是说,第一步操作是普通卷积,使用传统卷积模块一半的卷积核进行卷积操作得到特征图,具体运算为:
Y=X*f+b
其中,*是卷积运算,b是偏差项,Ghost Module的输入特征定义为X R h×w×c ,其中c是输入特征X的通道数,h是输入特征X的高度,w是输入特征X的宽度,f /> R c×k×k×m 是卷积核,k×k为卷积核f的核大小,接着,对每一个内在特征进行深度卷积DWConv操作,得到m个ghost特征,最后,将m个内在特征和m个ghost特征进行拼接。
第二步,对每一个内在特征进行深度卷积DWConv操作,得到m个ghost特征,具体公式为:
Y ghost =F DWConv (x)
其中,Y ghost 为输出的特征,F DWConv (*)代表深度卷积操作。
第三步,将m个内在特征和m个ghost特征进行拼接,得到最终的输出特征,具体公式为:
Y concat =F concat (Y,Y ghost )
其中,Y表示内在特征,Y ghost 表示ghost特征,F concat (*)表示对内在特征和 ghost特征进行拼接,Y concat 表示第三步得到的最终的输出特征。
因为深度卷积操作是一个卷积核只作用于一个通道,一个通道只被一个卷积核进行卷积,所以Ghost Module相比于传统卷积模块大大减少了计算量和参数。
请参阅图3,对于步长为1的LRB模块:对LRB的输入特征A进行通道拆分操作,得到两个通道数相同的输出特征A 1和A 2;A 2依次通过一个Ghost Module、一个批归一化BN函数和一个Relu函数得到输出特征B 1,B 1再依次通过一个Ghost Module和一个批归一化BN函数得到输出特征B 2;A 2和B 2相加后再经过一个Relu函数得到输出特征C,将C和A 1进行拼接,得到输出特征D;D经过通道混洗操作,将通道的顺序打乱并重新排列,得到的输出特征D out 即为LRB模块的最终输出特征。
具体公式为:
B 1=Relu(BN(F ghostmodule1(A 2)))
B 2=BN(F ghostmodule2(B 1))
C=Relu(A 2+B 2)
D=F concat (C,A 1)
D out =f channelshuffle (D)
其中,F ghostmodule1(*)为第一个Ghost Module,F ghostmodule2(*)为第二个GhostModule,BN(*)为批归一化函数,Relu(*)为Relu激活函数,F concat (*)表示对输出特征C和输出特征A 1进行拼接,f channelshuffle (*)表示Channel shuffle操作,D out 表示步长为1的LRB模块的最终输出特征;
可以看到,经过通道拆分操作,只有分支2的输入特征参与了卷积运算,从而有效地减少了模块的参数和计算量。同时,分支1的输出特征直接和分支2的输出特征进行拼接,说明分支1的输入特征进行了重复利用,这种操作可以提升模型的准确率。
对于步长为2的LRB模块:LRB的输入特征A首先依次经过一个Ghost Module、一个批归一化BN函数和一个Relu函数得到输出特征A 1,A 1再依次经过一个步长为2的深度卷积DWConv操作、一个批归一化BN函数和一个Relu函数得到输出特征A 2,A 2再依次经过一个Ghost Module和一个批归一化BN函数得到输出特征A 3;A同时依次经过一个步长为2、大小为1×1的卷积操作、一个批归一化BN函数和一个Relu函数得到输出特征B 1,B 1和A 3相加再经过一个Relu函数得到输出特征C 1;A同时经过一个步长为2、大小为2×2的平均池化层,得到输出特征C 2,将C 1和C 2进行拼接,得到输出特征D;D经过通道混洗操作,将通道的顺序打乱并重新排列,得到的输出特征D out 即为LRB模块的最终输出特征。
具体公式为:
A 2=Relu(BN(F DWConv2(A 1)))
B 1=Relu(BN(F Conv2,1×1(B)))
B 2=F Avg (B)
其中,F Conv2,1×1(*)表示步长为2、大小为1×1的卷积操作,F Avg (*)表示步长为2、大小为2×2的平均池化操作,F DWConv2(*)表示步长为2的深度卷积操作,A 1为第一个GhostModule的输出特征,A 2为第二个Ghost Module的输入特征,B为LRB模块的输入特征,B 1为Shortcut connection的输出特征,B 2为分支1的输出特征。
本发明的基于深度学习的轻量化恶意流量分类方法采用一个轻量化恶意流量分类模型实现轻量化恶意流量分类,最终区分良性流量还是恶意流量。本发明的轻量化恶意流量分类方法在应用中,可以设置成软件的形式,如设计成独立的APP,或者被随时可调用的嵌入式软件,应用在计算机终端中。计算机终端包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序。如该计算机终端可以是能够执行程序的智能手机、平板电脑、笔记本电脑等。处理器在一些实施例中可以是中央处理器(Central ProcessingUnit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器通常用于控制计算机设备的总体操作。本实施例中,处理器用于运行存储器中存储的程序代码或者处理数据。处理器执行程序时可实现本发明的轻量化恶意流量分类方法的步骤。
本发明的轻量化恶意流量分类方法在应用中,还可以设计成一种可读存储介质,如U盾,所述可读存储介质中存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行轻量化恶意流量分类方法的步骤。做成U盾的形式,可以通过电子插接的方式插接在如电脑上,电脑通过读取U盾内的计算机程序指令并执行,就能目前深度学习模型计算量和参数较高、无法部署在资源受限的物联网设备上的技术问题。
不论是非嵌入式还是嵌入式都可以归纳为相应的轻量化恶意流量分类装置。所述装置采用轻量化恶意流量分类模型将表征流量数据的灰度图像通过设计好的轻量化恶意流量分类模型进行分类,得到是良性流量还是恶性流量的输出结果。
本发明的轻量化体现在:a.本方案模型的参数低(解决物联网设备存储空间有限的问题)b.模型计算量低(解决物联网设备算力资源有限的问题)。
c.模型推理速度快,可以快速的检测流量(解决物联网中的流量规模大,因此难以实时检测流量的问题)。
本发明对残差块的两种改进:1.用轻量级卷积模块Ghost Module替换残差块中大小为3×3的传统卷积模块。Ghost Module相对于传统卷积模块,参数和计算量都很低。2.结合ShuffleNetv2思想,设计残差块的结构。两种LRB模块输入到分支1的特征都没有经过卷积操作,从而进一步减少了参数和计算量,并且加快了模型的推理速度(解决难以实时检测流量的问题)。同时,步长为1的LRB模块的分支1的输入特征a没有经过任何操作,直接和分支2进行拼接,这说明LRB模块有一半的输入特征(即特征a)被重复利用了,这种特征复用的操作可以提高模型的分类准确率,(一般来说,轻量的模型性能不太好,但对于检测恶意流量的模型来说,性能也是很重要的)。相同的,输入到通道混洗操作的特征,将通道的顺序打乱并重新排列,使得两个分支的特征信息可以相互融合,也可以提高模型的分类准确率。因此,特征复用和通道混洗操作,可以在轻量化的同时保持模型的准确率。
本发明利用改进后的残差块(LRB)构建的Mobile-ResNet,拥有较低的参数和计算量,和较高的推理速度,以及与ResNet相当的准确率,可以部署在资源受限的物联网设备上,实时并且准确的检测物联网中的恶意流量。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于深度学习的轻量化恶意流量分类方法,其将表征流量数据的灰度图像通过设计好的轻量化恶意流量分类模型进行分类,得到是良性流量还是恶性流量的输出结果;所述轻量化恶意流量分类模型包括1个卷积层、8个LRB模块、1个全局平均池化层、1个全连接层和一个Softmax分类器,所述灰度图像首先经过所述卷积层,再经过顺序连接的8个所述LRB模块,第8个所述LRB模块的输出依次输入所述全局平均池化层、全连接层和Softmax分类器,Softmax分类器的输出结果为良性流量或者恶性流量;其特征在于,
在8个所述LRB模块中,依次是2个步长均为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块、1个步长为2的LRB模块、1个步长为1的LRB模块;
对于步长为1的LRB模块:对LRB的输入特征A进行通道拆分操作,得到两个通道数相同的输出特征A 1和A 2;A 2依次通过一个Ghost Module、一个批归一化BN函数和一个Relu函数得到输出特征B 1,B 1再依次通过一个Ghost Module和一个批归一化BN函数得到输出特征B 2;A 2和B 2相加后再经过一个Relu函数得到输出特征C,将C和A 1进行拼接,得到输出特征D;D经过通道混洗操作,将通道的顺序打乱并重新排列,得到的输出特征D out 即为LRB模块的最终输出特征;
对于步长为2的LRB模块:LRB的输入特征A首先依次经过一个Ghost Module、一个批归一化BN函数和一个Relu函数得到输出特征A 1,A 1再依次经过一个步长为2的深度卷积DWConv操作、一个批归一化BN函数和一个Relu函数得到输出特征A 2,A 2再依次经过一个GhostModule和一个批归一化BN函数得到输出特征A 3;A同时依次经过一个步长为2、大小为1×1的卷积操作、一个批归一化BN函数和一个Relu函数得到输出特征B 1,B 1和A 3相加再经过一个Relu函数得到输出特征C 1;A同时经过一个步长为2、大小为2×2的平均池化层,得到输出特征C 2,将C 1和C 2进行拼接,得到输出特征D;D经过通道混洗操作,将通道的顺序打乱并重新排列,得到的输出特征D out 即为LRB模块的最终输出特征。
2.如权利要求1所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,所述灰度图像的获取方法包括以下步骤:
将包括恶意流量包和良性流量包的pcap流量包根据会话进行切分,得到会话数据;
删除所述会话数据中的重复数据和空白数据,得到所述流量数据;
将所述流量数据按784字节的固定长度进行截取;
截取后的流量数据的字节转化为对应灰度图像的像素值,然后将像素值转化为二维数组,最后将二维数组转化为所述灰度图像。
3.如权利要求2所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,在将所述流量数据按784字节的固定长度进行截取时,如果长度大于784字节,则删除额外的字节。
4.如权利要求2所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,在将所述流量数据按784字节的固定长度进行截取时,如果长度小于784字节,则添加0字节至784字节。
5.如权利要求1所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,所述卷积层使用一个步长为2、大小为3×3的卷积核进行卷积操作,再经过一个BN函数和一个Relu函数,对输入的特征进行初级特征提取,输出初级特征。
6.如权利要求5所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,所述初级特征的具体公式为:
F out =Relu(BN(F IN ))
其中,F IN 为输入卷积层的特征,F out 为卷积层输出的初级特征。
7.如权利要求1所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,LRB模块的设计方法包括以下步骤:
引入轻量级卷积模块Ghost Module,用Ghost Module替换残差块中大小为3×3的卷积层,得到基于Ghost Module构建的残差块;
结合ShuffleNetv2的思想,设计基于Ghost Module构建的残差块,得到LRB模块。
8.如权利要求7所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,GhostModule 的设计方法包括以下步骤:
首先,Ghost Module的输入特征定义为X R h×w×c ,其中,X是输入特征,c是输入特征X的通道数,h是输入特征X的高度,w是输入特征X的宽度,输入特征X经过卷积操作生成m个内在特征Y的运算表示为:
Y=X*f+b
其中,*是卷积运算,b是偏差项,,/>为内在特征Y的高度,/>为内在特征Y的宽度,f是卷积核,其中,卷积核定义为f /> R c×k×k×m ,k×k为卷积核f的核大小,接着,对每一个内在特征进行深度卷积DWConv操作,得到m个ghost特征,最后,将m个内在特征和m个ghost特征进行拼接。
9.如权利要求1所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,所述轻量化恶意流量分类方法还包括对所述轻量化恶意流量分类模型基于深度学习进行训练。
10.如权利要求9所述的基于深度学习的轻量化恶意流量分类方法,其特征在于,训练方法包括以下步骤:
将构建灰度图像的数据集,并将数据集划分为训练集和测试集;
利用训练集训练所述轻量化恶意流量分类模型;
利用测试集检验训练之后的所述轻量化恶意流量分类模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311300181.5A CN117336057A (zh) | 2023-10-10 | 2023-10-10 | 一种基于深度学习的轻量化恶意流量分类方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311300181.5A CN117336057A (zh) | 2023-10-10 | 2023-10-10 | 一种基于深度学习的轻量化恶意流量分类方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117336057A true CN117336057A (zh) | 2024-01-02 |
Family
ID=89294896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311300181.5A Pending CN117336057A (zh) | 2023-10-10 | 2023-10-10 | 一种基于深度学习的轻量化恶意流量分类方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117336057A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112465718A (zh) * | 2020-11-27 | 2021-03-09 | 东北大学秦皇岛分校 | 一种基于生成对抗网络的两阶段图像修复方法 |
CN114567511A (zh) * | 2022-04-18 | 2022-05-31 | 杭州海康威视数字技术股份有限公司 | 一种基于宽度学习的轻量级恶意流量检测方法及装置 |
WO2022205685A1 (zh) * | 2021-03-29 | 2022-10-06 | 泉州装备制造研究所 | 一种基于轻量化网络的交通标志识别方法 |
CN116310506A (zh) * | 2023-02-09 | 2023-06-23 | 燕山大学 | 基于Transformer轻量化模型的图像分类方法 |
-
2023
- 2023-10-10 CN CN202311300181.5A patent/CN117336057A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112465718A (zh) * | 2020-11-27 | 2021-03-09 | 东北大学秦皇岛分校 | 一种基于生成对抗网络的两阶段图像修复方法 |
WO2022205685A1 (zh) * | 2021-03-29 | 2022-10-06 | 泉州装备制造研究所 | 一种基于轻量化网络的交通标志识别方法 |
CN114567511A (zh) * | 2022-04-18 | 2022-05-31 | 杭州海康威视数字技术股份有限公司 | 一种基于宽度学习的轻量级恶意流量检测方法及装置 |
CN116310506A (zh) * | 2023-02-09 | 2023-06-23 | 燕山大学 | 基于Transformer轻量化模型的图像分类方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chen et al. | Cyber security in smart cities: a review of deep learning-based applications and case studies | |
Warnecke et al. | Evaluating explanation methods for deep learning in security | |
Martins et al. | Adversarial machine learning applied to intrusion and malware scenarios: a systematic review | |
Yuan et al. | Stealthy porn: Understanding real-world adversarial images for illicit online promotion | |
CA2984383C (en) | Cascading classifiers for computer security applications | |
Wang et al. | Deep and broad URL feature mining for android malware detection | |
Jian et al. | A novel framework for image-based malware detection with a deep neural network | |
CN110135166B (zh) | 一种针对业务逻辑漏洞攻击的检测方法及系统 | |
Lad et al. | Malware classification with improved convolutional neural network model | |
Ko et al. | Adaptable feature-selecting and threshold-moving complete autoencoder for DDoS flood attack mitigation | |
Anandhi et al. | Malware visualization and detection using DenseNets | |
Macas et al. | Adversarial examples: A survey of attacks and defenses in deep learning-enabled cybersecurity systems | |
AlGarni et al. | An efficient convolutional neural network with transfer learning for malware classification | |
Asam et al. | Malware classification using deep boosted learning | |
Zanddizari et al. | Generating black-box adversarial examples in sparse domain | |
Sayed et al. | Augmenting IoT intrusion detection system performance using deep neural network | |
Wang et al. | MSAAM: A multiscale adaptive attention module for IoT malware detection and family classification | |
CN112364198A (zh) | 一种跨模态哈希检索方法、终端设备及存储介质 | |
Vashishtha et al. | An Ensemble approach for advance malware memory analysis using Image classification techniques | |
CN115277065B (zh) | 一种物联网异常流量检测中的对抗攻击方法及装置 | |
Rathore et al. | Are Malware Detection Classifiers Adversarially Vulnerable to Actor-Critic based Evasion Attacks? | |
CN117336057A (zh) | 一种基于深度学习的轻量化恶意流量分类方法 | |
CN115828239A (zh) | 一种多维数据决策融合的恶意代码检测方法 | |
Zhang et al. | Conditional generative adversarial network-based image denoising for defending against adversarial attack | |
CN114021136A (zh) | 针对人工智能模型的后门攻击防御系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |