[发明专利]一种基于深度迁移学习的网络流量识别方法及装置

权利要求书

1.一种基于深度迁移学习的网络流量识别方法，其特征在于，所述方法包括：

从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息，所述待识别网络流量包括会话建立阶段产生的网络流量和基于建立的会话传输的网络流量；

计算所述待识别网络流量的报文信息和通信行为信息与各个类簇的聚类中心之间的距离，每个类簇包括一种类别的网络流量的报文信息和通信行为信息；

在计算的距离中的最短距离小于预设距离时，获得所述最短距离对应的类簇的目标类别；

将所述报文信息对应的报文二维数据矩阵和所述行为信息对应的行为二维数据矩阵输入所述目标类别的网络流量识别模型，确定所述待识别网络流量是否为恶意流量；

其中，所述目标类别的网络流量识别模型为以与所述目标类别匹配的目标协议类型对应的预训练模型为基础，通过深度迁移学习方法构建的模型；所述目标协议类型对应的预训练模型为：通过所述目标协议类型对应的训练样本集对深度学习模型进行训练得到的模型；所述目标协议类型对应的训练样本集包括：所述目标协议类型的样本网络流量的样本二维数据矩阵以及所述目标协议类型的样本网络流量对应的正常或恶意标签，每个样本网络流量的样本二维数据矩阵包括：分别基于该样本网络流量内前预设数量个数据包的报文信息和通信行为信息，构建的样本报文二维数据矩阵和样本行为二维数据矩阵。

2.根据权利要求1所述的方法，其特征在于，在所述从待识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息之前，所述方法还包括：

获得各已知协议类型的样本信息集，每个已知协议类型的样本信息集包括：该已知协议类型的样本网络流量内前预设数量个数据包的报文信息和通信行为信息；

以会话为单位对预先采集的未确定协议类型的网络流量进行划分，得到多个未识别网络流量；

从每个未识别网络流量内提取前预设数量个数据包的报文信息和通信行为信息；

对所述多个未识别网络流量的报文信息和通信行为信息进行聚类，得到各类别的类簇；

针对每个类别，计算该类别的类簇与每个已知协议类型的样本信息集之间的最大均值差异MMD，确定与该类别的类簇的MMD最小的样本信息集所对应的已知协议类型，将所确定的已知协议类型作为与该类别匹配的协议类型；

以与该类别匹配的协议类型对应的预训练模型为基础，通过深度迁移学习方法，构建该类别的网络流量识别模型；

所述针对每个类别，计算该类别的类簇与每个已知协议类型的样本信息集之间的最大均值差异MMD，包括：通过以下公式计算一个类别的类簇与一个已知协议类型的样本信息集之间的MMD：

其中，D_ti为类别i的类簇，D_sk为已知协议类型k的样本信息集，n_ti为D_ti对应的未识别网络流量数量，n_sk为D_sk对应的样本网络流量数量，H表示对于距离的计算是由Φ(·)将数据映射到再生核希尔伯特空间RKHS中进行度量。

3.根据权利要求2所述的方法，其特征在于，通过以下步骤构建所述目标类别的网络流量识别模型：

步骤一，将所述目标协议类型的样本网络流量的样本二维数据矩阵，输入所述目标协议类型对应的预训练模型；

步骤二，获取所述目标协议类型对应的预训练模型的输出结果；

步骤三，根据所述输出结果和目标协议类型的样本网络流量对应的正常或恶意标签，以及所述目标协议类型的样本信息集与所述目标类别的类簇之间的MMD，计算损失值；

步骤四，若基于所述损失值确定所述目标协议类型对应的预训练模型收敛，则确定所述目标类别的网络流量识别模型为所述目标协议类型对应的预训练模型；

步骤五，若基于所述损失值确定所述目标协议类型对应的预训练模型未收敛，则基于所述损失值，调整所述目标协议类型对应的预训练模型的全连接层的模型参数，并返回所述步骤一。