[发明专利]一种加密恶意流量检测方法、检测系统及计算机设备有效
| 申请号: | 202110814031.0 | 申请日: | 2021-07-19 |
| 公开(公告)号: | CN113472809B | 公开(公告)日: | 2022-06-07 |
| 发明(设计)人: | 张成伟;李瑞源;宋泽慧;卢玮;严宇;钟国辉;高雅玙 | 申请(专利权)人: | 华中科技大学 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06N3/04;G06N3/08 |
| 代理公司: | 北京金智普华知识产权代理有限公司 11401 | 代理人: | 张晓博 |
| 地址: | 430074 湖北*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 加密 恶意 流量 检测 方法 系统 计算机 设备 | ||
1.一种加密恶意流量检测方法,其特征在于,所述加密恶意流量检测方法包括以下步骤:
步骤一,进行网卡流量的监督控制及流量数据包的捕获;
步骤二,进行数据预处理;
步骤三,进行字节维度特征提取,包括:
(1)one-hot编码:将每一个字节转换为one-hot编码的格式,即将字节的每一位编码为一个固定深度的向量,只有数值对应位置上为1,其余位均为0,设置编码深度为256,输出维度为[10,8,150,256],
(2)并行一维卷积:对one-hot编码后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(8,6),卷积核的个数均设置为128,步长均设置为1,不进行padding操作,激活函数选择relu,输出维度为(10,8,143,128)和(10,8,145,128);
(3)并行池化操作:对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2),输出维度为(10,8,140,128)和(10,8,144,128);
(4)并行一维卷积:对池化后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(6,4),卷积核的个数均设置为256,步长均设置为1,不进行padding操作,激活函数选择relu,输出维度为(10,8,135,256)和(10,8,141,256);
(5)并行池化操作:对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2),输出维度为(10,8,132,256)和(10,8,140,256);
(6)并行全连接操作:对上一层的输出在最后一维进行线性的全连接操作,不设置激活函数,神经元的个数设置为384,输出维度为(10,8,132,384)和(10,8,140,384);
(7)并行注意力机制模块;
(8)全局最大池化操作:对上一层的输出进行全局最大池化操作进行降维,输出维度为(10,8,384)和(10,8,384);
(9)并行拼接操作:对上一层的输出在最后一维进行拼接,输出维度为(10,8,768);
所述并行注意力机制模块,包括:
1)位置编码
在原有矩阵上添加与位置有关的编码,用于弥补attention操作对位置信息的损失:
其中,位置编码的维度为(pos,df),对应上一层的输出,两个位置编码的维度为(132,384)和(140,384),对应的模型输出维度为(10,8,132,384)和(10,8,140,384);
2)multi-head self-attention
单个self-attention的计算方式为:
其中,Q,K,V均为输入矩阵的不同线性变换,具有相同的数据维度;multi-headattention是在不同的特征子空间内分别进行self-attention的操作后并进行拼接,对应的计算公式为:
headm=attention(Qm,Km,Vm)
multi-head=concat(head1,head2,...,headh)
在模型中,设置multi-head的head数目为4,特征向量的长度为96,两组并行的Q,K,V的数据维度为(10,8,132,4×96)和(10,8,140,4×96);单独计算一组self-attention后的输出分别为(10,8,132,96)和(10,8,140,96),在最后一维将四个head进行拼接后数据维度仍为(10,8,132,384)和(10,8,140,384),也即multi-head attention操作仅调整特征权重而不改变特征维度;
3)位置全连接前馈网络
前馈网络由两层全连接层构成,第一层具有激活函数,用于实现特征的非线性变换,使用relu激活函数,输出维度为(10,8,132,512)和(10,8,140,512),再连接一个无激活函数的线性变换全连接层,输出维度为(10,8,132,384)和(10,8,140,384);
步骤四,进行数据包维度特征提取,包括:
由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM;
(1)Bi-LSTM
将字节特征提取后的特征矩阵送入双向LSTM网络进行全局时序特征提取,不输出中间层的隐层状态,输出维度为(10,2,128),维度展开后为(10,256);
(2)skip-LSTM
将字节特征提取后的矩阵进行序列位置调整,即在特征矩阵的第二维进行切片,分别提取出第[0,2,4,6]位置和[1,3,5,7]位置的向量进行组合,构成上、下游流量特征矩阵,维度均为(10,4,768),分别送入LSTM网络,不输出中间隐层状态,分别输出两个(10,128)的特征矩阵,在最后一维进行拼接后最终输出维度为(10,256);
(3)特征拼接
将两个并行的时序特征网络的输出进行拼接,输出维度为(10,512);
步骤五,进行分类网络构建;
步骤六,进行告警日志的生成以及传输。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华中科技大学,未经华中科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110814031.0/1.html,转载请声明来源钻瓜专利网。
