[发明专利]一种用于加密恶意流量的弱监督检测方法及系统

说明书

本发明涉及一种用于加密恶意流量的弱监督检测方法及系统，其方法包括：S1：将采集的数据流包转化成图片，构建训练集Xsubgt;i/subgt;，对Xsubgt;i/subgt;中部分样本进行标记，得到标记样本(Xsubgt;labeled/subgt;,Y)和未标记样本Xsubgt;unlabeled/subgt;；S2：构建和训练半监督生成对抗网络，包括：生成器G、判别器D和分类器C；其中，生成器G基于随机噪声n得到生成样本Xsubgt;generated/subgt;＝G(n)；将生成样本Xsubgt;generated/subgt;、标记样本(Xsubgt;labeled/subgt;,Y)和未标记样本Xsubgt;unlabeled/subgt;一起输入判别器D，预测每类样本的分布概率，经过分类器C得到Xsubgt;i/subgt;的包级分类结果；S3：将带有包级分类标签的Xsubgt;i/subgt;进行多示例分割，并输入基于多示例学习的卷积神经网络，预测得到Xsubgt;i/subgt;的示例级分类结果。本发明提供的方法可有效地进行加密恶意流量的细粒度检测。

技术领域

本发明涉及信息安全技术领域，具体涉及一种用于加密恶意流量的弱监督检测方法及系统。

背景技术

当前世界网络安全形势复杂多变，恶意流量的检测在抵御和防范攻击行为，在保障网络空间安全方面起着重要作用。流量加密传输方式的广泛应用，在保护通信安全和隐私的同时许多恶意软件也借此技术隐藏攻击信息，使得传统的基于端口和基于DPI的恶意流量检测方法失效。为了应对加密恶意流量检测，研究者们提出了基于机器学习的检测方法。基于机器学习的加密恶意流量检测方法通常构建统计特征，训练加密流量分类模型进行恶意流量识别，一方面，特征选择建立在丰富的经验、专业知识的基础上，需要耗费大量时间和人力。另一方面，大部分流量分类方案都采用有监督的学习方法训练模型，然而，获取大型细粒度标记流量训练集同样是一项繁琐的工作。

因此，如何利用少量粗标记样本和大量未标记样本实现加密恶意流量的细粒度分类成为一个亟待解决的问题。

发明内容

为了解决上述技术问题，本发明提供一种用于加密恶意流量的弱监督检测方法及系统。

本发明技术解决方案为：一种用于加密恶意流量的弱监督检测方法，包括：

步骤S1：采集网络数据流，对所述数据流分割成数据包并进行预处理后，转化成单通道灰度图片，以此构建训练集X_i，i∈[1,M]，M为数据包个数，并对X_i中部分样本进行标记，得到标记样本(X_labeled,Y)和未标记样本X_unlabeled；

步骤S2：构建和训练半监督生成对抗网络，包括：生成器G、判别器D和分类器C；其中，所述生成器G接收随机噪声矢量n，得到生成样本X_generated＝G(n)；将所述生成样本X_generated、所述训练集中的标记样本(X_labeled,Y)和未标记样本X_unlabeled一起输入所述判别器D，预测每类样本的分布概率，经过所述分类器C得到粗分类的X_i的包级分类结果；

步骤S3：构建基于多示例学习的卷积神经网络，包括：多示例学习标注模块、卷积神经网络模块、多示例池化模块和Ladder Network模块；将带有粗分类标签的X_i经过所述多示例学习标注模块，得到X_i的示例分割以及包级标签，再经过卷积神经网络模块，计算X_i中示例的得分，通过多示例池化模块赋予所述得分不同的权重，最后通过Ladder Network模块，预测得到细分类的X_i的示例级分类结果。

本发明与现有技术相比，具有以下优点：