【技術實現(xiàn)步驟摘要】
本專利技術涉及網(wǎng)絡與信息安全,尤其涉及一種惡意加密流量分類方法及系統(tǒng)。
技術介紹
1、隨著互聯(lián)網(wǎng)的迅速發(fā)展,網(wǎng)絡安全問題日益突出。在網(wǎng)絡通信中,加密流量被廣泛應用以保護用戶的隱私和數(shù)據(jù)安全。然而,惡意用戶和攻擊者也利用加密通信來隱藏其惡意活動,如數(shù)據(jù)竊取、僵尸網(wǎng)絡控制、勒索軟件傳播等,給網(wǎng)絡安全帶來了嚴重挑戰(zhàn)。
2、加密流量檢測方法主要依賴于神經(jīng)網(wǎng)絡提取特征,利用提取的特征進行流量分類,神經(jīng)網(wǎng)絡例如卷積神經(jīng)網(wǎng)絡,然而,卷積神經(jīng)網(wǎng)絡一般學習的是局部特征,而特征提取的目的是對流量進行分類,如果只關注局部特征,會降低了分類的準確率。
技術實現(xiàn)思路
1、本專利技術提供一種惡意加密流量分類方法及系統(tǒng),利用加密流量信息提取出的包含類顯著特征的熱圖和流量特征進行融合,采用融合后的特征進行流量分類,這樣除了流量特征之外還加入了類顯著特征進行流量分類,提高了分類的準確率。
2、第一方面,本專利技術實施例提供一種惡意加密流量分類方法,包括:
3、獲取兩個設備之間會話的加密流量信息;
4、將所述加密流量信息轉(zhuǎn)換為包含類顯著特征的熱圖,以及從所述加密流量信息中提取出流量特征;
5、將所述熱圖和所述流量特征進行融合,得到融合特征;
6、根據(jù)所述融合特征進行分類,檢測所述加密流量信息所屬的流量類別。
7、上述方法,能夠獲取加密流量信息,利用加密流量信息提取包含類顯著特征的熱圖和流量特征,并將加密流量信息提取出的包含類顯著特征的
8、在一種可能實施的方式中,所述將所述加密流量信息轉(zhuǎn)換為包含類顯著特征的熱圖,包括:
9、將所述加密流量信息轉(zhuǎn)換為流量圖像;
10、采用目標卷積層對所述流量圖像進行卷積處理,得到多個通道的特征圖;
11、利用每個流量類別的全連接權重,對多個通道的特征圖進行加權處理,得到每個流量類別對應的多個通道的加權特征圖;
12、根據(jù)每個流量類別對應的多個通道的加權特征圖在相同位置處的特征之和,生成每個流量類別對應的單流量類別熱圖;
13、將每個流量類別對應的單流量類別熱圖進行融合,得到包含類顯著特征的熱圖。
14、上述方法,將加密流量信息轉(zhuǎn)換為流量圖像,并利用每個流量類別的全連接權重,加權利用目標卷積層處理后的特征,根據(jù)加權后的特征生成熱圖,這樣從流量圖像中提取到類顯著特征用于對加密流量信息進行分類,提高分類的準確性。
15、在一種可能實施的方式中,其中,所述每個流量類別的全連接權重為微調(diào)后的分類模型中全連接層的全連接權重;
16、微調(diào)后的分類模型是新的分類模型采用第二訓練集預先訓練得到的;其中,所述第二訓練集包括多個流量圖像和所述流量圖像的標注信息;所述標注信息包含形成所述流量圖像的加密流量數(shù)據(jù)信息所屬的流量類別;
17、新的分類模型是將原始的分類模型中最后一個卷積層以及最后一個卷積層之后的結構,替換成新的池化層、新的全連接層和新的輸出層得到的;
18、原始的分類模型是根據(jù)第一訓練集預先訓練得到的;所述第一訓練集包括多個物體圖像和標注每個物體圖像中物體類別的信息;原始的分類模型用于區(qū)分物體圖像內(nèi)物體的類別;
19、所述目標卷積層為微調(diào)后的分類模型中的卷積層。
20、上述方法,在訓練完成的原始的分類模型進行微調(diào),得到微調(diào)后的分類模型,這樣降低運算的計算量。
21、在一種可能實施的方式中,通過以下方式得到微調(diào)后的分類模型:
22、利用第二訓練集對新的分類模型進行多次訓練;
23、針對每次訓練,將所述第二訓練集中的該次訓練的流量圖像輸入到新的分類模型中,輸出所述第二訓練集中的該次訓練的流量圖像對應的預測分類;其中,每次訓練對應所述第二訓練集的一批流量圖像;
24、根據(jù)所述第二訓練集中的該次訓練的流量圖像對應的預測分類和所述第二訓練集中的該次訓練的流量圖像的標注信息,調(diào)整新的分類模型中的權重;
25、將訓練完成的新的分類模型作為微調(diào)后的分類模型。
26、上述方法,能夠采用流量圖像進行訓練新的分類模型中的權重,提高了每個流量類別的全連接權重的準確率。
27、在一種可能實施的方式中,所述將所述加密流量信息轉(zhuǎn)換為流量圖像,包括:
28、將所述加密流量信息轉(zhuǎn)化為二進制表示的所述加密流量信息;
29、將二進制表示的所述加密流量信息按照字節(jié)進行劃分,得到多組信息,并將每組信息映射為采用灰度值表示的多個流量特征;
30、將多個所述流量特征作為多個像素值,并根據(jù)多個所述像素值組成流量圖像。
31、上述方法,能夠利用加密流量信息的二進制表示的字節(jié)映射成為采用灰度值表示的流量特征,基于流量特征組成流量圖像,這樣實現(xiàn)了將加密流量信息轉(zhuǎn)換成圖像的過程。
32、在一種可能實施的方式中,所述將所述熱圖和所述流量特征進行融合,得到融合特征,包括:
33、利用所述熱圖作為權重,加權所述流量特征,得到加權后的流量特征;
34、將加權后的流量特征轉(zhuǎn)換為灰度值,并將所述灰度值作為融合特征。
35、上述方法,能夠通過熱圖作為權重,加權流量特征,這樣能夠更加突出類顯著特征,提高了特征提取的全面性。
36、在一種可能實施的方式中,所述根據(jù)所述融合特征進行分類,檢測所述加密流量信息所屬的流量類別,包括:
37、利用卷積神經(jīng)網(wǎng)絡對所述融合特征進行卷積處理,得到卷積融合特征;
38、利用分類器對所述卷積融合特征進行分類處理,確定所述加密流量信息所屬的流量類別。
39、上述方法,能夠通過卷積神經(jīng)網(wǎng)絡對融合特征進行特征提取,并利用分類器對特征進行分類處理,這樣網(wǎng)絡提取特征能夠更準確地分類加密流量。
40、第二方面,本專利技術實施例提供了一種惡意加密流量分類系統(tǒng),包括:
41、獲取模塊,用于獲取兩個設備之間會話的加密流量信息;
42、提取模塊,用于將所述加密流量信息轉(zhuǎn)換為包含類顯著特征的熱圖,以及從所述加密流量信息中提取出流量特征;
43、融合模塊,用于將所述熱圖和所述流量特征進行融合,得到融合特征;
44、分類模塊,用于根據(jù)所述融合特征進行分類,檢測所述加密流量信息所屬的流量類別。
45、第三方面,本專利技術實施例提供一種電子設備,包括:
46、處理器;
47、處理器,用于執(zhí)行所述存儲器中的計算機程序或指令,使得如第一方面中任一所述的惡意加密流量分類方法被執(zhí)行。
48、第四方面,本專利技術實施例提供一種計算機可讀存儲介質(zhì),當所述存儲介質(zhì)中的指令由處理器執(zhí)行時,使得所述處理器能夠執(zhí)行如第一方面中任一所述的惡意加密流量分類本文檔來自技高網(wǎng)...
【技術保護點】
1.一種惡意加密流量分類方法,其特征在于,包括:
2.根據(jù)權利要求1所述的方法,其特征在于,所述將所述加密流量信息轉(zhuǎn)換為包含類顯著特征的熱圖,包括:
3.根據(jù)權利要求2所述的方法,其特征在于,其中,所述每個流量類別的全連接權重為微調(diào)后的分類模型中全連接層的全連接權重;
4.根據(jù)權利要求3所述的方法,其特征在于,通過以下方式得到微調(diào)后的分類模型:
5.根據(jù)權利要求2所述的方法,其特征在于,所述將所述加密流量信息轉(zhuǎn)換為流量圖像,包括:
6.根據(jù)權利要求1~5任一項所述的方法,其特征在于,所述將所述熱圖和所述流量特征進行融合,得到融合特征,包括:
7.根據(jù)權利要求6所述的方法,其特征在于,所述根據(jù)所述融合特征進行分類,檢測所述加密流量信息所屬的流量類別,包括:
8.一種惡意加密流量分類系統(tǒng),其特征在于,包括:
9.一種電子設備,其特征在于,包括:
10.一種計算機可讀存儲介質(zhì),其特征在于,當所述存儲介質(zhì)中的指令由處理器執(zhí)行時,使得所述處理器能夠執(zhí)行如權利要求1-7中任一所述的惡意
...【技術特征摘要】
1.一種惡意加密流量分類方法,其特征在于,包括:
2.根據(jù)權利要求1所述的方法,其特征在于,所述將所述加密流量信息轉(zhuǎn)換為包含類顯著特征的熱圖,包括:
3.根據(jù)權利要求2所述的方法,其特征在于,其中,所述每個流量類別的全連接權重為微調(diào)后的分類模型中全連接層的全連接權重;
4.根據(jù)權利要求3所述的方法,其特征在于,通過以下方式得到微調(diào)后的分類模型:
5.根據(jù)權利要求2所述的方法,其特征在于,所述將所述加密流量信息轉(zhuǎn)換為流量圖像,包括:
6.根據(jù)權...
【專利技術屬性】
技術研發(fā)人員:宋文宇,段赟,鄧博仁,占一可,
申請(專利權)人:中國電信股份有限公司技術創(chuàng)新中心,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。