一种加密恶意流量的检测方法

本发明涉及加密，特别涉及一种加密恶意流量的检测方法。

背景技术：

1、近年来，随着工业互联以及网云融合等技术飞速发展，网络、终端、云等端到端关键方面进一步演进，当前网络能力持续增强。但同时也给关键基础设施带来了网络安全风险，对现有技术架构和安全防护体系构成严峻挑战。恶意流量检测，主要基于深度包检测、机器学习和深度学习的方法，基于深度包检测，通过检查每个数据包的内容，识别和分析其携带的信息，以检测潜在的威胁或应用特征，基于机器学习的检测方法，主要是根据流量的统计特征和行为特征，比如包的大小、包的间隔时间、传输持续时间、交互频率以及交互的持续时间等，从而对恶意流量进行有效识别，基于深度学习的检测方法是将恶意流量通过自动从原始网络流量中提取有用的特征，再通过分类器将恶意流量进行分类。

2、现有加密恶意流量检测方法通常依赖于单一算法进行特征表示，从而实现一定程度的恶意流量检测，然而，这些算法在面对加密协议种类繁杂、数据不平衡性明显和网络攻击伪装性强的数据时存在局限性，仅仅是对正常行为和攻击样本的特征差异进行简单学习。

技术实现思路

1、本发明的主要目的为提供一种加密恶意流量的检测方法，旨在解决现有技术中的技术问题。

2、本发明提出一种加密恶意流量的检测方法，包括：

3、获取随机噪声向量和网络数据集，并提取所述网络数据集中的多个恶意流量样本和正常流量样本；

4、将多个所述恶意流量样本与随机噪声向量合并得到数据训练集，并将所述数据训练集输入至生成器中，得到输入序列；

5、根据所述输入序列获取双向输出特征，并根据所述双向输出特征获取伪造样本；

6、根据所述伪造样本和正常流量样本获取对抗样本，并根据所述对抗样本获取训练数据；

7、获取所述训练数据的全局上下文信息，并根据所述全局上下文信息获取多个关键局部特征；

8、获取所述训练数据的多个时间序列特征和局部空间特征，并根据多个所述时间序列特征、局部空间特征和关键局部特征构建检测分类模型；

9、获取实时流量，并将所述实时流量输入至检测分类模型中，得到置信度检测评分；

10、判断所述置信度检测评分是否大于预设阈值；

11、若所述置信度检测评分大于预设阈值，则判定该实时流量为恶意流量；

12、若所述置信度检测评分不大于预设阈值，则判定该实时流量为正常流量。

13、作为优选，所述将多个所述恶意流量样本与随机噪声向量合并得到数据训练集，并将所述数据训练集输入至生成器中，得到输入序列的步骤，包括：

14、获取多个恶意流量样本，并将多个所述恶意流量样本转换为恶意流量结构化数据；

15、获取多个所述恶意流量结构化数据的恶意流量关键特征，其中，所述恶意流量关键特征包括协议类型、流量持续时间、数据包计数、源和目的端口、源和目的ip地址中的至少一个；

16、对多个所述恶意流量关键特征进行标准化处理得到多个恶意流量数值特征，并将多个所述恶意流量数值特征组合为恶意流量特征向量；

17、获取恶意流量特征向量的维度，并根据所述维度获取随机噪声向量；

18、将所述随机噪声向量和恶意流量特征向量进行拼接，得到数据训练集；

19、获取生成器的生成速度和可用内存，并根据所述生成速度和可用内存确定输入样本批量；

20、根据所述输入样本批量将所述数据训练集分割为多个加载输入样本；

21、将多个加载输入样本依次输入至生成器中，得到输入序列。

22、作为优选，所述根据所述输入序列获取双向输出特征，并根据所述双向输出特征获取伪造样本的步骤，包括：

23、将所述输入序列输入至双向长短期记忆网模型中；

24、通过双向长短期记忆网模型的正向部分从输入序列的起始时间步到结束时间步逐步处理输入序列，得到正向输出特征；

25、通过双向长短期记忆网模型的反向部分从输入序列的结束时间步到起始时间步逐步处理输入序列，得到反向输出特征；

26、将所述反向输出特征和正向输出特征进行连接，得到双向输出特征；

27、将所述双向输出特征输入至生成器中，得到伪造样本。

28、作为优选，所述根据所述伪造样本和正常流量样本获取对抗样本，并根据所述对抗样本获取训练数据的步骤，包括：

29、将所述伪造样本和正常流量样本输入至判别器中，得到判别输出值；

30、判断所述判别输出值是否达到预设输出值；

31、若所述判别输出值未达到预设输出值，则判定伪造样本真实性较低，此时采用二元交叉熵损失获取生成器损失；

32、采用反向传播算法根据生成器损失对生成器的权重进行更新，直至判别器输出的判别输出值达到预设输出值，并将此时的伪造样本标记为对抗样本；

33、若所述判别输出值达到预设输出值，则判定伪造样本真实性较高，并将伪造样本标记为对抗样本；

34、获取公开流量数据，并对所述公开流量数据进行清洗处理，得到标准流量数据；

35、将所述对抗样本附加合并在标准流量数据的末尾，得到训练数据。

36、作为优选，所述获取所述训练数据的多个时间序列特征和局部空间特征，并根据多个所述时间序列特征、局部空间特征和关键局部特征构建检测分类模型的步骤，包括：

37、获取所述训练数据的第一特征信息，其中，所述第一特征信息包括过程噪声、观测噪声、多个状态向量、多个观测值和多个时间序列数据；

38、根据所述过程噪声、观测噪声、多个状态向量、多个观测值和多个时间序列数据获取多个时间序列特征；

39、将所述训练数据按照预设时间长度划分为多个时间窗口，并提取每个所述时间窗口的第二特征信息，其中，所述第二特征信息包括多个平均流量、波动程度、极大值和极小值；

40、对多个时间窗口的多个平均流量、波动程度、极大值和极小值进行聚合，得到多个局部空间特征；

41、将多个所述时间序列特征、局部空间特征和关键局部特征按照预设比例划分为训练集和验证集；

42、根据所述时间序列特征、局部空间特征和关键局部特征构建预设检测分类模型，其中，预设检测分类模型为：

43、p(g)＝α*[a*s(t)+b*j(t)+c*g(t)]；

44、其中，p(g)表示评估值，α表示第一模型参数，a表示时间序列权重，s(t)表示时间序列特征，b表示局部空间权重，j(t)表示局部空间特征，c表示关键局部权重，g(t)表示关键局部特征；

45、依次将训练集内的多个时间序列特征、局部空间特征和关键局部特征输入至预设检测分类模型中进行训练，并根据验证集内的多个时间序列特征、局部空间特征和关键局部特征进行验证，得到多个预测训练结果；

46、根据多个所述预测训练结果对预设检测分类模型的模型参数进行调整，得到检测分类模型，其中，检测分类模型为：

47、z(p)＝β*[a*s(t)+b*j(t)+c*g(t)]；

48、其中，p(g)表示置信度检测评分，β表示第二模型参数，a表示时间序列权重，s(t)表示时间序列特征，b表示局部空间权重，j(t)表示局部空间特征，c表示关键局部权重，g(t)表示关键局部特征。

49、作为优选，所述根据所述过程噪声、观测噪声、多个状态向量、多个观测值和多个时间序列数据获取多个时间序列特征的步骤，包括：

50、根据多个所述时间序列特征获取状态转移矩阵；

51、根据每个所述状态向量对对应观测值的映射，得到观测矩阵；

52、根据所述过程噪声、状态转移矩阵和每个状态向量计算对应预测协方差，其中，计算公式为：

53、y(x)＝z(j)*z(x)2+g(z)；

54、其中，y(x)表示预测协方差，z(j)表示状态转移矩阵，z(x)表示状态协方差，g(z)表示过程噪声；

55、根据所述观测噪声和每个预测协方差获取对应卡尔曼增益；

56、根据所述状态协方差和状态转移矩阵获取预测状态向量；

57、根据所述预测状态向量、观测矩阵、每个观测值和每个卡尔曼增益计算对应时间序列特征，其中，计算公式为：

58、s(t)＝y(z)+k(z)*[g(c)-g(z)*y(z)]；

59、其中，s(t)表示时间序列特征，y(z)表示预测状态向量，k(z)表示卡尔曼增益，g(z)表示观测矩阵，g(c)表示观测值。

60、本技术还提供一种加密恶意流量的检测系统，包括：

61、提取模块，用于获取随机噪声向量和网络数据集，并提取所述网络数据集中的多个恶意流量样本和正常流量样本；

62、第一输入模块，用于将多个所述恶意流量样本与随机噪声向量合并得到数据训练集，并将所述数据训练集输入至生成器中，得到输入序列；

63、第一获取模块，用于根据所述输入序列获取双向输出特征，并根据所述双向输出特征获取伪造样本；

64、第二获取模块，用于根据所述伪造样本和正常流量样本获取对抗样本，并根据所述对抗样本获取训练数据；

65、第三获取模块，用于获取所述训练数据的全局上下文信息，并根据所述全局上下文信息获取多个关键局部特征；

66、构建模块，用于获取所述训练数据的多个时间序列特征和局部空间特征，并根据多个所述时间序列特征、局部空间特征和关键局部特征构建检测分类模型；

67、第二输入模块，用于获取实时流量，并将所述实时流量输入至检测分类模型中，得到置信度检测评分；

68、判断模块，用于判断所述置信度检测评分是否大于预设阈值；

69、若所述置信度检测评分大于预设阈值，则判定该实时流量为恶意流量；

70、若所述置信度检测评分不大于预设阈值，则判定该实时流量为正常流量。

71、作为优选，所述第一输入模块，包括：

72、转换单元，用于获取多个恶意流量样本，并将多个所述恶意流量样本转换为恶意流量结构化数据；

73、第一获取单元，用于获取多个所述恶意流量结构化数据的恶意流量关键特征，其中，所述恶意流量关键特征包括协议类型、流量持续时间、数据包计数、源和目的端口、源和目的ip地址中的至少一个；

74、组合单元，用于对多个所述恶意流量关键特征进行标准化处理得到多个恶意流量数值特征，并将多个所述恶意流量数值特征组合为恶意流量特征向量；

75、第二获取单元，用于获取恶意流量特征向量的维度，并根据所述维度获取随机噪声向量；

76、拼接单元，用于将所述随机噪声向量和恶意流量特征向量进行拼接，得到数据训练集；

77、确定单元，用于获取生成器的生成速度和可用内存，并根据所述生成速度和可用内存确定输入样本批量；

78、分隔单元，用于根据所述输入样本批量将所述数据训练集分割为多个加载输入样本；

79、输入单元，用于将多个加载输入样本依次输入至生成器中，得到输入序列。

80、本发明还提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述加密恶意流量的检测方法的步骤。

81、本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述加密恶意流量的检测方法的步骤。

82、本发明的有益效果为：本发明通过将随机噪声向量与恶意流量样本结合，可以生成多样化的训练数据，有助于模型学习到更多的特征，提高其泛化能力，结合随机噪声的恶意流量样本可以使模型更好地识别伪装性强的网络攻击，增强模型对伪装攻击的鲁棒性，通过生成器生成新的输入序列，可以融合多种特征表示方法，利用双向模型lstm能够同时考虑上下文信息，提取更丰富的特征表示，有助于捕捉加密流量中的复杂模式和时序关系，根据双向输出特征生成伪造样本，可以丰富数据集，帮助模型更好地学习到多样化的流量模式，通过结合双向特征提取、伪造样本生成和对抗训练，形成了一个多层次的学习框架，避免了对单一算法的依赖，通过获取全局上下文信息和多个局部特征，能够更全面地捕捉流量数据的复杂模式，结合时间序列特征和局部空间特征，使得模型能够有效捕捉流量的动态变化和空间关联性，提升检测的准确性，能够处理不同加密协议下的流量特征，有助于识别由不同加密方式产生的潜在恶意流量，通过实时流量监测与置信度评分，该方法有效解决了现有加密恶意流量检测的局限性，增强了系统的实时性、动态适应性和检测准确性。