买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国信息通信研究院

摘要：本发明提出一种基于数据包表征学习的恶意加密流量检测方法和系统。其中，方法包括：以用丰富双向流会话作为划分的基本单位，对每一个加密流量Pcap文件进行划分，得到若干个会话；选取会话中的前预设值个数据包代表全局流量；选取每个数据包的若干参数作为检测特征；将所述检测特征输入深度学习网络，得到恶意加密流量识别结果。本发明提出的方案能够通过深入挖掘TLS协议数据包级别的特征，运用深度学习网络算法提取特征的序列信息，并加入多头自注意力机制来减少深度学习网络算法的传播信息损失以及提取序列信息中的关键信息进行检测，进而提升加密恶意流量的检测率。

主权项：1.一种基于数据包表征学习的恶意加密流量检测方法，其特征在于，所述方法包括：步骤S1、以用丰富双向流会话作为划分的基本单位，对每一个加密流量Pcap文件进行划分，得到若干个会话；步骤S2、选取会话中的前预设值个数据包代表全局流量；选取每个数据包的若干参数作为检测特征；步骤S3、将所述检测特征输入深度学习网络，得到恶意加密流量识别结果；在所述步骤S2中，所述预设值等于30；在所述步骤S2中，所述每个数据包的若干参数包括：Size：数据包载荷大小；time：与上一个数据包的时间间隔；dir：数据包传输方向；ack：数据包的TCP层的第一标志位；psh：数据包的TCP层的第二标志位；在所述步骤S3中，所述将所述检测特征输入深度学习网络，得到恶意加密流量识别结果的方法包括：将所述检测特征输入LSTM网络，得到LSTM输出；将所述LSTM输出作为多头注意力机制的查询、键和值；使用不同的权重矩阵对多头注意力对查询、键和值，并行进行多次线性变换，得到不同的数据包的向量注意力；将所有数据包的向量注意力合并，输出全局特征；将所述全局特征经过全连接层计算处理后，得到数据包特征向量；将所述数据包特征向量输入到Softmax分类器，得到恶意加密流量识别结果；在步骤S2中，具体地，由于恶意流量与正常流量在数据包级别的分布差异较大，故从数据包的检测特征进行建模，可以有效的从正常加密流量中区分恶意流量；选取会话中的前30个数据包代表全局流量，会话在包粒度下的表征如下： 其中，sessionbehavior表示会话；pt表示第t个数据包；Size：数据包载荷大小；time：与上一个数据包的时间间隔；dir：数据包传输方向；ack：数据包的TCP层的第一标志位；psh：数据包的TCP层的第二标志位；在步骤S3中，具体地，使用LSTM算法对特征进行学习，挖掘数据包之间的内在时序关系；通过构建输入门、遗忘门以及输出门解决了循环神经网络长期依赖的问题，很好的处理具有时序关系的数据，更好的挖掘出数据之间存在的关系，具体公式如下： 其中W和U是门的参数矩阵，分别表示对输入的线性变化与隐状态的线性变化，b是偏置，下标对应相应的门，比如对应输入门的权重偏置；通过输入门和遗忘门，控制当前t时刻数据包和t-1时刻记忆单元哪些特征用于,通过输出门得到隐节点；每一时刻的，通过计算，得到了对应隐节点，从而得到基于数据包的基础表征；采用多头自注意力机制改进对数据包特征提取；多头注意力机制在对序列数据进行处理时，通过给不同位置的输入信号分配不同的权重，使得模型更加关注重要的输入，具体的操作为：首先计算注意力矩阵，将输入的张量拆分为多个子张量，每个子张量都是以不同的方式学习到的注意力信息；然后，对于每个子张量，都执行一次自注意力计算，得到一个输出张量；最后，将多个输出张量拼接到一起，得到最终的输出张量；将所述LSTM输出作为多头注意力机制的查询、键和值；使用不同的权重矩阵、和对多头注意力对查询（Q）、键（K）和值（V），并行进行多次线性变换，得到不同的数据包的向量注意力；将所有数据包的向量注意力合并，输出全局特征；可以高效学习到不同的表示子空间中的关键信息，具体计算如下面的公式所示： 其中：为K矩阵的维度；Softmax函数将Q与K进行点积运算并归一化的结果转换为概率分布，与矩阵V相乘得到注意力权重求和结果；将所述全局特征经过全连接层计算处理后，得到数据包特征向量；将所述数据包特征向量输入到Softmax分类器，得到恶意加密流量识别结果，result，并得到预测标签=argmax（result）；若预测标签与实际标签相等，计算，其中，a值对两类样本的数量进行惩罚与奖励，y值对难以训练的样本进行奖励，并更新模型参数。

全文数据：

权利要求：

百度查询： 中国信息通信研究院 一种基于数据包表征学习的恶意加密流量检测方法和系统