买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明公开了一种基于多模型融合的隐匿恶意行为检测方法，包括获取DNS报文的黑样本、白样本及CDN样本数据集；对黑样本、白样本及CDN样本数据集进行特征提取；基于提取的特征进行多模型训练，将训练后的多模型进行权值融合得到隐匿恶意行为检测模型；利用所述隐匿恶意行为检测模型进行实时检测捕获DNS隐匿隧道。本发明可极大程度减少人力成本，同时提高DNS隐匿隧道检测的准确性。

主权项：1.一种基于多模型融合的隐匿恶意行为检测方法，其特征在于，所述基于多模型融合的隐匿恶意行为检测方法，包括：步骤1、获取DNS报文的黑样本、白样本及CDN样本数据集；步骤2、对黑样本、白样本及CDN样本数据集进行特征提取；步骤2.1、过滤不合法的样本数据；步骤2.2、从每一条样本数据的域名特征中提取子域；步骤2.3、获取子域中的有效字符数作为最大特征值，并对子域中的域名进行整数编码转换为词向量；步骤2.4、若域名特征的长度小于最大特征值，则利用填充符对词向量进行填充直至域名特征的长度达到最大特征值，输出填充后的词向量作为提取的特征；否则直接输出步骤2.3中的词向量作为提取的特征；步骤3、基于提取的特征进行多模型训练，将训练后的多模型进行权值融合得到隐匿恶意行为检测模型，包括：步骤3.1、基于提取的特征进行多模型训练，所述多模型包括LSTM模型、1D-CNN模型和MLP模型，包括：对黑样本、白样本及CDN样本数据集提取的特征进行随机抽样分为训练集和测试集；利用训练集进行多模型训练，训练过程中首先在1D-CNN模型中加入一维卷积函数进行特征处理、在LSTM模型中加入长短期记忆网络函数进行特征处理，以及在MLP模型中加入隐藏层进行特征处理；接着，分别在三个模型的各自训练过程中加入embedding层来进行数据降维；然后，在1D-CNN模型、LSTM模型以及MLP模型中加入dropout层做平滑处理；利用测试集验证各模型，若各模型的准确度到达预设要求则结束训练，否则重新利用训练集进行多模型训练；步骤3.2、计算各模型对应的权值如下： fvi＝viα式中，wi为第i个模型的权值，vi为第i个模型的准确度，n为模型数量且n＝3，α为大于1的常数；步骤3.3、对多模型进行权值融合如下：p＝{pMLP×wMLP+p1D-CNN×w1D-CNN+pRNN×wRNN}式中，p为隐匿恶意行为检测模型输出的检测结果，pMLP为MLP模型的检测结果，wMLP为MLP模型的权值，p1D-CNN为1D-CNN模型的检测结果，w1D-CNN为1D-CNN模型的权值，pRNN为LSTM模型的检测结果，wRNN为LSTM模型的权值；步骤4、利用所述隐匿恶意行为检测模型进行实时检测捕获DNS隐匿隧道。

全文数据：

权利要求：

百度查询： 浙江工业大学 一种基于多模型融合的隐匿恶意行为检测方法