【技术实现步骤摘要】
流量检测模型的训练方法、流量检测方法、装置及设备
[0001]本申请涉及信息安全
,具体而言,涉及一种流量检测模型的训练方法、流量检测方法、装置及设备。
技术介绍
[0002]为了确保网络安全,在一些应用场景中,可以对网络中传输的数据流量进行检测,以确定数据流中是否存在病毒、攻击报文等可能对网络安全造成影响的数据。现有的一种检测方式是解析获得数据流中携带的明文特征,通过进行特征比对,以检测数据流是否为异常流量。
[0003]但是,随着加密协议如安全套接字(Secure Sockets Layer,SSL)协议、传输层安全(Transport Layer Security,TLS)协议等加密传输技术的普及,在网络中还存在有大量的加密数据,若是攻击者将数据流中的加密数据进行伪造,由于难以获得这些加密数据的密钥而导致难以对数据包进行解密,所以也就无法对这些加密的数据包进行异常检测,使得异常检测的准确性大大降低。
技术实现思路
[0004]本申请实施例的目的在于提供一种流量检测模型的训练方法、流量检测方...
【技术保护点】
【技术特征摘要】
1.一种流量检测模型的训练方法,其特征在于,所述方法包括:提取训练流量样本中的流量特征,所述流量特征携带有加密信息标签以及表征是否为异常流量的流量标签;将所述流量特征输入初始流量检测模型的第一分支网络和第二分支网络中,得到所述第一分支网络针对所述训练流量样本中携带的加密信息的第一预测结果,以及得到所述第二分支网络针对所述训练流量样本是否为异常流量的第二预测结果;其中,所述第一分支网络和所述第二分支网络为所述初始流量检测模型中包含用于进行特征提取的公共部分的分支网络;根据所述第一预测结果和所述加密信息标签计算获得第一损失函数,以及根据所述第二预测结果和所述流量标签计算获得第二损失函数;根据所述第一损失函数和所述第二损失函数计算获得总损失函数;根据所述总损失函数更新所述初始流量检测模型的网络参数,并采用更新后的网络参数训练得到流量检测模型。2.根据权利要求1所述的训练方法,其特征在于,通过以下方式获取所述训练流量样本中的流量特征的加密信息标签:获取异常流量样本和正常流量样本,并分别将所述异常流量样本和所述正常流量样本输入沙箱中运行;通过所述沙箱分别对所述异常流量样本和所述正常流量样本进行解密,得到所述异常流量样本的解密信息以及所述正常流量样本的解密信息;根据所述异常流量样本的解密信息,得到所述异常流量样本的流量特征的加密信息标签,并根据所述正常流量样本的解密信息,得到所述正常流量样本的流量特征的加密信息标签;其中,所述训练流量样本包括所述正常流量样本和所述异常流量样本。3.根据权利要求2所述的训练方法,其特征在于,通过所述沙箱分别对所述异常流量样本和所述正常流量样本进行解密,得到所述异常流量样本的解密信息以及所述正常流量样本的解密信息,包括:从所述沙箱的内存快照中获取针对所述异常流量样本的第一会话密钥,并利用所述第一会话密钥对所述异常流量样本进行解密,得到所述异常流量样本的解密信息;从所述沙箱中的内存快照中获取针对所述正常流量样本的第二会话密钥,并利用所述第二会话密钥对所述正常流量样本进行解密,得到所述正常流量样本的解密信息。4.根据权利要求2所述的训练方法,其特征在于,所述解密信息为所述训练流量样本中的HTTP头部字段;和/或,所述训练流量样本包括:加密流量样本。5.根据权利要求1所述的训练方法,其特征在于,所述第一分支网络包括第一特征提取模块和第一预测模块,所述第二分支网络包括第二特征提取模块和第二预测模块,所述第一特征提取模块和所述第二特征提取模块包含公共部分,所述提取训练流量样本中的流量特征,包括:利用所述第一特征提取模块提取所述训练流量样本中的第一流量特征,以及,利用所述第二特征提取模块提取所述训练流量样本中的第二流量特征;
所述将所述流量特征输入流量检测模型的第一分支网络和第二分支网络中,得到所述第一分支网络针对所述训练流量样本中携带的加密信息的第一预测结果,以及得到所述第二分支网络针对所述训练流量样本是否为异常流量的第二预测结果,包括:将所述第一流量特征输入所述第一预测模块中,得到所述第一预测模块针对所述训练流量样本中携带的加密信息的第一预测结果;以及,将所述第二流量特征输入所述第二预测模块中,得到所述第二预测模块针对所述训练流量样本是否为异常流量的第二预测结果。6.根据权利要求5所述的训练方法,其特征在于,所述第一特征提取模块和所述第二特征提取模块的公共部分包括序列特征提取单元,所述第二特征提取模块包括卷积单元和融合单元,所述利用所述第一特征提取模块提取所述训练流量样本中的第一流量特征,以及,利用所述第二特征提取模块提取所述训练流量样本中的第二流量特征,包括:利用所述序列特征提取单元提取所述训练流量样本中的统计特征,所述统计特征为第一流量特征;以及,利用所述卷积单元提取所述训练流量样本中的明文特征,并利用所述融合单元融合所述明文特征和所述统计特征,得到第二流量特征。7.根据权利要求6所述的训练方法,其特征在于,所述序列特征提取单元为双向长短期记忆Bi
‑
LSTM单元,所述序列特征提取单元的隐藏层输出的统计特征用于作为所...
【专利技术属性】
技术研发人员:王骞,郑恩南,刘明烜,杨鑫,付卓群,郑晓峰,应凌云,刘璐,聂眉宁,段海新,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。