【技术实现步骤摘要】
一种基于自适应快照集成的未知威胁识别方法
[0001]本专利技术涉及一种基于自适应快照集成的未知威胁识别方法,属于信息安全
技术介绍
[0002]网络入侵检测通过流量分析识别恶意流量从而发现入侵行为,随着互联网时代的发展,内部威胁、零日漏洞和DoS攻击等攻击行为日益增加,网络安全变得越来越重要,是网络安全学科的重要研究对象。它在不影响网络性能的情况下能对网络进行检测,从而提供实时防护,并且通过识别攻击种类,及时给网络安全工作者提供决策的帮助。深度学习相关的解决方案提供了更大的灵活性和更强大的检测能力,并且可以通过更多的训练数据来扩展他们的能力。
[0003]在利用深度学习模型解决恶意流量细粒度分类问题时,不断新增的恶意流量类别迫使网络服务监管者不断改变网络结构以适应于新增类别的分类任务。在流量数据量不断增大的时代,重新构建网络结构训练模型带来的时间损耗是不可接受的。
[0004]进一步的,即使利用传统的迁移学习方法适应于不断新增的类别,这些分类器依旧可能由于模型对抗攻击进行攻击,概念漂移等问题导致模...
【技术保护点】
【技术特征摘要】
1.一种基于自适应快照集成的未知威胁识别方法,其特征在于,所述方法包括以下步骤:S1,提取流量特征:从网络加密流量中提取时序特征、统计特征,用作下一阶段检测器的输入,S2,已知类恶意流量检测深度学习分类器:将专家打上标签的加密流量数据输入训练模型,通过集成学习,减小模型方差,并可以对新一时间段流量进行分类,S3,未知流量聚类:将分类最高置信度低于阈值的样本标记为未知样本,通过聚类划分为新类别,并后续打上标签,S4,迁移学习更改网络结构:通过复用上一阶段神经网络参数,更改输出层节点数量,使得分类模型可以用于预测新类别,S5,快照学习与过采样:将标记新类别的数据通过过采样重新输入到神经网络进行训练,对训练每一阶段的局部最优解保留快照,利用集成学习使模型达到更优的性能。2.如权利要求1所述的一种基于自适应快照集成的未知威胁识别方法,其特征在于:所述步骤S1进一步包括:S11清洗得到干净的流量数据,对每条加密流,按序记录数据包长度拼接组成时序特征序列,计算获得多种统计特征向量,S12对得到统计信息和时序信息的流量数据,根据实时接受流量大小构建输入模型的每批数据的大小,然后根据后续提供的信号调整每批的流量大小,从而构建足够异构的不同模型。3.如权利要求1所述的一种基于自适应快照集成的未知威胁识别方法,其特征在于:所述步骤S2进一步包括:S21构建卷积神经网络,利用余弦退火学习率训练网络,以达到更优的子模型,S22保留训练中各个余弦阶段模型参数的快照,利用这些模型的快照,构建集成学习的基分类器,利用快照集成构建恶意流量检测深度学习分类器。4.如权利要求1所述的一种基于自适应快照集成的未知威胁识别方法,其特征在于:所述步骤S3进一步包括:S31设置合理的阈值,将恶意流量检测深度学习分类器预测类别的最高置信度低于该阈值的所有样本提取出,通过DBSCAN聚类,得到他们...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。