【技术实现步骤摘要】
一种基于ViT改进的轻量化恶意流量识别方法
[0001]本专利技术属于面向物联网设备的恶意流量识别领域,具体涉及一种基于ViT改进的轻量化恶意流量识别方法。
技术介绍
[0002]在过去几年里,物联网设备在多个领域的应用都出现了持续增长的趋势,如工业领域、医疗领域、自动化领域和教育、智能家居和智慧城市等领域。虽然物联网技术提出的万物互联能够推动经济的发展,但是该技术也带来了新的安全挑战,它并不像看上去的那么安全。事实上,物联网设备通常只会分配到有限的资源,例如空间较小的存储介质和计算能力较差的处理器。攻击者通常操控被控制的物联网设备发起恶意攻击。因此,如果能越快的识别出物联网设备接收的恶意流量,就可以显著地防止恶意攻击的入侵,降低网络受到攻击的影响。
[0003]大多数恶意流量识别技术依赖于已知的攻击签名数据库,将待识别的流量与预定义的恶意流量特征库进行比较,以识别可能遭受的恶意攻击。显然,这种方法在识别已知攻击方面非常准确和有效,但是它的主要缺点包括两点:第一,该技术需要大量的资源和开销,并需要人工干预来更新攻击的...
【技术保护点】
【技术特征摘要】
1.一种基于ViT改进的轻量化恶意流量识别方法,其特征在于,具体包括以下步骤:步骤1:获取恶意流量数据集并对其进行会话分割及解析处理;步骤2:对步骤1解析后的会话进行数据包图像化表示,生成灰度图片;步骤3:使用一种基于滑动数据包的方式对数据集中样本量较少的类别进行数据增强,得到一个各类别样本均衡的数据集;步骤4:根据数据集提供的标签文件赋予通过数据包图像化方法转换的灰度图片对应的标签,以6:1的比例划分训练数据集和测试数据集,包括恶意流量二分类和多分类两种情况;步骤5:构建基于简化的混合Vision Transformer模型SHViT,进行恶意流量识别。2.根据权利要求1所述的一种基于ViT改进的轻量化恶意流量识别方法,其特征在于,步骤1具体为:步骤1.1:从网络上获取公开的物联网网络流量公开数据集;步骤1.2:将数据集中保存的原始流量文件根据TCP流或UDP流划分为若干个会话文件;步骤1.3:对会话文件进行解析,识别出该文件存储数据包的格式,并删除这些格式信息,保留TCP/IP协议规定的数据包信息。3.根据权利要求1所述的一种基于ViT改进的轻量化恶意流量识别方法,其特征在于,步骤2具体为:步骤2.1:限制会话的长度,将会话的长度设置为L
session
,其范围为576字节至50176字节,超出的部分将会舍弃,不足的部分进行填充,选择padding作为填充的值,其范围为0至255的整数;步骤2.2:规范会话中数据包的长度,要求会话中的每个数据包的长度是L
packet
,不足L
packet
的部分进行填充;其中,L
session
代表会话的长度,N
patch
代表划分区块的个数;步骤2.3:会话中数据包灰度图像化表示,按照会话中数据包的顺序依次转换为二维矩阵后生成灰度图片。4.根据权利要求1所述的一种基于ViT改进的轻量化恶意流量识别方法,其特征在于,步骤3具体为:步骤3.1:引入一个记录当前数据包位置的变量,即窗口的开始位置;步骤3.2:判断当前原始流量文件中数据包的数量与位置的差值;步骤3.3:在会话中当前位置的数据包经过数据包图像化方法处理完成后,位置变量就指向到下一个数据包。5.根据权利要求1所述的一种基于ViT改进的轻量化恶意流量识别方法,其特征在于,步骤5具体为:步骤5.1:使用mobileNetV2模型进行下采样,生成数据包的特征图,作为Transformer Encoder的输入;步骤5.2:构建简化的混合Vision Transformer模型中的SHViTBlock;步骤5.3:将SHViTBlock的输出通过全局池化层和线性层,得到完整的SHViT模型;
步骤...
【专利技术属性】
技术研发人员:张文波,冯永新,刘贺,谭小波,
申请(专利权)人:沈阳理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。