【技术实现步骤摘要】
本专利技术涉及网络安全,特别是涉及一种apt(advanced persistentthreat,高级长期威胁)恶意流量的检测方法。
技术介绍
1、近年来,网络环境随着信息通信技术的进步迅速扩大,而面临的网络威胁日益增多。当前,高级持续威胁攻击已成为全球范围内各个国家和组织关心的焦点。攻击者通常采用各种策略执行apt攻击,其中包括零日漏洞攻击,攻击者在目标系统或网络中发现新的漏洞,并即刻加以利用。由于apt攻击持续在线存在,而且其大流量的特点存在导致系统崩溃的风险,因此,检测此类攻击具有相当的挑战性。对于传统的安全措施,如电子邮件安全、web服务器安全和防病毒软件而言,具备一定的能力可有效区分一般攻击,但在面对更复杂的apt攻击时,便不再具备相应的抵御能力。此外,现有防火墙也具有相当的局限性,无法在保持高精度的同时实现apt攻击的实时检测。
2、现有技术中,使用机器学习技术解决异常检测问题已成为一种趋势。但受限于正常行为的复杂性和机器学习模型训练中数据不平衡的问题,即某些类别的样本数量明显少于其他类别,会导致模型在少数类别上表现不佳,即模型缺乏全面性能。
技术实现思路
1、为解决上述现有技术中存在的技术问题,本专利技术提出了一种apt恶意流量的检测方法,具体为一种基于时空特征的自适应快速神经网络适应autoasd(automatedarchitecture search for detecting,自动结构搜索)方法,该方法通过适应种子网络的架构和参数,以实现不同深度、
2、通过端口镜像复制待检测流量数据;
3、将待检测流量数据中的数据包作为样本,进行缺失值处理和异常值处理,并将样本的特征划分为数字特征和字符型特征,并对字符型特征进行独热编码;
4、均值归一化所有特征,再通过最大最小标准化处理使各特征所属类别的属性值处于[0,255),并将处理结果转换为二维图像;
5、对恶意流量的任一类别,拼接a个样本的二维图像;其中,拼接后的二维图像中,同属性对应部分同列对齐,a为使待检测流量数据最大概率被判定为该类别的值;
6、将二维图像输入含种子网络pu的神经网络模型,并对其进行深度重映射:对于种子网络pu中一个阶段n层的任意一层,有参数对应地,新网络pq中s层的相应阶段具有参数将种子网络pu中的最后一层的参数复制至新网络pq的网络层中,
7、
8、f(c)=min(c,n)
9、式中,c为神经网络模型中新网络pq中网络层的层序数,为新网络pq中新层的参数,为种子网络pu中最后一层的参数;
10、对神经网络模型进行宽度重映射:给定种子网络pu一个卷积层,有参数yu∈te×f×j×k;对新网络pq相应的卷积层,有参数yq∈ta×b×j×k;在宽度维度上,将种子网络pu中参数的前a或前b通道映射到新网络pq中的通道,
11、
12、其中,e、f为种子网络pu中参数的输入、输出维度,a、b为新网络pq中参数的输入、输出维度,j、k为空间维度的宽、高,a<<e,b<<f;“:”为维度的取值范围,为新网络pq中第h输出通道和第d输出通道确定的卷积核的所有权重,为种子网络pu中第h输出通道和第d输出通道确定的卷积核的所有权重;
13、对神经网络模型进行内核重映射:将原始3×3核参数的值分配到内核维度为ω×ω大核中心的3×3区域,其它区域的值分配为0,
14、
15、式中,为大核宽、高的参数范围;为原始3×3核宽、高的参数范围;
16、以隐式嵌入的方式引入多条可行的子路径,将种子网络pu拓展为超级网络,并将种子网络pu的参数映射到超级网络;
17、在恶意流量检测分类任务上使用超级网络启动可微nas过程:微调训练数据集上超级网络部分时期的操作权重并进行针对训练,再交替迭代优化操作权重和架构参数;其中,每次交替迭代中根据架构参数分布采样的路径微调操作权重;
18、可微nas过程终止后,使用架构参数推导目标架构;
19、将种子网络pu的参数映射到目标架构,在恶意流量检测分类任务上微调目标架构,得到目标网络;
20、应用目标网络对待测流量数据对应的二维图像进行检测。
21、进一步地,该方法还包括对二维图像进行预处理:
22、使用伽马校正调整二维图像的像素值,
23、
24、式中,p为新像素值,p0为原像素值,γ为伽马值;
25、对二维图像进行位深度缩减和色彩平衡调整。
26、优选地,以隐式嵌入的方式引入多条可行的子路径,将种子网络拓展为超级网络,包括:
27、将恶意流量检测分类选择放宽为可操作的softmax,
28、
29、式中,φ为恶意流量检测分类对应的操作集,x为输入张量,第k层操作的架构参数,为第k层操作的架构参数,为针对x的恶意流量检测分类。
30、可见,相对于现有技术,本专利技术所提出的技术方案通过适应种子网络的架构和参数,可实现不同深度、宽度或不同任务要求的网络;利用参数重映射技术调整内核,可更有效地利用nas进行检测和分割任务;通过隐式嵌入引入大量可行的子路径,可限制搜索空间的复杂性;进一步地,以上技术特征相结合,可提高恶意流量检测的实时性和准确性。
31、各优选方案在取得上述有益效果的同时,进一步地还取得了以下有益效果:亮度调整能够精细地调整图像的亮度,同时保留亮部和暗部的细节;为深度缩减有助于减少图像占用的存储空间,并在一定程度上保持图像的视觉质量;色彩平衡调整有助于保持图像中不同颜色的真实性,可更好地突出图像中的关键颜色特性,提高图像的可识别性;将特定操作放宽,引入多条可行的子路径,可使得空间连续,有利于神经网络模型自适应地调整特征的权重,从而更全面地区分不同的攻击类别。
本文档来自技高网...【技术保护点】
1.一种APT恶意流量的检测方法,其特征在于,包括:
2.如权利要求1所述的一种APT恶意流量的检测方法,其特征在于,所述将二维图像输入神经网络模型,之前还包括对二维图像进行预处理:
3.如权利要求1所述的一种APT恶意流量的检测方法,其特征在于,所述以隐式嵌入的方式引入多条可行的子路径,将种子网络拓展为超级网络,包括:
【技术特征摘要】
1.一种apt恶意流量的检测方法,其特征在于,包括:
2.如权利要求1所述的一种apt恶意流量的检测方法,其特征在于,所述将二维图像输入神经网络模型,之前还包括对...
【专利技术属性】
技术研发人员:李晓慧,刘心语,王俊峰,李贝贝,李凡,
申请(专利权)人:四川大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。