【技术实现步骤摘要】
本专利技术涉及恶意流量检测,尤其是涉及一种基于多示例学习的恶意流量检测方法。
技术介绍
1、随着网络通信技术的飞速发展,加密协议在网络中的应用越来越广泛,如tls/ssl等加密协议已成为保障网络数据安全传输的重要手段。然而,这一趋势在为合法数据提供安全保护的同时,也给网络安全领域带来了严峻挑战。加密技术使得恶意流量能够隐藏在合法的网络流量之中,传统的恶意流量检测方法受到了极大的限制。
2、传统的恶意流量检测技术,像深度包检测(dpi)和基于签名的检测方法,主要依赖对数据包负载内容的分析或者预先定义的攻击模式匹配。但在面对加密流量时,由于数据包的负载被加密,这些方法无法获取到有效信息,导致检测能力大幅下降,既难以识别隐藏在加密通道中的恶意活动,也无法发现敏感数据通过加密隧道的异常传输行为。
3、统计分析和基于机器学习的方法虽然将关注点转向了流量级别的特征,如数据包大小、到达时间间隔、流持续时间等,避免了对负载内容的依赖,但在实际复杂的网络环境中,仍然存在诸多问题。一方面,在混合背景流量场景下,恶意流量往往与大量的良...
【技术保护点】
1.一种基于多示例学习的恶意流量检测方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于多示例学习的恶意流量检测方法,其特征在于:所述步骤一,突发分割阶段,窗口大小根据实际网络承载与处理能力来特性配置,每次滑动以设定步长,窗口大小的50%-80%,进行重叠移动,既保证时间分辨率以捕捉短时流量波动,又通过重叠区域减少关键特征丢失,对于每条网络流,从起始时间开始,按窗口边界依次截取包含连续数据包的时间序列,形成有序的突发段集合,每个突发段内的数据包大小按时间顺序排列为其中T为该段内的数据包数量,针对流起始或结束时的不完整窗口,采用自适应边界处理:...
【技术特征摘要】
1.一种基于多示例学习的恶意流量检测方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于多示例学习的恶意流量检测方法,其特征在于:所述步骤一,突发分割阶段,窗口大小根据实际网络承载与处理能力来特性配置,每次滑动以设定步长,窗口大小的50%-80%,进行重叠移动,既保证时间分辨率以捕捉短时流量波动,又通过重叠区域减少关键特征丢失,对于每条网络流,从起始时间开始,按窗口边界依次截取包含连续数据包的时间序列,形成有序的突发段集合,每个突发段内的数据包大小按时间顺序排列为其中t为该段内的数据包数量,针对流起始或结束时的不完整窗口,采用自适应边界处理:起始阶段不足窗口长度的突发段直接保留实际数据包大小序列,保留原始时序特征;
3.根据权利要求2所述的一种基于多示例学习的恶意流量检测方法,其特征在于:分割完成后,对每个突发段的数据包大小进行标准化处理,采用最小-最大归一化方法将数值缩放至[0,1]区间,具体公式为:
4.根据权利要求1所述的一种基于多示例学习的恶意流量检测方法,其特征在于:...
【专利技术属性】
技术研发人员:郑超,张梓威,窦凤虎,李佳,董晓燕,
申请(专利权)人:积至海南信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。