本發(fā)明涉及數(shù)據(jù)識(shí)別領(lǐng)域中的一種流量分類方法，尤其涉及一種基于特征融合的惡意流量分類方法。

背景技術(shù)：

1、物聯(lián)網(wǎng)設(shè)備的快速增長(zhǎng)擴(kuò)大了網(wǎng)絡(luò)攻擊面，這導(dǎo)致它們?nèi)菀资艿骄W(wǎng)絡(luò)中的各種攻擊。物聯(lián)網(wǎng)設(shè)備一旦受到攻擊，不僅會(huì)造成經(jīng)濟(jì)損失，還會(huì)危及用戶數(shù)據(jù)的安全和隱私。因此，檢測(cè)物聯(lián)網(wǎng)中的攻擊行為對(duì)物聯(lián)網(wǎng)的安全至關(guān)重要。通常惡意流量分類模型通過(guò)分析網(wǎng)絡(luò)流量是良性還是惡意來(lái)檢測(cè)網(wǎng)絡(luò)中的攻擊行為。因此，檢測(cè)網(wǎng)絡(luò)中的惡意流量是目前在物聯(lián)網(wǎng)中急需解決的問(wèn)題。

2、目前主流的惡意流量分類方法包括基于傳統(tǒng)的機(jī)器學(xué)習(xí)方法和深度學(xué)習(xí)方法。雖然基于傳統(tǒng)的機(jī)器學(xué)習(xí)方法可以有效檢測(cè)惡意流量，但是特征的選擇需要耗費(fèi)時(shí)間，并且嚴(yán)重依賴于專家經(jīng)驗(yàn)。相比于傳統(tǒng)的機(jī)器學(xué)習(xí)，深度學(xué)習(xí)可以從原始數(shù)據(jù)中自動(dòng)提取特征，而不是使用手動(dòng)特征選擇。目前，通過(guò)將網(wǎng)絡(luò)流量轉(zhuǎn)換成圖像并利用傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)對(duì)其進(jìn)行分類是一種先進(jìn)的方法。然而，這種方法還有一些不足。例如，流量圖像通常較小，傳統(tǒng)網(wǎng)絡(luò)的下采樣操作會(huì)導(dǎo)致特征信息的丟失。此外，流量圖像是單通道圖像，通道特征信息相對(duì)于三通道圖像較少，傳統(tǒng)深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)難以提取足夠的特征信息。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述技術(shù)的不足，本發(fā)明針對(duì)流量圖像的特點(diǎn)，提出了一種基于特征融合的惡意流量分類方法。

2、本發(fā)明采用以下技術(shù)方案實(shí)現(xiàn)：

3、一種基于特征融合的惡意流量分類方法，其特征在于，分類方法包括以下步驟：

4、步驟1，將包含惡意流量包和良性流量包的pcap流量包進(jìn)行預(yù)處理；

5、步驟2，將預(yù)處理后的pcap流量包轉(zhuǎn)化為灰度圖像；

6、步驟3，搭建惡意流量分類模型，所述惡意流量分類模型包括通道融合模塊、多層特征融合模塊、下采樣融合模塊、全局平均池化層、全連接層和softmax激活函數(shù)層；

7、步驟4，將步驟2的灰度圖像輸入惡意流量分類模型中，得到分類結(jié)果。

8、進(jìn)一步地，步驟4包括以下步驟：

9、步驟4.1，將灰度圖像輸入惡意流量分類模型的通道融合模塊中，得到輸出特征圖a1；

10、步驟4.2，將特征圖a1輸入惡意流量分類模型的多層特征融合模塊中，得到輸出特征圖b1；

11、步驟4.3，將特征圖b1輸入惡意流量分類模型的下采樣融合模塊中，得到輸出特征圖c1；

12、步驟4.4，將特征圖c1輸入惡意流量分類模型的多層特征融合模塊中，得到輸出特征圖d1；

13、步驟4.5，將特征圖d1輸入惡意流量分類模型的下采樣融合模塊中，得到輸出特征圖e1；

14、步驟4.6，將特征圖e1依次輸入惡意流量分類模型的全局平局池化層、全連接層和softmax激活函數(shù)層，得到分類結(jié)果。

15、進(jìn)一步地，通道融合模塊由初始特征提取模塊、并行通道擴(kuò)張模塊和通道收縮模塊構(gòu)成，初始特征提取模塊依次由卷積層、bn層和relu層構(gòu)成，并行通道擴(kuò)張模塊由分支1和分支2構(gòu)成，分支1依次由卷積層、bn層和relu層構(gòu)成，分支2依次由卷積層、bn層和relu層構(gòu)成，通道收縮模塊依次由深度卷積層dwconv、bn層、relu層、卷積層、bn層和relu層鄰接構(gòu)成。

16、進(jìn)一步地，多層特征融合模塊由位置特征提取模塊、多尺度特征提取模塊構(gòu)成，位置特征提取模塊依次由卷積層、bn層、relu層、卷積層、bn層、relu層和ca注意力模塊鄰接構(gòu)成，多尺度特征提取模塊由分支1、分支2和分支3構(gòu)成，分支1依次由深度卷積層dwconv、bn層、relu層、卷積層、bn層和relu層鄰接構(gòu)成，分支2依次由深度卷積層dwconv、bn層、relu層、卷積層、bn層、relu層、深度卷積層dwconv、bn層、relu層、卷積層、bn層、relu層鄰接構(gòu)成，分支3依次由池化層、卷積層、bn層、relu層構(gòu)成。

17、進(jìn)一步地，下采樣融合模塊由分支1、分支2和分支3構(gòu)成，分支1依次由卷積層、bn層、relu層和平均池化層構(gòu)成，分支2依次由卷積層、bn層、relu層和最大池化層構(gòu)成，分支3依次由深度卷積層dwconv、bn層、relu層、卷積層、bn層和relu層鄰接構(gòu)成。

18、進(jìn)一步地，步驟4.1包括以下步驟：

19、步驟4.1.1，將灰度圖像輸入初始特征提取模塊中，得到輸出特征圖a11；

20、步驟4.1.2，將a11輸入并行通道擴(kuò)張模塊的分支1中得到輸出特征圖a21，將a11輸入并行通道擴(kuò)張模塊的分支2中得到輸出特征圖a31，將特征圖a21和特征圖a31進(jìn)行拼接操作，得到特征圖a41；

21、步驟4.1.3，將特征圖a41輸入通道收縮模塊中，得到輸出特征圖a1。

22、進(jìn)一步地，步驟4.2包括以下步驟：

23、步驟4.2.1，將特征圖a1輸入位置特征提取模塊中，得到輸出特征圖a12；

24、步驟4.2.2，將特征圖a12輸入多尺度特征提取模塊的分支1得到輸出特征圖a22，將特征圖a12輸入多尺度特征提取模塊的分支2得到輸出特征圖a32，將特征圖a12輸入多尺度特征提取模塊的分支3得到輸出特征圖a42，將特征圖a22、a32和a42進(jìn)行拼接操作，得到特征圖a52；

25、步驟4.2.3，將特征圖a1、a12和a52進(jìn)行相加操作，得到特征圖b1。

26、進(jìn)一步地，步驟4.3包括以下步驟：

27、步驟4.3.1，將特征圖b1輸入下采樣融合模塊的分支1得到輸出特征圖b11,將特征圖b1輸入下采樣融合模塊的分支2得到輸出特征圖b21，將特征圖b1輸入下采樣融合模塊的分支3得到輸出特征圖b31,將特征圖b11、b21和b31進(jìn)行相加操作，得到特征圖c1。

28、進(jìn)一步地，步驟4.4包括以下步驟：

29、步驟4.4.1，將特征圖c1輸入位置特征提取模塊中，得到輸出特征圖c11；

30、步驟4.4.2，將特征圖c11輸入多尺度特征提取模塊的分支1得到輸出特征圖c21，將特征圖c11輸入多尺度特征提取模塊的分支2得到輸出特征圖c31，將特征圖c11輸入多尺度特征提取模塊的分支3得到輸出特征圖c41，將特征圖c21、c31和c41進(jìn)行拼接操作，得到特征圖c51；

31、步驟4.4.3，將特征圖c1、c11和c51進(jìn)行相加操作，得到特征圖d1。

32、進(jìn)一步地，步驟4.5包括以下步驟：

33、步驟4.5.1，將特征圖d1輸入下采樣融合模塊的分支1得到輸出特征圖d11,將特征圖d1輸入下采樣融合模塊的分支2得到輸出特征圖d21，將特征圖d1輸入下采樣融合模塊的分支3得到輸出特征圖d31,將特征圖d11、d21和d31進(jìn)行相加操作，得到特征圖e1。

34、本發(fā)明的有益效果是：本發(fā)明針對(duì)流量圖像的特點(diǎn)，提出了一種基于特征融合的惡意流量分類方法。該方法提出的惡意流量分類模型包括通道融合模塊、多層特征融合模塊和下采樣融合模塊。通道融合模塊由初始特征提取模塊、并行通道擴(kuò)張模塊、通道收縮模塊構(gòu)成，初始特征提取模塊利用卷積層提取淺層特征，并行通道擴(kuò)張模塊可以增加特征圖通道數(shù)量，增加了特征信息，通道收縮模塊使用深度卷積提取特征信息并通過(guò)卷積減少特征圖數(shù)量，提高了模型的穩(wěn)定性和檢測(cè)性能，同時(shí)降低了模型復(fù)雜度。多層特征融合模塊由位置特征提取模塊、多尺度特征提取模塊構(gòu)成，位置特征提取模塊可以提取流量圖像的紋理特征并抑制噪聲，多尺度特征提取模塊可以在同一層次上同時(shí)提取不同尺度的特征，增大了感受野，從而更全面地捕獲圖像的信息，深度卷積和大小為1的卷積可以降低模型的計(jì)算量，此外，多層特征融合模塊將多個(gè)不同層的特征進(jìn)行相加融合，提高了模型的表達(dá)能力和性能。下采樣融合模塊將特征圖的數(shù)量增加一倍，防止有用特征信息的丟失，此外，該模塊可以融合多種池化操作得到的特征，豐富了特征信息，提高了模型對(duì)流量圖像的理解能力。通過(guò)各個(gè)模塊的組合，基于特征融合的惡意流量分類方法可以有效提取和融合流量圖像的多種特征，提高了惡意流量分類的性能。