本發(fā)明涉及網絡安全的，特別涉及一種加密流量攻擊行為訓練與識別方法。

背景技術：

1、隨著網絡通信技術的快速發(fā)展，網絡安全威脅逐年增加，越來越多的網絡通信在傳輸過程中采用了加密技術，以保護數(shù)據(jù)的安全性和隱私。加密通信在網站、應用程序、電子郵件、即時通信和voip等領域得到廣泛應用。然而加密流量在防止竊取數(shù)據(jù)等網絡安全問題發(fā)生的同時，也成為黑客常用的攻擊手段。惡意流量利用加密技術隱藏惡意攻擊行為，使得傳統(tǒng)基于深度數(shù)據(jù)包檢測、基于端口的流量分類等檢測方法不再可靠。

2、隨著人工智能技術的發(fā)展，隨機森林、svm等機器學習算法可以通過特征提取的方式將惡意加密流量與正常加密流量區(qū)分開來。然而，這些方法大多基于手工設計的流特征，丟失了大量的數(shù)據(jù)包細節(jié)，使得細粒度操作無法進行，從而影響了識別精度。為解決特征工程問題，基于端到端的深度學習加密流量檢測方法成為研究的熱點，但同時也對加密流量防御模型的魯棒性提出了新的考驗。

3、現(xiàn)有深度學習方法雖然能夠學習網絡流量特征，實現(xiàn)惡意加密流量檢測，但其本身存在初始參數(shù)敏感、算法收斂速度慢、預設參數(shù)眾多且缺乏有效的選取方法以及容易陷入局部極小點等問題，導致模型在面對規(guī)模大、特征復雜的高隱蔽異常流量數(shù)據(jù)時，出現(xiàn)訓練速度慢、識別準確率不高、泛化能力差等問題。

4、技術術語：pcap：英文全稱為packet?capture，中文全稱為“抓包”，是一個用于捕獲網絡流量的應用程序接口，抓取的數(shù)據(jù)包文件格式為pcap格式；

5、swin?transformer：該模型為transformer的改進版，其英文全稱為hierarchicalvision?transformer?using?shifted?windows，中文全稱為“基于平移窗口的分層視覺變換器”，是一種通用視覺任務模型，可以解決一般的圖像特征提取、圖像識別、圖像分割等圖像處理問題。

6、lm：英文全稱為levenberg-marquardt，中文全稱為列文伯格-馬夸爾特法，是非線性回歸中回歸參數(shù)最小二乘估計的一種估計方法。

技術實現(xiàn)思路

1、針對現(xiàn)有技術中存在的不足之處，本發(fā)明的目的是提供一種加密流量攻擊行為訓練與識別方法，能夠在確保加密流量信息的完整性的同時，彌補當前加密流量識別模型在收斂速度方面的缺陷，提升惡意加密流量攻擊行為識別命中率。為了實現(xiàn)根據(jù)本發(fā)明的上述目的和其他優(yōu)點，提供了一種加密流量攻擊行為訓練與識別方法，包括以下步驟：

2、獲取流量數(shù)據(jù)；

3、將所述流量數(shù)據(jù)分別輸入至識別模型，得到第一特征圖和第二特征圖，并將第一特征圖和第二特征圖進行融合；

4、將所述第一特征圖和所述第二特征圖輸入識別模型，得到所述流量數(shù)據(jù)的攻擊類型；

5、其中，所述識別模型是基于樣本訓練得到的深度學習模型；

6、所述識別模型通過一個雙層高階收斂的lm-trans模型構成，所述雙層高階收斂的lm-trans模型包括兩個并行的基于高階收斂的lm-trans模型；所述識別模型通過高階收斂的lm算法進行訓練得到快速收斂的識別模型。

7、優(yōu)選的，所述高階收斂的lm算法是指基于的l-m算法計算得到步長，并根據(jù)所述步長執(zhí)行訓練的算法。

8、優(yōu)選的，基于swin?transformer架構的模型包括：兩個連續(xù)的、以窗口注意力機制為基礎的lm-trans?block與patch?merging；

9、且所述lm-trans?block包括層歸一化、基于窗口的注意力、殘差連接模塊、層歸一化、基于高階收斂的lm-mlp以及殘差模塊；

10、優(yōu)選的，所述將所述流量數(shù)據(jù)分別輸入至識別模型的步驟包括：

11、對所述流量數(shù)據(jù)執(zhí)行預處理，得到不同表現(xiàn)形式的第一圖像和第二圖像；

12、輸入所述第一圖像與所述第二圖像至所述識別模型中。

13、優(yōu)選的，所述對所述流量數(shù)據(jù)執(zhí)行預處理，得到不同表現(xiàn)形式的第一圖像和第二圖像的步驟包括：

14、識別所述流量數(shù)據(jù)的特征信息，所述特征信息包括數(shù)據(jù)包大小、時間戳及五元組信息中的至少一個，所述五元組信息包括源?ip?地址、目的?ip?地址、源端口、目的端口以及傳輸層協(xié)議的至少一個；

15、將所述流量數(shù)據(jù)按照所述特征信息進行會話拆分，得到多個拆分后的會話；

16、將所述拆分后的會話中的dns協(xié)議會話、tcp握手失敗的會話以及空會話進行過濾清洗，得到清洗后的會話數(shù)據(jù)；

17、將所述清洗后的會話數(shù)據(jù)分別轉換為不同表現(xiàn)形式的第一圖像和第二圖像。

18、優(yōu)選的，所述第一圖像和所述第二圖像表現(xiàn)形式包括灰度圖和/或流量統(tǒng)計圖；

19、所述灰度圖包括所述流量數(shù)據(jù)的字節(jié)序列數(shù)據(jù)轉換成二維數(shù)組構成的圖像；

20、所述流量統(tǒng)計圖包括三維數(shù)組構成的圖像，其中所述三維數(shù)組以所述流量數(shù)據(jù)中數(shù)據(jù)包的到達時間為第一維度、以所述數(shù)據(jù)包的大小為第二維度、以指定時段內到達的具有指定大小的所述數(shù)據(jù)包數(shù)量為第三維度。

21、優(yōu)選的，所述將所述第一特征圖和所述第二特征圖輸入所述識別模型的分類器的步驟包括：

22、融合所述第一特征圖和所述第二特征圖，得到融合特征圖；

23、將所述融合特征圖輸入所述分類器。

24、優(yōu)選的，所述模型的具體訓練如下步驟：

25、獲取數(shù)據(jù)樣本；

26、從所述數(shù)據(jù)樣本中提取加密流量樣本的原始流量數(shù)據(jù)包集合；

27、對所述原始流量數(shù)據(jù)包集合進行數(shù)據(jù)預處理，得到第三圖像和第四圖像；

28、將預處理后的第三圖像和第四圖像輸入至待訓練識別模型，得到第三特征圖和第四特征圖，融合第三特征圖和第四特征圖后得到融合樣本特征圖；

29、將所述融合樣本特征圖輸入至待訓練分類器，并根據(jù)所述待訓練分類器的輸出調整所述待訓練模型的參數(shù)，直至滿足預設的訓練停止條件，得到所述識別模型。

30、優(yōu)選的，所述將所述第一特征圖和所述第二特征圖輸入所述識別模型的分類器的步驟包括：

31、融合所述第一特征圖和所述第二特征圖，得到融合特征圖；

32、將所述融合特征圖輸入所述分類器。

33、一種加密流量攻擊行為識別訓練裝置，包括：

34、數(shù)據(jù)獲取模塊，用于獲取流量數(shù)據(jù)；

35、預處理模塊，用于從流量數(shù)據(jù)中提取流量數(shù)據(jù)的原始流量數(shù)據(jù)包集合；

36、訓練模塊，用于對所述原始流量數(shù)據(jù)包集合進行數(shù)據(jù)預處理，得到第一特征圖和第二特征圖；

37、識別模塊，用于將流量數(shù)輸入識別模型中，獲得流量數(shù)據(jù)的攻擊類型。

38、本發(fā)明與現(xiàn)有技術相比，其有益效果是：通過對加密流量預處理分別形成統(tǒng)計特征圖和灰度圖，通過分別訓練兩個基于高階收斂的lm-trans加密流量攻擊行為識別模型，獲得兩種加密流量特征圖，所述模型通過swim?transformer獲取流量的時空特征，通過基于高階的lm-mlp算法加快模型收斂速度，并通過加權融合兩張?zhí)卣鲌D獲得多維特征，再通過分類器獲得加密流量攻擊行為，從而實現(xiàn)提高加密惡意流量識別的精度，提升模型整體訓練速度。