[发明专利]一种提升不平衡恶意流量样本识别精度的双模态融合检测方法

权利要求书

1.一种提升不平衡恶意流量样本识别精度的双模态融合检测方法，其特征在于，包括以下步骤：

S1、对原始数据流量进行切分，将具有相同五元组特征的数据包合并为一个原始流F；

所述五元组特征包括：源IP，目的IP，源端口，目的端口，传输层协议；

S2、对于原始流F，以其中的每个数据包为单位，分别提取出包头和有效载荷部分作为流量的空间和文本特征，然后重新合并为两条流F_header和F_payload；

S3、将F_header表示的空间特征进行维度转换，形成一个长宽相等的特征矩阵输入到模型I中，输出该模型对流量空间特征的概率分布；

S4、将F_payload表示的文本特征进行维度转换，形成一个长宽相等的特征矩阵输入到模型II中，输出该模型对流量文本特征的概率分布；

S5、将所述双模态流量特征进行特征融合，最终输出原始流F的类型检测结果；

所述步骤S3中的模型I结构为：

S31、输入层、全局卷积层、第一Inception层、第二Inception层、第三Inception层、全局池化层、全连接层、Softmax层；

S32、所述S31中的全局卷积层采用16个3×3的卷积核进行卷积操作，对输入的空间特征矩阵F_header进行采样，得到新的局部特征图；

所述局部特征图是对输入特征的更高维度抽象特征；

S33、所述S31中的第一Inception层，由三个并行分支结构和一个特征拼接结构组成；

所述第一分支包含一个卷积层，其采用32个3×3卷积核，对S32的特征图进行卷积操作输出新的局部特征图如式(1)所示：

是一个维度为h×w×n₁的特征图，即长度为h，宽度为w，通道数为n₁；

所述第二分支包含一个卷积层，其采用32个1×1卷积核，对S32的特征图进行卷积操作输出新的局部特征图如式(2)所示：

是一个维度为h×w×m₁的特征图，其中通道数为m₁；

所述第三分支包含一个卷积层和一个最大池化层，卷积层采用32个3×3卷积核，池化层采用2×2的池化核，对S32的特征图进行卷积和最大池化操作输出新的局部特征图如式(3)所示：

是一个维度为h×w×l₁的特征图，其中通道数为l₁；

对上述三个分支的输出进行特征拼接，得到新的特征图如式(4)所示：

是一个维度为h×w×(n₁+m₁+l₁)的特征图，其中通道数为n₁+m₁+l₁；

S34、所述S31中的第二Inception层，由三个并行分支结构和一个特征拼接结构组成；

所述第一分支包含一个卷积层，其采用112个3×3卷积核，对S33的特征图进行卷积操作输出新的局部特征图如式(5)所示：

是一个维度为h×w×n₂的特征图，其中通道数为n₂；

所述第二分支包含一个卷积层，其采用32个1×1卷积核，对S33的特征图进行卷积操作输出新的局部特征图如式(6)所示：

是一个维度为h×w×m₂的特征图，其中通道数为m₂；

所述第三分支包含一个卷积层，采用112个3×3卷积核，对S33的特征图进行卷积操作输出新的局部特征图如式(7)所示：

是一个维度为h×w×l₂的特征图，其中通道数为l₂；

对上述三个分支的输出进行特征拼接，得到新的特征图如式(8)所示：

是一个维度为h×w×(n₂+m₂+l₂)的特征图，其中通道数为n₂+m₂+l₂；

S35、所述S31中的第三Inception层，由三个并行分支结构和一个特征拼接结构组成；

所述第一分支包含一个卷积层，其采用320个3×3卷积核，对S34的特征图进行卷积操作输出新的局部特征图如式(9)所示：

是一个维度为h×w×n₃的特征图，其中通道数为n₃；

所述第二分支包含一个卷积层，其采用320个1×1卷积核，对S33的特征图进行卷积操作输出新的局部特征图如式(10)所示：

是一个维度为h×w×m₃的特征图，其中通道数为m₃；

所述第三分支包含一个最大池化层，采用2×2的池化核，对S34的特征图进行最大池化操作输出新的局部特征图如式(11)所示：

是一个维度为h×w×l₃的特征图，其中通道数为l₃；

对上述三个分支的输出进行特征拼接，得到新的特征图如式(12)所示：

是一个维度为h×w×(n₃+m₃+l₃)的特征图，其中通道数为n₃+m₃+l₃；

S36、所述S31中的全局池化层，采用4×4的池化核，对S35的特征图进行最大池化后输出降维的局部特征图像；

S37、所述S31中的全连接层，对S36的局部特征图整合成特征向量后进行降维，输出全局特征向量；

S38、所述S31中的Softmax层，根据S37的全局特征向量生成n个恶意流量种类的概率分布；

所述步骤S4中的模型II结构为：

S41、输入层、第一全局卷积层、第一残差块、第二残差块、第三残差块、第二全局卷积层、全局池化层、全连接层、Softmax层；

S42、所述S41中的第一全局卷积层采用16个3×3的卷积核，对输入的文本特征矩阵F_payload进行采样，得到新的局部特征图；

所述局部特征图是对输入特征的更高维度抽象特征；

S43、所述S41中的第一残差块，由残差和直接映射组成；

所述残差由两个分支和一个特征拼接构成；

所述第一分支包含一个卷积层，采用32个3×3的卷积核，对S42的特征图进行卷积操作输出新的局部特征图如式(13)所示：

是一个维度为h×w×n₁的特征图，其中通道数为n₁；

所述第二分支包含一个卷积层和一个最大池化层，卷积层采用32个3×3的卷积核，池化层采用2×2的池化核，对S42的特征图进行卷积和最大池化操作输出新的局部特征图如式(14)所示：

是一个维度为h×w×m₁的特征图，其中通道数为m₁；

对上述两个分支的输出进行特征拼接，得到新的特征图如式(15)所示：

是一个维度为h×w×(n₁+m₁)的特征图，其中通道数为n₁+m₁；

所述直接映射包含一个卷积层，由64个1×1卷积核对S42的特征图执行卷积操作进行升维，输出新的局部特征图如式(16)所示：

是一个维度为h×w×(n₁+m₁)的特征图，其中通道数为n₁+m₁；

所述残差块输出的局部特征图为λ表示非线性激活函数，提升网络的非线性表达能力；

S44、所述S41中的第二残差块，由残差和直接映射组成；

所述残差由两个分支和一个特征拼接构成；

所述第一分支包含一个卷积层，采用96个3×3的卷积核，对S43的特征图进行卷积操作输出新的局部特征图如式(17)所示：

是一个维度为h×w×n₂的特征图，其中通道数为n₂；

所述第二分支包含一个卷积层，采用96个3×3的卷积核，对S43的特征图进行卷积操作输出新的局部特征图如式(18)所示：

是一个维度为h×w×m₂的特征图，其中通道数为m₂；

对上述两个分支的输出进行特征拼接，得到新的特征图如式(19)所示：

是一个维度为h×w×(n₂+m₂)的特征图，其中通道数为n₂+m₂；

所述直接映射包含一个卷积层，由192个1×1卷积核对S43的特征图执行卷积操作进行升维，输出新的局部特征图如式(20)所示：

是一个维度为h×w×(n₂+m₂)的特征图，其中通道数为n₂+m₂；

所述残差块输出的局部特征图如式(21)所示：

S45、所述S41中的第三残差块，由残差和直接映射组成；

所述残差由两个分支和一个特征拼接构成；

所述第一分支包含一个卷积层，采用256个3×3的卷积核，对S44的特征图进行卷积操作输出新的局部特征图如式(22)所示：

是一个维度为h×w×n₃的特征图，其中通道数为n₃；

所述第二分支包含一个池化层，采用2×2的池化核，对S44的特征图进行最大池化操作输出新的局部特征图如式(23)所示：

是一个维度为h×w×m₃的特征图，其中通道数为m₃；

对上述两个分支的输出进行特征拼接，得到新的特征图如公式(24)所示：

是一个维度为h×w×(n₃+m₃)的特征图，其中通道数为n₃+m₃；

所述直接映射包含一个卷积层，由448个1×1卷积核对S44的特征图执行卷积操作进行升维，输出新的局部特征图如式(25)所示：

是一个维度为h×w×(n₃+m₃)的特征图，其中通道数为n₃+m₃；

所述残差块输出的局部特征图如式(26)所示：

S46、所述S41中的第二全局卷积层采用896个3×3的卷积核，对S45的特征图进行卷积操作输出升维的局部特征图；

S47、所述S41中的全局池化层采用4×4的池化核，对S46的特征图进行最大池化后输出降维的局部特征图像；

S48、所述S41中的全连接层，对S47的局部特征图整合成特征向量后进行降维，输出全局特征向量；

S49、所述S41中的Softmax层，根据S48的全局特征向量生成n个恶意流量种类的概率分布；

所述步骤S5对空间和文本双模态流量特征进行特征融合，包括以下步骤：

S51、所述S38中模型I对空间特征的预测分布S_I如式(27)所示：

表示模型I对第i个类的预测概率；

所述S49中模型II对文本特征的预测分布S_II如式(28)所示：

表示模型II对第i个类的预测概率；

S52、对双模态概率分布进行最大值融合，并对最终检测结果进行输出，如式(29)所示：

R表示最终对输入流量的检测标签。