[发明专利]一种提升不平衡恶意流量样本识别精度的双模态融合检测方法

说明书

本发明提出了一种提升不平衡恶意流量样本识别精度的双模态融合检测方法，包含以下步骤：对原始流量进行切分，将具有相同五元组特征的数据包合并为原始流；对于原始流，以其中的每个数据包为单位，分别提取出包头和有效载荷部分作为流量的空间和文本特征，重新合并为两条流样本；将包头样本的空间特征输入到模型I中，输出该模型对流量空间特征的概率分布；将有效载荷样本输入到模型II中，输出该模型对流量文本特征的概率分布；将所述双模态流量特征进行有效融合，输出原始流的类型预测结果。本发明从原始流量中充分学习空间与文本特征，并将双模态特征进行融合，相比于单模态方案，通过模态互补提高在不平衡数据集中对少数类别的识别精度。

技术领域

本发明涉及深度学习技术与异常流量检测领域，具体涉及一种提升不平衡恶意流量样本识别精度的双模态融合检测方法。

背景技术

随着互联网的发展以及用户数量的不断增长，用户隐私、交易记录等数字资产潜藏着巨大的价值，驱使着不法分子通过网络攻击获取庞大的经济利益。网络流量检测技术作为一种防御手段，可以将字节流中的异常数据识别出来，从而使系统管理人员及时发现攻击行为，采取相应措施抵御攻击，降低损失。然而，当前公开可获得的流量数据集分布极不均衡，不同样本之间数量差距极大。某些攻击类型如端口扫描、DoS等易于检测与采集，因此此类异常流量会占据字节流的很大一部分。而某些复杂攻击类型，如APT，因为难以收集导致其在数据集中的占比很低。数据不平衡问题是影响机器学习的重要因素。由于数据量不足，使得模型对一些攻击类型的识别精度不高，进而无法应用到现实网络环境中。为了解决数据集中某些类别占比较低的问题，许多方案采用多种方法来生成新的样本使整体数量达到平衡，如过采样、SMOTE等。这些方法都可能使得模型存在过拟合的风险，实际不能提升模型对同类型样本的识别精度。

目前许多基于深度学习的模型被应用于恶意流量检测领域，如许多CNN和RNN模型的变种。这些研究通常截取了数据流量的一部分作为模型的输入，且模型结构多采用单模态的方式，存在以下问题：

(1)最终对少量样本的识别能力不足；

(2)在数据样本分布不均衡的条件下，模型不能保证所有恶意流量类别的检测效果都达到最优。

发明内容

本发明的目的是提供了一种提升不平衡恶意流量样本识别精度的双模态融合检测方法。对于原始流量数据，提取出其中的包头和有效载荷数据，分别作为流量的空间特征和文本特征输入到两个不同的模型中，最后通过双模态特征融合的方式，输出最终的分类结果。通过两种特征的有效融合进行模态互补，提高对少数异常流量类别的识别精度。

为了实现上述目的，本发明提供了一种提升不平衡恶意流量样本识别精度的双模态融合检测方法，包含以下步骤：

S1、对原始数据流量进行切分，将具有相同五元组(源IP，目的IP，源端口，目的端口，传输层协议)特征的数据包合并为一个原始流F；

S2、对于原始流F，以其中的每个数据包为单位，分别提取出包头和有效载荷部分作为流量的空间和文本特征，然后重新合并为两条流F_header和F_payload；

S3、将F_header表示的空间特征进行维度转换，形成一个长宽相等的特征矩阵输入到模型I中，输出该模型对流量空间特征的概率分布；

S4、将F_payload表示的文本特征进行维度转换，形成一个长宽相等的特征矩阵输入到模型II中，输出该模型对流量文本特征的概率分布；

S5、将所述双模态流量特征进行特征融合，最终输出原始流F的类型预测结果。

所述步骤S3中模型I，具体结构为：

S31、输入层、全局卷积层、第一Inception层、第二Inception层、第三Inception层、全局池化层、全连接层、Softmax层；