[发明专利]流量检测模型的训练方法、流量检测方法、装置及设备

权利要求书

1.一种流量检测模型的训练方法，其特征在于，所述方法包括：

提取训练流量样本中的流量特征，所述流量特征携带有加密信息标签以及表征是否为异常流量的流量标签；

将所述流量特征输入初始流量检测模型的第一分支网络和第二分支网络中，得到所述第一分支网络针对所述训练流量样本中携带的加密信息的第一预测结果，以及得到所述第二分支网络针对所述训练流量样本是否为异常流量的第二预测结果；其中，所述第一分支网络和所述第二分支网络为所述初始流量检测模型中包含用于进行特征提取的公共部分的分支网络；

根据所述第一预测结果和所述加密信息标签计算获得第一损失函数，以及根据所述第二预测结果和所述流量标签计算获得第二损失函数；

根据所述第一损失函数和所述第二损失函数计算获得总损失函数；

根据所述总损失函数更新所述初始流量检测模型的网络参数，并采用更新后的网络参数训练得到流量检测模型。

2.根据权利要求1所述的训练方法，其特征在于，通过以下方式获取所述训练流量样本中的流量特征的加密信息标签：

获取异常流量样本和正常流量样本，并分别将所述异常流量样本和所述正常流量样本输入沙箱中运行；

通过所述沙箱分别对所述异常流量样本和所述正常流量样本进行解密，得到所述异常流量样本的解密信息以及所述正常流量样本的解密信息；

根据所述异常流量样本的解密信息，得到所述异常流量样本的流量特征的加密信息标签，并根据所述正常流量样本的解密信息，得到所述正常流量样本的流量特征的加密信息标签；

其中，所述训练流量样本包括所述正常流量样本和所述异常流量样本。

3.根据权利要求2所述的训练方法，其特征在于，通过所述沙箱分别对所述异常流量样本和所述正常流量样本进行解密，得到所述异常流量样本的解密信息以及所述正常流量样本的解密信息，包括：

从所述沙箱的内存快照中获取针对所述异常流量样本的第一会话密钥，并利用所述第一会话密钥对所述异常流量样本进行解密，得到所述异常流量样本的解密信息；

从所述沙箱中的内存快照中获取针对所述正常流量样本的第二会话密钥，并利用所述第二会话密钥对所述正常流量样本进行解密，得到所述正常流量样本的解密信息。

4.根据权利要求2所述的训练方法，其特征在于，所述解密信息为所述训练流量样本中的HTTP头部字段；

和/或，所述训练流量样本包括：加密流量样本。

5.根据权利要求1所述的训练方法，其特征在于，所述第一分支网络包括第一特征提取模块和第一预测模块，所述第二分支网络包括第二特征提取模块和第二预测模块，所述第一特征提取模块和所述第二特征提取模块包含公共部分，所述提取训练流量样本中的流量特征，包括：

利用所述第一特征提取模块提取所述训练流量样本中的第一流量特征，以及，利用所述第二特征提取模块提取所述训练流量样本中的第二流量特征；

所述将所述流量特征输入流量检测模型的第一分支网络和第二分支网络中，得到所述第一分支网络针对所述训练流量样本中携带的加密信息的第一预测结果，以及得到所述第二分支网络针对所述训练流量样本是否为异常流量的第二预测结果，包括：

将所述第一流量特征输入所述第一预测模块中，得到所述第一预测模块针对所述训练流量样本中携带的加密信息的第一预测结果；以及，将所述第二流量特征输入所述第二预测模块中，得到所述第二预测模块针对所述训练流量样本是否为异常流量的第二预测结果。

6.根据权利要求5所述的训练方法，其特征在于，所述第一特征提取模块和所述第二特征提取模块的公共部分包括序列特征提取单元，所述第二特征提取模块包括卷积单元和融合单元，所述利用所述第一特征提取模块提取所述训练流量样本中的第一流量特征，以及，利用所述第二特征提取模块提取所述训练流量样本中的第二流量特征，包括：

利用所述序列特征提取单元提取所述训练流量样本中的统计特征，所述统计特征为第一流量特征；以及，利用所述卷积单元提取所述训练流量样本中的明文特征，并利用所述融合单元融合所述明文特征和所述统计特征，得到第二流量特征。