[发明专利]流量检测模型的训练方法、流量检测方法、装置及设备

说明书

本申请提供一种流量检测模型的训练方法、流量检测方法、装置及设备，涉及信息安全技术领域。该流量检测模型的训练方法通过利用两个分支网络来分别预测加密信息和异常流量，这样可以使得异常流量的预测不依赖于加密信息的预测结果，即使加密信息的预测结果错误也不会对异常流量的预测产生直接影响，而是会通过模型训练使得多任务联合优化，进而提高异常流量检测的精度。

技术领域

本申请涉及信息安全技术领域，具体而言，涉及一种流量检测模型的训练方法、流量检测方法、装置及设备。

背景技术

为了确保网络安全，在一些应用场景中，可以对网络中传输的数据流量进行检测，以确定数据流中是否存在病毒、攻击报文等可能对网络安全造成影响的数据。现有的一种检测方式是解析获得数据流中携带的明文特征，通过进行特征比对，以检测数据流是否为异常流量。

但是，随着加密协议如安全套接字(Secure Sockets Layer，SSL)协议、传输层安全(Transport Layer Security，TLS)协议等加密传输技术的普及，在网络中还存在有大量的加密数据，若是攻击者将数据流中的加密数据进行伪造，由于难以获得这些加密数据的密钥而导致难以对数据包进行解密，所以也就无法对这些加密的数据包进行异常检测，使得异常检测的准确性大大降低。

发明内容

本申请实施例的目的在于提供一种流量检测模型的训练方法、流量检测方法、装置及设备，用以改善现有技术中无法对加密的数据包进行异常检测，使得异常检测的准确性不高的问题。

第一方面，本申请实施例提供了一种流量检测模型的训练方法，所述方法包括：提取训练流量样本中的流量特征，所述流量特征携带有加密信息标签以及表征是否为异常流量的流量标签；将所述流量特征输入初始流量检测模型的第一分支网络和第二分支网络中，得到所述第一分支网络针对所述训练流量样本中携带的加密信息的第一预测结果，以及得到所述第二分支网络针对所述训练流量样本是否为异常流量的第二预测结果；其中，所述第一分支网络和所述第二分支网络为所述初始流量检测模型中包含用于进行特征提取的公共部分的分支网络；根据所述第一预测结果和所述加密信息标签计算获得第一损失函数，以及根据所述第二预测结果和所述流量标签计算获得第二损失函数；根据所述第一损失函数和所述第二损失函数计算获得总损失函数；根据所述总损失函数更新所述初始流量检测模型的网络参数，并采用更新后的网络参数训练得到流量检测模型。

在上述实现过程中，通过对流量检测模型进行训练时，分别利用模型中的第一分支网络预测训练流量样本中携带的加密信息，并且利用模型中的第二分支网络来预测该训练流量样本是否为异常流量，然后利用两个分支网络的预测结果和对应的标签计算总损失函数来更新模型的网络参数，从而可以获得训练好的流量检测模型，这样在训练过程中可以对两个分支网络的预测任务同时进行优化，提高两个分支网络的预测精度，使得在异常流量的预测时可以间接利用流量中携带的加密信息，且无需对加密的数据包进行解密，即可对加密的数据包进行异常检测，且检测准确性更高。

可选地，通过以下方式获取所述训练流量样本中的流量特征的加密信息标签：

获取异常流量样本和正常流量样本，并分别将所述异常流量样本和所述正常流量样本输入沙箱中运行；

通过所述沙箱分别对所述异常流量样本和所述正常流量样本进行解密，得到所述异常流量样本的解密信息以及所述正常流量样本的解密信息；

根据所述异常流量样本的解密信息，得到所述异常流量样本的流量特征的加密信息标签，并根据所述正常流量样本的解密信息，得到所述正常流量样本的流量特征的加密信息标签；

其中，所述训练流量样本包括所述正常流量样本和所述异常流量样本。

在上述实现过程中，通过将异常流量样本和正常流量样本在沙箱中运行，从而可以通过沙箱获得两种流量样本中的解密信息，无需通过人为解密，提高了解密效率。