[发明专利]基于多模态深度学习的加密恶意流量检测方法及系统

权利要求书

1.基于多模态深度学习的加密恶意流量检测方法，其特征在于，包括以下步骤：

对加密流量数据进行数据分割，得到加密流量数据的握手阶段数据包、数据包长度序列和数据包到达的时间间隔序列；

从加密流量数据的握手阶段数据包中提取握手信息特征向量；其中：

对握手阶段数据包原始流量的字节数目进行统计，对字节数超过N比特的报文进行截断，对长度小于N字节的报文在其末尾以0x00补齐，然后将整形处理后的报文中各个字节解释为0-255的整数，得到定长数字序列；

将所述定长数字序列输入嵌入层得到数字二维矩阵，其中每个数字映射为数字二维矩阵中的一行；

将所述定长数字序列的数字二维矩阵输入CNN模型中，CNN模型输出握手信息特征向量；

从加密流量数据的数据包长度序列中提取包长信息序列特征向量；

从加密流量数据的数据包到达的时间间隔序列中提取包到达信息序列特征向量；

将所述握手信息特征向量、包长信息序列特征向量、包到达信息序列特征向量进行拼接融合，得到多模态特征向量，将所述多模态特征向量输入深度学习网络模型中，得到加密流量数据的分类结果；所述分类结果包括加密恶意流量所属恶意软件家族类别和非加密恶意流量。

2.根据权利要求1所述的加密恶意流量检测方法，其特征在于，从加密流量数据中提取加密流量数据的握手阶段数据包的步骤包括：提取加密流量数据SSL/TLS层握手阶段报文作为握手阶段数据包；

从加密流量数据中提取加密流的数据包长度序列的步骤包括：对加密流数据包实施字节统计得到包长信息，组成数据包长度序列，或对加密流数据包TCP包头标志位中提取包长信息，组成数据包长度序列；

从加密流量数据中提取数据包到达的时间间隔序列的步骤包括：通过加密流量数据中数据包的包到达时间计算得到包到达时间间隔元素，组成包到达的时间间隔序列，或采用流量分析工具获得。

3.根据权利要求2所述的加密恶意流量检测方法，其特征在于，所述SSL/TLS层握手阶段报文包括ClientHello报文、ServerHello报文和Certificate报文。

4.根据权利要求1所述的加密恶意流量检测方法，其特征在于，所述CNN模型包括依次连接的若干卷积层，以及最大池化层和全连接层，且所述CNN模型采用残差网络结构。

5.根据权利要求1所述的加密恶意流量检测方法，其特征在于，从加密流量数据的数据包长度序列中提取包长信息序列特征的步骤包括：

将所述数据包长度序列进行截断和添加数字0操作，得到固定序列长度的数据包长度序列，然后将其输入嵌入层中得到相应的数字二维矩阵，其中每个数字映射为数字二维矩阵中的一行；

将所述数据包长度序列的数字二维矩阵输入双向GRU模型中，双向GRU模型输出包长信息序列特征向量。

6.根据权利要求1所述的加密恶意流量检测方法，其特征在于，从加密流量数据的数据包到达的时间间隔序列中提取包到达信息序列特征的步骤包括：

将所述加密流量数据的数据包到达的时间间隔序列进行截断和添加数字0操作，得到固定序列长度的数据包到达时间间隔序列，然后将其输入嵌入层中得到相应的数字二维矩阵，其中每个数字映射为数字二维矩阵中的一行；

将所述数据包到达时间间隔序列的数字二维矩阵输入双向GRU模型中，双向GRU模型输出包到达信息序列特征向量。

7.根据权利要求5或6所述的加密恶意流量检测方法，其特征在于，所述双向GRU模型包括依次连接的循环神经网络层、Attention层和全连接层，所述循环神经网络层包括多层GRU、双向GRU、多层LSTM、双向LSTM、RNN或双向RNN网络中的一种。