[发明专利]基于多任务学习增强的加密恶意流量检测方法及系统

权利要求书

1.基于多任务学习增强的加密恶意流量检测方法，其特征在于，包括以下步骤：

S1、设置辅助子任务，并对每类辅助子任务设置辅助子任务类别标签；

S2、采集加密恶意流量数据作为训练样本，对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签，以及设置多个辅助子任务类别标签；

S3、构建深度学习网络模型；

S4、将训练样本输入所述深度学习网络模型中，根据输入的训练样本的加密恶意流量类别标签及辅助子任务类别标签进行多任务训练；其中：

S4.1、将深度学习网络模型中所有参数采用随机数初始化；

S4.2、将训练样本输入深度学习网络模型中，深度学习网络模型对输入的训练样本实施正向传播，得到训练样本的预测加密恶意流量分类标签与预测的辅助子任务标签；其中：

S4.2.1、从输入的训练样本中获得其加密流量在SSL/TLS协议握手阶段的报文原始流量字节序列映射而成的数字序列，以及加密流量的数据包长序列与数据包到达间隔序列；

S4.2.2、将所述数字序列以及加密流量的数据包长序列与数据包到达间隔序列中每个数字映射作为数字二维矩阵中的一行，得到数字二维矩阵；

S4.2.3、将所述数字二维矩阵进行一维卷积变换，得到一维特征图，并对其进行特征降维处理；

S4.2.4、将经过特征降维处理的一维特征图进行非线性映射，得到整体特征向量；其中所述整体特征向量的维数等于预设的加密恶意流量分类中类别数目与辅助子任务标签的维度之和；

S4.2.5、根据所述整体特征向量，获得加密恶意流量类别概率，以及辅助子任务中所有任务各自的类别概率，并依据所获得的概率输出预测加密恶意流量分类标签和预测辅助子任务标签；

S4.3、根据输入的训练样本的加密恶意流量类别标签与所述深度学习网络模型对应输出的预测向量计算第一损失值，并根据输入的训练样本的辅助子任务类别标签与所述深度学习网络模型对应输出的预测向量计算第二损失值，再将所述第一损失值和第二损失进行加和得到此次正向传播的总损失；

S4.4、通过反向传播算法计算总损失相对于所有权重的梯度，通过梯度下降算法更新所有参数，使得输出与实际标签误差最小；通过多次迭代，得到最优的深度学习网络模型，保存得到训练完成的深度学习网络模型

S5、屏蔽所述深度学习网络模型中辅助子任务对应的输出，得到加密恶意流量检测模型；将实时网络流量数据输入所述加密恶意流量检测模型中，得到加密恶意流量检测结果。

2.根据权利要求1所述的加密恶意流量检测方法，其特征在于，所述辅助子任务包括SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务。

3.根据权利要求2所述的加密恶意流量检测方法，其特征在于，所述SSL/TLS握手信息识别任务包括：识别加密流所用SSL/TLS协议版本类别、SSL/TLS握手阶段提供的扩展项类别、所用的SSL/TLS加密套件类别、客户端提供的SSL/TLS加密套件类别中的一种或多种；

所述流统计特征识别任务包括：识别加密流中数据包长度大小集合中的最大值、最小值、均值、方差中的一种或多种；识别加密流中数据包到达间隔时间集合中的最大值、最小值、均值、方差中的一种或多种；

所述证书特征识别任务包括：识别加密流服务端提供的证书版本、证书序列号长度、证书的签名算法、证书的公钥长度、证书的有效期时长、证书是否为自签名证书中的一种或多种。

4.根据权利要求3所述的加密恶意流量检测方法，其特征在于，所述流统计特征识别任务还包括对加密流内客户端方向和/或服务端方向上，其数据包中的长度大小集合及包到达间隔时间集合的最大值、最小值、均值、方差中的一种或多种进行识别。