[发明专利]基于多任务学习增强的加密恶意流量检测方法及系统

说明书

本发明为克服加密恶意流量检测模型的泛化能力弱、检测精度低的缺陷，提出一种基于多任务学习增强的加密恶意流量检测方法及系统，其中包括：设置辅助子任务，并对每类辅助子任务设置辅助子任务类别标签；采集加密恶意流量数据作为训练样本，对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签，以及设置多个辅助子任务类别标签；构建深度学习网络模型；将训练样本输入所述深度学习网络模型中，根据输入的训练样本的加密恶意流量类别标签及辅助子任务类别标签进行多任务训练；屏蔽所述深度学习网络模型中辅助子任务对应的输出，得到加密恶意流量检测模型；将实时网络流量数据输入所述加密恶意流量检测模型中，得到加密恶意流量检测结果。

技术领域

本发明涉及计算机网络安全技术领域，更具体地，涉及一种基于多任务学习增强的加密恶意流量检测方法及系统。

背景技术

近年来网络技术不断发展，人们通过互联网应用提升工作与休闲生活质量的同时，恶意软件也在互联网中悄然流行。不法分子可以利用恶意软件在互联网环境中窃取个人或企业机密信息，甚至夺取恶意软件宿主主机控制权并实施勒索。通过恶意软件在网络通信过程中产生的流量追踪到恶意软件是保证网络空间安全的重要途径。因此，在日益复杂的网络环境中，如何准确并且低误报的检测恶意软件通信流量，是当今网络环境下的重要挑战。

面对加密恶意流量，目前主要采用端到端的深度学习方法执行加密恶意流量检测任务，具体可分为两类主流的模式：第一类是将加密流量的有效载荷映射成为加密流图，然后用一维或二维CNN网络提取握手包中明文特征或加密流量包中的字节分布特征，最后用全连接网络作为检测加密恶意流量的分类层；第二类是将加密流中的包长序列或包到达时间序列作为输入，通过LSTM或GRU网络提取序列整体特征，输入到全连接网络检测加密恶意流量。上述两种基于深度学习的方法都是通过设计出端到端模型，利用带标签的加密恶意流量数据集训练，使用反向传播算法训练模型学习分类加密流量的特征向量，并同时学习分类参数。然而上述两类加密恶意流量检测技术中，由于缺乏约束网络模型学习流量特征的手段，不能确保深度学习模型所捕获的流量特征不是训练数据集上的专有偏差，导致加密恶意流量检测模型存在泛化能力弱的缺陷。此外，由于恶意加密流量和非恶意流量在SSL/TLS加密套件的使用、握手数据包扩展项提供和证书签名方式等方面具有显著的差异，而深度学习网络在训练过程中无法利用恶意流量先验知识，这对加密恶意流量检测的检测精度造成了一定影响。

发明内容

本发明为克服上述现有技术所述的泛化能力弱、检测精度低的缺陷，提供一种基于多任务学习增强的加密恶意流量检测方法，以及基于多任务学习增强的加密恶意流量检测系统。

为解决上述技术问题，本发明的技术方案如下：

基于多任务学习增强的加密恶意流量检测方法，包括以下步骤：

S1、设置辅助子任务，并对每类辅助子任务设置辅助子任务类别标签；

S2、采集加密恶意流量数据作为训练样本，对每条加密恶意流量数据根据其类别设置加密恶意流量类别标签，以及设置多个辅助子任务类别标签；

S3、构建深度学习网络模型；

S4、将训练样本输入所述深度学习网络模型中，根据输入的训练样本的加密恶意流量类别标签及辅助子任务类别标签进行多任务训练；

S5、屏蔽所述深度学习网络模型中辅助子任务对应的输出，得到加密恶意流量检测模型；将实时网络流量数据输入所述加密恶意流量检测模型中，得到加密恶意流量检测结果。

作为优选方案，所述辅助子任务包括SSL/TLS握手信息识别任务、流统计特征识别任务和证书特征识别任务。

作为优选方案，所述SSL/TLS握手信息识别任务包括：识别加密流所用SSL/TLS协议版本类别、SSL/TLS握手阶段提供的扩展项类别、所用的SSL/TLS加密套件类别、客户端提供的SSL/TLS加密套件类别中的一种或多种；