申请/专利权人：西北工业大学;西安蒙顿信息科技有限公司;西北工业大学深圳研究院

申请日：2020-10-14

公开（公告）日：2021-01-19

公开（公告）号：CN112243004A

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);G06K9/62(20060101)

优先权：

专利状态码：失效-发明专利申请公布后的视为撤回

法律状态：2023.03.10#发明专利申请公布后的视为撤回;2021.02.05#实质审查的生效;2021.01.19#公开

摘要：本发明提供了一种对抗恶意流量变化的特征转换方法，将样本特征映射到新的特征空间中，即使攻击行为的流量特征发生变化，通过转换后仍然具有相似性，转换后的特征向量对流量特征具有异变容忍能力，使用新特征向量作为分类模型的输入。本发明利用直方图刻画流量特征的变化并实现容错，达到高效准确识别恶意流量及其变体的效果，克服了后续单纯用从训练集习得的知识去应用分类器会出现性能不足、准确率低的问题。

主权项：1.一种对抗恶意流量变化的特征转换方法，其特征在于包括下述步骤：假设一段时间网络实体间的通信内有m条数据流，每条数据流中提取n个特征，则每个集合表示为一个m*n的矩阵X，其中，xij表示第i条数据流的第j个特征值： 通过以下三步转换，将样本特征映射到新的特征空间中，即使攻击行为的流量特征发生变化，通过转换后仍然具有相似性，转换后的特征向量对流量特征具有异变容忍能力，使用新特征向量作为分类模型的输入；转换过程如下：1矩阵归一化为了减少数值差距带来的影响，将矩阵X缩放到[0,1]区间表示为令 得到矩阵： 式中，minixij为第i条数据流中特征的最小值，maxixij则是第i条数据流中特征的最大值；式3可以保证即使流量特征值的数值差异很大，经过第一步变换后会都能够缩放到[0,1]区间，对抗由数值差异引起的变异；2计算自相似度针对所有样本的每一维特征，计算样本两两之间的距离，相似度记为sima,b；取矩阵的每一列，针对第k列即第k维特征，两个样本和的相似度计算为： 和的欧式距离越小，表示此维特征下两个样本的相似度越大；距离越大，相似度越小；每维特征得到1个m*m维的自相似性矩阵，令第k维特征的自相似矩阵为Sk，Sk中每个元素是第k维特征两两之间的距离，即： 综上，n维特征得到n个自相似性矩阵，记为{S1，...，Sn}，将这组矩阵通过第一步所描述的局部特征缩放进一步归一化，产生一组矩阵3特征转换；通过前两步得到特征值矩阵和一组特征自相似性矩阵使用特征值矩阵和一组特征自相似性矩阵得到一组新的特征向量，采用特征值直方图和特征差异直方图分别表示数据特征的分布范围和分布差异，特征值直方图用来区分恶意流量和合法流量，特征差异直方图用来区分恶意流量的进化变体。

全文数据：

权利要求：

百度查询： 西北工业大学;西安蒙顿信息科技有限公司;西北工业大学深圳研究院 一种对抗恶意流量变化的特征转换方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD