申请/专利权人：四川大学

申请日：2023-12-27

公开（公告）日：2024-03-22

公开（公告）号：CN117749514A

主分类号：H04L9/40

分类号：H04L9/40;G06N3/0464

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.04.09#实质审查的生效;2024.03.22#公开

摘要：本发明提供了一种APT恶意流量的检测方法，涉及网络安全技术领域。该方法包括：复制流量数据至检测系统，处理其中样本的特征并转换为二维图像，根据属性拼接多个样本后输入含种子网络的神经网络模型。对神经网络模型进行深度重映射、宽度重映射和内部重映射；再通过网络扩展、架构适应和参数适应，完成神经网络架构搜索，得到目标网络，并利用目标网络对二维图像进行检测。该方法可提高恶意流量检测的实时性、准确性及全面性。

主权项：1.一种APT恶意流量的检测方法，其特征在于，包括：通过端口镜像复制待检测流量数据；将待检测流量数据中的数据包作为样本，进行缺失值处理和异常值处理，并将样本的特征划分为数字特征和字符型特征，并对字符型特征进行独热编码；均值归一化所有特征，再通过最大最小标准化处理使各特征所属类别的属性值处于[0,255，并将处理结果转换为二维图像；对恶意流量的任一类别，拼接a个样本的二维图像；其中，拼接后的二维图像中，同属性对应部分同列对齐，a为使待检测流量数据最大概率被判定为该类别的值；将二维图像输入含种子网络pu的神经网络模型，并对其进行深度重映射：对于种子网络pu中一个阶段n层的任意一层，有参数对应地，新网络pq中s层的相应阶段具有参数将种子网络pu中的最后一层的参数复制至新网络pq的网络层中， Fc＝minc,n式中，c为神经网络模型中新网络pq中网络层的层序数，为新网络pq中新层的参数，为种子网络pu中最后一层的参数；对神经网络模型进行宽度重映射：给定种子网络pu一个卷积层，有参数yu∈Te×f×j×k；对新网络pq相应的卷积层，有参数yq∈Ta×b×j×k；在宽度维度上，将种子网络pu中参数的前a或前b通道映射到新网络pq中的通道， 其中，e、f为种子网络pu中参数的输入、输出维度，a、b为新网络pq中参数的输入、输出维度，j、k为空间维度的宽、高，a＜＜e,b＜＜f；“:”为维度的取值范围，为新网络pq中第h输出通道和第d输出通道确定的卷积核的所有权重，为种子网络pu中第h输出通道和第d输出通道确定的卷积核的所有权重；对神经网络模型进行内核重映射：将原始3×3核参数的值分配到内核维度为ω×ω大核中心的3×3区域，其它区域的值分配为0， 式中，为大核宽、高的参数范围；为原始3×3核宽、高的参数范围；以隐式嵌入的方式引入多条可行的子路径，将种子网络pu拓展为超级网络，并将种子网络pu的参数映射到超级网络；在恶意流量检测分类任务上使用超级网络启动可微NAS过程：微调训练数据集上超级网络部分时期的操作权重并进行针对训练，再交替迭代优化操作权重和架构参数；其中，每次交替迭代中根据架构参数分布采样的路径微调操作权重；可微NAS过程终止后，使用架构参数推导目标架构；将种子网络pu的参数映射到目标架构，在恶意流量检测分类任务上微调目标架构，得到目标网络；应用目标网络对待测流量数据对应的二维图像进行检测。

全文数据：

权利要求：

百度查询： 四川大学 一种APT恶意流量的检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD