申请/专利权人:四川大学
申请日:2023-12-27
公开(公告)日:2024-03-22
公开(公告)号:CN117749514A
主分类号:H04L9/40
分类号:H04L9/40;G06N3/0464
优先权:
专利状态码:在审-实质审查的生效
法律状态:2024.04.09#实质审查的生效;2024.03.22#公开
摘要:本发明提供了一种APT恶意流量的检测方法,涉及网络安全技术领域。该方法包括:复制流量数据至检测系统,处理其中样本的特征并转换为二维图像,根据属性拼接多个样本后输入含种子网络的神经网络模型。对神经网络模型进行深度重映射、宽度重映射和内部重映射;再通过网络扩展、架构适应和参数适应,完成神经网络架构搜索,得到目标网络,并利用目标网络对二维图像进行检测。该方法可提高恶意流量检测的实时性、准确性及全面性。
主权项:1.一种APT恶意流量的检测方法,其特征在于,包括:通过端口镜像复制待检测流量数据;将待检测流量数据中的数据包作为样本,进行缺失值处理和异常值处理,并将样本的特征划分为数字特征和字符型特征,并对字符型特征进行独热编码;均值归一化所有特征,再通过最大最小标准化处理使各特征所属类别的属性值处于[0,255,并将处理结果转换为二维图像;对恶意流量的任一类别,拼接a个样本的二维图像;其中,拼接后的二维图像中,同属性对应部分同列对齐,a为使待检测流量数据最大概率被判定为该类别的值;将二维图像输入含种子网络pu的神经网络模型,并对其进行深度重映射:对于种子网络pu中一个阶段n层的任意一层,有参数对应地,新网络pq中s层的相应阶段具有参数将种子网络pu中的最后一层的参数复制至新网络pq的网络层中, Fc=minc,n式中,c为神经网络模型中新网络pq中网络层的层序数,为新网络pq中新层的参数,为种子网络pu中最后一层的参数;对神经网络模型进行宽度重映射:给定种子网络pu一个卷积层,有参数yu∈Te×f×j×k;对新网络pq相应的卷积层,有参数yq∈Ta×b×j×k;在宽度维度上,将种子网络pu中参数的前a或前b通道映射到新网络pq中的通道, 其中,e、f为种子网络pu中参数的输入、输出维度,a、b为新网络pq中参数的输入、输出维度,j、k为空间维度的宽、高,a<<e,b<<f;“:”为维度的取值范围,为新网络pq中第h输出通道和第d输出通道确定的卷积核的所有权重,为种子网络pu中第h输出通道和第d输出通道确定的卷积核的所有权重;对神经网络模型进行内核重映射:将原始3×3核参数的值分配到内核维度为ω×ω大核中心的3×3区域,其它区域的值分配为0, 式中,为大核宽、高的参数范围;为原始3×3核宽、高的参数范围;以隐式嵌入的方式引入多条可行的子路径,将种子网络pu拓展为超级网络,并将种子网络pu的参数映射到超级网络;在恶意流量检测分类任务上使用超级网络启动可微NAS过程:微调训练数据集上超级网络部分时期的操作权重并进行针对训练,再交替迭代优化操作权重和架构参数;其中,每次交替迭代中根据架构参数分布采样的路径微调操作权重;可微NAS过程终止后,使用架构参数推导目标架构;将种子网络pu的参数映射到目标架构,在恶意流量检测分类任务上微调目标架构,得到目标网络;应用目标网络对待测流量数据对应的二维图像进行检测。
全文数据:
权利要求:
百度查询: 四川大学 一种APT恶意流量的检测方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。