編號(hào):SBJS01059
篇名:基于多粒度表征學(xué)習(xí)的加密惡意流量檢測(cè)
作者:谷勇浩 徐昊 張曉青
關(guān)鍵詞: 加密惡意流量檢測(cè) 多粒度表征學(xué)習(xí) 局部行為 全局行為 位置語(yǔ)義
機(jī)構(gòu): 北京郵電大學(xué)計(jì)算機(jī)學(xué)院智能通信軟件與多媒體北京市重點(diǎn)實(shí)驗(yàn)室 中山大學(xué)廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室
摘要: 現(xiàn)有加密惡意流量檢測(cè)方法中,基于統(tǒng)計(jì)特征的方法存在特征提取依賴(lài)專(zhuān)家經(jīng)驗(yàn)和特征之間相互獨(dú)立的問(wèn)題,基于原始輸入的機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法存在信息不全、隨機(jī)字段、單一粒度的問(wèn)題,對(duì)加密流量交互行為的語(yǔ)義表征不足.為解決上述問(wèn)題,本文提出一種基于多粒度表征學(xué)習(xí)的加密惡意流量檢測(cè)方法MGREL(MultiGranularity REpresentation Learning).該方法將加密會(huì)話分為字段級(jí)和包級(jí)兩個(gè)粒度分別處理.在字段級(jí)粒度中,基于詞向量進(jìn)行局部行為建模,提取握手報(bào)文并選取關(guān)鍵字段,緩解信息不全導(dǎo)致的語(yǔ)義缺失問(wèn)題,將字段的字節(jié)值表示為詞向量,同時(shí)增加報(bào)文類(lèi)型與握手類(lèi)型作為位置前綴,解決位置語(yǔ)義缺失的問(wèn)題,采用Multi-head Attention計(jì)算字段間的交互,再通過(guò)Bi LSTM得到報(bào)文級(jí)語(yǔ)義;在包級(jí)粒度中,基于時(shí)空進(jìn)行全局行為建模,提取包的時(shí)空狀態(tài)信息并采用LSTM模型得到流級(jí)語(yǔ)義.將兩個(gè)粒度下得到的局部行為語(yǔ)義和全局行為語(yǔ)義融合,得到加密流量的表征,解決單一粒度表征能力不足的問(wèn)題.最后,通過(guò)對(duì)比實(shí)驗(yàn)驗(yàn)證本文所提方法MGREL在檢測(cè)加密惡意流量方面表現(xiàn)最好。