編號:SBJS01059
篇名:基于多粒度表征學習的加密惡意流量檢測
作者:谷勇浩 徐昊 張曉青
關鍵詞: 加密惡意流量檢測 多粒度表征學習 局部行為 全局行為 位置語義
機構: 北京郵電大學計算機學院智能通信軟件與多媒體北京市重點實驗室 中山大學廣東省信息安全技術重點實驗室
摘要: 現(xiàn)有加密惡意流量檢測方法中,基于統(tǒng)計特征的方法存在特征提取依賴專家經驗和特征之間相互獨立的問題,基于原始輸入的機器學習和深度學習方法存在信息不全、隨機字段、單一粒度的問題,對加密流量交互行為的語義表征不足.為解決上述問題,本文提出一種基于多粒度表征學習的加密惡意流量檢測方法MGREL(MultiGranularity REpresentation Learning).該方法將加密會話分為字段級和包級兩個粒度分別處理.在字段級粒度中,基于詞向量進行局部行為建模,提取握手報文并選取關鍵字段,緩解信息不全導致的語義缺失問題,將字段的字節(jié)值表示為詞向量,同時增加報文類型與握手類型作為位置前綴,解決位置語義缺失的問題,采用Multi-head Attention計算字段間的交互,再通過Bi LSTM得到報文級語義;在包級粒度中,基于時空進行全局行為建模,提取包的時空狀態(tài)信息并采用LSTM模型得到流級語義.將兩個粒度下得到的局部行為語義和全局行為語義融合,得到加密流量的表征,解決單一粒度表征能力不足的問題.最后,通過對比實驗驗證本文所提方法MGREL在檢測加密惡意流量方面表現(xiàn)最好。