流量检测模型的训练方法、流量检测方法及相关设备与流程

本发明涉及信息安全，尤其涉及一种流量检测模型的训练方法、流量检测方法及相关设备。

背景技术：

1、随着机器学习以及深度学习的发展，越来越多相关方法被用于解决流量检测问题。

2、机器学习方法的基本假设是，恶意流量和合法流量的特征分布是不同的，利用特征工程可以让合法流量集中分布在特征空间的一个超球体中并将恶意流量排除在外，从而得到合法流量的共性特征。

3、然而，使用伪造技术可以使恶意变种流量的特征趋向于合法流量的共性特征，导致传统的机器学习方法对恶意变种流量的检测变得愈发困难。

技术实现思路

1、本发明提供一种流量检测模型的训练方法、流量检测方法及相关设备，用以解决现有技术中流量检测方法对恶意变种流量的检测能力差的缺陷，实现提高对恶意变种流量的检测能力。

2、第一方面，本发明提供一种流量检测模型的训练方法，所述流量检测模型包括：判别器和生成器；所述训练方法包括：

3、对所述判别器和所述生成器执行至少一次训练，在当前训练中执行以下操作：

4、将真实流量样本特征输入所述生成器中，生成当前拟合流量训练特征；

5、将所述真实流量样本特征和所述当前拟合流量训练特征输入判别器中，获取当前类别向量；

6、在所述当前类别向量的最大分量值小于或等于第一阈值的情况下，执行下一次训练；

7、所述在所述当前类别向量的最大分量值大于所述第一阈值的情况下，分别将所述判别器的当前损失与第二阈值、所述生成器的当前损失与第三阈值，以及所述第一阈值所引起的当前损失与第四阈值进行比较；

8、在所述判别器的当前损失大于所述第二阈值，或所述生成器的当前损失大于所述第三阈值，或所述第一阈值所引起的当前损失大于所述第四阈值的情况下，执行下一次训练；

9、在所述判别器的当前损失小于或等于所述第二阈值，且所述生成器的当前损失小于或等于所述第三阈值，且所述第一阈值所引起的当前损失小于或等于所述第四阈值的情况下，获取训练好的判别器和训练好的生成器。

10、在一些实施例中，在所述分别将所述判别器的当前损失与第二阈值、所述生成器的当前损失与第三阈值，以及所述第一阈值所引起的当前损失与第四阈值进行比较之前，还包括：

11、根据所述真实流量样本特征判别为拟合流量的概率，以及所述当前拟合流量训练特征判别为拟合流量的概率，确定当前拟合流量训练特征的类型判别错误的损失；

12、根据所述真实流量样本特征判别为真实流量的概率，确定所述真实流量特征的类型判别错误的损失；

13、根据所述拟合流量特征的类型判别错误的损失，以及所述真实流量特征的类型判别错误的损失，确定所述判别器的当前损失。

14、在一些实施例中，在所述分别将所述判别器的当前损失与第二阈值、所述生成器的当前损失与第三阈值，以及所述第一阈值所引起的当前损失与第四阈值进行比较之前，还包括：

15、根据所述判别器的激活函数，确定第一生成损失；所述第一生成损失为所述真实流量样本特征和所述当前拟合流量训练特征判别为同一类型所对应的生成损失；

16、根据所述当前拟合流量训练特征判别为拟合流量的概率，确定第二生成损失；所述第二生成损失为所述当前拟合流量训练特征判别为真实流量所对应的生成损失；

17、根据所述第一生成损失和所述第二生成损失，确定所述生成器的当前损失。

18、在一些实施例中，在所述分别将所述判别器的当前损失与第二阈值、所述生成器的当前损失与第三阈值，以及所述第一阈值所引起的当前损失与第四阈值进行比较之前，还包括：

19、根据所述当前类别向量的最大分量值与所述第一阈值的比较结果，确定当前比较数值；

20、根据所述当前比较数值，以及所述当前拟合流量训练特征判别为真实流量的概率，确定所述第一阈值所引起的当前损失。

21、在一些实施例中，在所述将真实流量样本特征输入所述生成器中，生成当前拟合流量训练特征之前，还包括：

22、获取流量样本；所述流量样本包括合法流量样本和恶意流量样本；

23、基于所述流量样本中的请求报文和响应报文对图像进行重构，获取重构图像；

24、将所述重构图像和内核函数进行卷积，得到所述真实流量样本特征。

25、第二方面，本发明提供一种流量检测方法，包括：

26、将待检测流量输入如第一方面中任一所述的训练好的判别器，获取所述待检测流量的判别类型；所述待检测流量的判别类型包括合法流量和恶意流量；

27、基于如第一方面中任一所述的训练好的生成器，生成与所述判别类型对应的所述待检测流量的拟合流量特征；

28、在所述待检测流量的真实流量特征与所述待检测流量的拟合流量特征的相似度，大于或等于相似度阈值的情况下，确定所述待检测流量的判别类型成立；

29、在所述相似度小于所述相似度阈值的情况下，确定所述待检测流量为异常流量。

30、在一些实施例中，在确定所述待检测流量为异常流量之后，所述方法还包括：

31、对所述待检测流量进行二次检测，确定所述待检测流量的类型。

32、第三方面，本发明提供一种流量检测模型的训练装置，所述流量检测模型包括：判别器和生成器；所述装置包括：

33、训练模块，用于对所述判别器和所述生成器执行至少一次训练，在当前训练中执行以下操作：

34、将真实流量样本特征输入所述生成器中，生成当前拟合流量训练特征；

35、将所述真实流量样本特征和所述当前拟合流量训练特征输入判别器中，获取当前类别向量；

36、在所述当前类别向量的最大分量值小于或等于第一阈值的情况下，执行下一次训练；

37、所述在所述当前类别向量的最大分量值大于所述第一阈值的情况下，分别将所述判别器的当前损失与第二阈值、所述生成器的当前损失与第三阈值，以及所述第一阈值所引起的当前损失与第四阈值进行比较；

38、在所述判别器的当前损失大于所述第二阈值，或所述生成器的当前损失大于所述第三阈值，或所述第一阈值所引起的当前损失大于所述第四阈值的情况下，执行下一次训练；

39、在所述判别器的当前损失小于或等于所述第二阈值，且所述生成器的当前损失小于或等于所述第三阈值，且所述第一阈值所引起的当前损失小于或等于所述第四阈值的情况下，获取训练好的判别器和训练好的生成器。

40、第四方面，本发明提供一种流量检测装置，包括：

41、判别模块，用于将待检测流量输入如第一方面中任一所述的训练好的判别器，获取所述待检测流量的判别类型；所述待检测流量的判别类型包括合法流量和恶意流量；

42、生成模块，用于基于如第一方面中任一所述的训练好的生成器，生成与所述判别类型对应的所述待检测流量的拟合流量特征；

43、确定模块，用于在所述待检测流量的真实流量特征与所述待检测流量的拟合流量特征的相似度，大于或等于相似度阈值的情况下，确定所述待检测流量的判别类型成立；

44、在所述相似度小于所述相似度阈值的情况下，确定所述待检测流量为异常流量。

45、第五方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面中任一种所述流量检测模型的训练方法，或如第二方面中任一种所述流量检测方法。

46、第六方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一种所述流量检测模型的训练方法，或如第二方面中任一种所述流量检测方法。

47、第七方面，本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如第一方面中任一种所述流量检测模型的训练方法，或如第二方面中任一种所述流量检测方法。

48、本发明提供的流量检测模型的训练方法、流量检测方法及相关设备，通过使类别向量的最大分量值大于第一阈值，实现类外可分；再通过使判别器的损失小于或等于第二阈值，且生成器的损失小于或等于第三阈值，且所述第一阈值所引起的损失小于或等于第四阈值，实现类内可分；从而利用训练好的判别器和生成器实现将流量检测问题转化为真实流量特征与拟合流量特征的相似度问题，在面对恶意变种流量时，可以通过恶意变种流量的真实流量特征与拟合流量特征的相似度，判断恶意变种流量的类型，从而提高对恶意变种流量的检测能力。