针对典型网络威胁流量的多任务智能检测方法

本发明属于网络安全，特别是一种针对典型网络威胁流量的多任务智能检测方法。

背景技术：

1、随着互联网的快速发展，我国的网民规模和互联网普及率不断上升，网络技术的飞速发展在促进国家数字化转型的同时，随着家庭、企业和工业场景下接入网络设备的日益增多，以ddos攻击、c&c攻击以及勒索软件为代表的典型网络安全威胁日益严重。

2、但相关的工作已经证明，传统的基于统计分析以及机器学习的方法虽然能够对一些网络攻击进行检测，但是由于网络攻击技术的不断发展，网络攻击形式的层出不穷，通过统计分析和机器学习的方法难以从多个尺度挖掘网络攻击流量的深层特征。并且想在每个网络设备中部署内生的安全模块并不现实。路由平台由于其在私域网络和公共网络之间连接的枢纽地位，且当前可编程路由平台的性能持续提升，在其平台上实施网络威胁检测可以有效降低网络安全防护的部署成本。此外，当前网络威胁对抗的加剧使得基于端到端的多任务深度学习的威胁智能分析检测具有较强的潜在应用价值。

3、因此，为了能更好的保障网络空间的稳定，进一步加强我国对网络威胁的防御，迫切需要一套部署在路由平台下的针对典型网络威胁流量的多任务智能检测的解决方案。

技术实现思路

1、本发明的目的在于针对现有技术存在的问题，提供一种针对典型网络威胁流量的多任务智能检测方法，通过提取流经路由平台流量的数据包级别特征、统计级别特征和主机级别特征形成多尺度异构图表征，同时结合基于基于自注意力机制的多任务学习模型对典型网络威胁流量进行检测。

2、实现本发明目的的技术解决方案为：一种针对典型网络威胁流量的多任务智能检测方法，所述方法包括以下步骤：

3、步骤1，对于流经路由平台的正常流量和典型网络威胁流量，对流量进行排序、去重以及分组的预处理操作；所述分组操作是将固定采样周期t时间内的所有流量归为一个流量分组，该分组内包含多个会话的流量数据包；

4、步骤2，对于每个流量分组，以δt时间窗口内的数据包为一个单位，提取该时间窗口内流量的数据包级别特征、统计级别特征、主机级别特征；

5、步骤3，基于步骤2所提取的特征，进行进一步处理，形成新的特征；进一步处理包括对包长序列、窗口大小进行归一化，计算源ip、目的ip、负载信息的熵；

6、步骤4，利用步骤3的处理后的流量特征，以每个δt时间窗口内的多尺度特征进行切分和填充操作后排列为二维向量，将其作为异构图中的一个节点，多个节点之间相连形成多尺度异构图表征；

7、步骤5，通过邻接矩阵的将步骤4中的多尺度异构图表征映射为多尺度表征矩阵的形式；

8、步骤6，利用步骤5中所生成的多尺度表征矩阵，基于自注意力机制的多任务学习模型对典型网络威胁流量进行检测。

9、本发明与现有技术相比，其显著优点为：

10、1)通过对ddos、c&c和勒索软件三种网络威胁流量进行深入挖掘，从数据包级别、流量统计级别以及主机级别对上述流量进行了准确的分析，较为全面的获得了上述流量的多尺度特征。

11、2)对于多提取的多尺度特征，构建多尺度异构图表征，所构建的图表征以时间窗口内的多条流量的多尺度特征为节点，以节点间的时间差作为边权重，最后以邻接矩阵的形式进行映射，该表征既能很好的保留流量的多尺度特征，而且还能提现多条流之间的异构关系。

12、3)通过对流量进行多尺度表征结合自注意力机制的多任务学习模型实现对典型网络威胁流量的检测，并且将系统部署于可编程路由平台上，将安全机制和路由功能融合为一体。

13、总体来说，本发明通过深入挖掘典型网络威胁流量的多尺度特征，在多尺度特征的基础上构建多尺度异构图表征，结合自注意力机制的多任务学习模型能够很好的对典型网络威胁流量进行检测，对于对于维护网络空间安全、保障网络稳定具有重要意义。

技术特征：

1.一种针对典型网络威胁流量的多任务智能检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤1中的路由平台为基于openwrt的可编程路由平台。

3.根据权利要求1所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤1中的典型网络威胁主要包括ddos攻击、c&c攻击以及勒索软件这三种网络威胁。

4.根据权利要求1所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤2中所述的数据包级别特征包括包长序列、时间序列、窗口大小以及负载信息，统计级别特征包括数据包数量、会话数目、负载总和以及上下行包比率，主机级别特征提取源ip、目的ip、源端口、目的端口以及ip地理位置信息。

5.根据权利要求1和权利要求4所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤3中所述进一步的处理包括对包长序列、窗口大小进行归一化，计算源ip、目的ip、负载信息的熵，具体为：

6.根据权利要求5所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，取α为2。

7.根据权利要求1所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤4中多尺度特征进行切分和填充操作后排列为n维向量，多个n维度向量节点相互连接形成异构图表征，具体包括：

8.根据权利要求1所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤4所述多个节点之间相互连接方式是每个节点的边通过不同节点间的第一个包和最后一个包之间的时间间隔作为边权重；连接每个节点形成最终的多尺度异构图表征。

9.根据权利要求1所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤5中所述多尺度异构图表征映射为多尺度表征矩阵，其具体为：

10.根据权利要求1所述的针对典型网络威胁流量的多任务智能检测方法，其特征在于，步骤6中所述的基于自注意力机制的多任务学习模型，其具体包括输入层、2层的cnn层、2层lstm层以及输出层。

技术总结
本发明公开了一种针对典型网络威胁流量的多任务智能检测方法，该方法包括：针对典型网络威胁流量，以固定时间周期对流量进行采样，对特定时间窗口内的流量提取流量空间尺度特征、时间尺度特征、主机级别特征形成流量多尺度的特征集合；基于典型网络威胁流量的多尺度特征构建通用的多尺度异构图表征，并且通过邻接矩阵将图表征映射为表征矩阵；最后，基于多尺度异构图表征结合基于自注意力机制的多任务学习模型对典型网络威胁流量进行检测。本发明通过深入挖掘典型网络威胁流量的多尺度特征，同时结合当前主流的多任务学习模型，可以很好的对路由平台的典型网络威胁流量进行检测，对于维护网络空间安全、保障网络稳定具有重要意义。

技术研发人员：詹家林,刘东旭,刘伟伟
受保护的技术使用者：南京理工大学
技术研发日：
技术公布日：2024/3/11