本發(fā)明涉及網(wǎng)絡(luò)安全，特別是cnn和swin-transformer的惡意加密流量檢測(cè)方法及系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益凸顯，為了保護(hù)數(shù)據(jù)的安全和隱私，數(shù)據(jù)加密傳輸成為了應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的重要手段之一。然而，加密技術(shù)在保護(hù)用戶數(shù)據(jù)的安全的同時(shí)，也增加了流量識(shí)別的難度，對(duì)于網(wǎng)絡(luò)安全管理帶來了新的挑戰(zhàn)。比如，網(wǎng)絡(luò)攻擊者可以利用加密通信協(xié)議來繞過防火墻和入侵檢測(cè)系統(tǒng)，從而逃避傳統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)方法的監(jiān)控和攔截，實(shí)現(xiàn)隱蔽的惡意活動(dòng)。

2、惡意加密流量檢測(cè)技術(shù)是對(duì)加密的正常流量和惡意流量進(jìn)行分類的一種技術(shù)，可以幫助分析和監(jiān)測(cè)網(wǎng)絡(luò)流量。隨著流量加密技術(shù)的快速發(fā)展，加密惡意流量的檢測(cè)技術(shù)也在不斷推進(jìn)。

3、首先，基于解密的檢測(cè)方法的精確率比較高，因?yàn)樵摲椒▽⒇?fù)載內(nèi)容進(jìn)行了分析。但由于涉及解密操作，而解密會(huì)造成用戶的隱私泄露并破壞端到端的結(jié)構(gòu)，因此，這種方法并未廣泛適用。

4、近年來，機(jī)器學(xué)習(xí)技術(shù)對(duì)分類問題取得了較好的成果，很多研究者提出了基于機(jī)器學(xué)習(xí)的方法來解決加密流量分類問題，主要集中在機(jī)器學(xué)習(xí)算法的選擇上，如c4.5決策樹算法、svm算法(支持向量機(jī))、lr算法(邏輯回歸)等?；跈C(jī)器學(xué)習(xí)的方法能夠應(yīng)用于惡意加密流量檢測(cè)，但這些方法的在處理此類問題時(shí)面臨著特征提取困難、模型泛化能力不足等挑戰(zhàn)，其性能在很大程度上依賴于專家設(shè)計(jì)的特征工程，這極大地限制了它們的通用性。

5、由于深度學(xué)習(xí)技術(shù)的快速發(fā)展，研究人員開始將深度學(xué)習(xí)技術(shù)應(yīng)用于網(wǎng)絡(luò)惡意流量檢測(cè)領(lǐng)域，建立深度學(xué)習(xí)模型對(duì)預(yù)處理的網(wǎng)絡(luò)流量進(jìn)行訓(xùn)練來自動(dòng)選擇更本質(zhì)、更有效的特征。目前常見的基于深度學(xué)習(xí)算法的加密流量分類包括cnn(卷積神經(jīng)網(wǎng)絡(luò))、lstm(長(zhǎng)短期記憶網(wǎng)絡(luò))、sae(稀疏自動(dòng)編碼器)等，然而，這些基于深度學(xué)習(xí)的模型受限于固有的神經(jīng)網(wǎng)絡(luò)架構(gòu)，僅考慮了數(shù)據(jù)自身的特征，只能獨(dú)立地分析單個(gè)流量特征，忽略了事件之間的相關(guān)性，缺乏網(wǎng)絡(luò)的全局信息，導(dǎo)致系統(tǒng)的魯棒性較差。

技術(shù)實(shí)現(xiàn)思路

1、本部分的目的在于概述本發(fā)明的實(shí)施例的一些方面以及簡(jiǎn)要介紹一些較佳實(shí)施例。在本部分以及本技術(shù)的說明書摘要和發(fā)明名稱中可能會(huì)做些簡(jiǎn)化或省略以避免使本部分、說明書摘要和發(fā)明名稱的目的模糊，而這種簡(jiǎn)化或省略不能用于限制本發(fā)明的范圍。

2、鑒于上述存在的問題，提出了本發(fā)明。

3、因此，本發(fā)明解決的技術(shù)問題是：傳統(tǒng)檢測(cè)方法依賴手工特征設(shè)計(jì)，難以捕捉復(fù)雜的加密流量模式；單一的局部或全局特征提取方式存在局限，無法全面表征流量特征。

4、為解決上述技術(shù)問題，本發(fā)明提供如下技術(shù)方案：

5、第一方面，本發(fā)明提供了一種cnn和swin-transformer的惡意加密流量檢測(cè)方法，其包括，

6、對(duì)加密流量數(shù)據(jù)進(jìn)行預(yù)處理，將預(yù)處理后的加密流量數(shù)據(jù)集劃分為多個(gè)子集；

7、利用cnn和swin-transformer對(duì)預(yù)處理后的數(shù)據(jù)進(jìn)行特征提取，并進(jìn)行特征融合；

8、將融合后的特征輸入全連接層，進(jìn)行處理并輸出檢測(cè)結(jié)果。

9、作為本發(fā)明所述cnn和swin-transformer的惡意加密流量檢測(cè)方法的一種優(yōu)選方案，其中：所述預(yù)處理包括，數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)標(biāo)準(zhǔn)化和調(diào)整圖像尺寸；

10、所述數(shù)據(jù)轉(zhuǎn)換包括，將加密流量數(shù)據(jù)轉(zhuǎn)換為圖像；

11、所述數(shù)據(jù)標(biāo)準(zhǔn)化包括，對(duì)轉(zhuǎn)換后的圖像進(jìn)行標(biāo)準(zhǔn)化處理；

12、所述調(diào)整圖像尺寸包括，將圖像的尺寸調(diào)整至與輸入層的尺寸相匹配。

13、作為本發(fā)明所述cnn和swin-transformer的惡意加密流量檢測(cè)方法的一種優(yōu)選方案，其中：劃分多個(gè)子集包括，每個(gè)子集包含不同數(shù)量的樣本，用于訓(xùn)練和驗(yàn)證模型的性能；

14、在每次迭代中，選擇一個(gè)子集作為驗(yàn)證集，其余子集作為訓(xùn)練集。

15、作為本發(fā)明所述cnn和swin-transformer的惡意加密流量檢測(cè)方法的一種優(yōu)選方案，其中：所述特征提取包括，cnn特征提取和swin-transformer特征提取。

16、作為本發(fā)明所述cnn和swin-transformer的惡意加密流量檢測(cè)方法的一種優(yōu)選方案，其中：所述cnn特征提取包括，使用卷積層對(duì)預(yù)處理后的圖像進(jìn)行卷積操作，提取局部特征。

17、所述swin-transformer特征提取包括，將輸入圖像分割為不重疊的圖像塊，通過patch?partition將每個(gè)圖像塊轉(zhuǎn)換為swin-transformer的輸入格式；使用w-msa從局部的窗口區(qū)域提取特征；通過sw-msa，在跨窗口的情況下進(jìn)行全局特征提?。?/p>

18、所述特征全融合包括將cnn的輸出特征圖與swin?transformer的輸出特征圖進(jìn)行特征疊加，整合兩種模型提取的特征。

19、作為本發(fā)明所述cnn和swin-transformer的惡意加密流量檢測(cè)方法的一種優(yōu)選方案，其中：提取局部的窗口區(qū)域特征的公式表示為：

20、q,k,v＝linear9fprev,dk),

21、

22、fw-msa＝linear(fprev,dk)attention9q,k,v)

23、其中，q表示查詢向量，k表示鍵向量，v表示值向量，fprev表示前一層的輸入特征，dk表示查詢/鍵向量的維度，linear(fprev,dk)表示線性變換，softmax表示歸一化函數(shù)，attention(q,k,v)表示自注意力機(jī)制，qkt表示查詢向量和鍵向量的轉(zhuǎn)置點(diǎn)積，表示縮放點(diǎn)積相似性，fw-msa表示窗口內(nèi)自注意力機(jī)制輸出特征；

24、特征融合的公式表示為：

25、ffused＝fcnn+fswin

26、其中，ffused表示融合后的特征，fcnn表示從cnn提取的特征，fswin表示從swin-transformer提取的特征。

27、作為本發(fā)明所述cnn和swin-transformer的惡意加密流量檢測(cè)方法的一種優(yōu)選方案，其中：所述輸出檢測(cè)結(jié)果包括，輸出層通過全連接層接收特征融合后的加密流量數(shù)據(jù)；在全連接層之后，應(yīng)用softmax激活函數(shù)，輸出檢測(cè)結(jié)果，公式表示為：

28、ffc＝linear(ffused,dout)

29、p(class)＝softmax(ffc)

30、其中，linear表示線性變換，ffc表示全連接層的輸出特征，ffused表示融合后的特征，dout表示輸出維度。

31、第二方面，本發(fā)明提供了一種cnn和swin-transformer的惡意加密流量檢測(cè)系統(tǒng)，其包括：

32、數(shù)據(jù)處理模塊，對(duì)加密流量數(shù)據(jù)進(jìn)行預(yù)處理，將預(yù)處理后的加密流量數(shù)據(jù)集劃分為多個(gè)子集；

33、特征融合模塊，利用cnn和swin-transformer對(duì)預(yù)處理后的數(shù)據(jù)進(jìn)行特征提取，并進(jìn)行特征融合；

34、檢測(cè)模塊，將融合后的特征輸入全連接層，進(jìn)行處理并輸出檢測(cè)結(jié)果。

35、第三方面，本發(fā)明提供了一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，其中：所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)cnn和swin-transformer的惡意加密流量檢測(cè)方法的步驟。

36、第四方面，本發(fā)明提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，其中：所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)cnn和swin-transformer的惡意加密流量檢測(cè)方法的步驟。

37、與現(xiàn)有技術(shù)相比，本發(fā)明有益效果為無需解密流量即可有效檢測(cè)惡意行為，保護(hù)了數(shù)據(jù)隱私并降低了解密的復(fù)雜性；結(jié)合cnn提取局部特征和swin?transformer提取全局特征，能夠全面捕捉流量中的多維特征，顯著提升檢測(cè)的精度和效率。同時(shí)，模型具備較強(qiáng)的魯棒性和泛化能力，在復(fù)雜網(wǎng)絡(luò)環(huán)境中依然能夠保持高效的惡意流量識(shí)別。此外，通過數(shù)據(jù)轉(zhuǎn)換、標(biāo)準(zhǔn)化和尺寸調(diào)整等預(yù)處理操作，優(yōu)化了大規(guī)模加密流量數(shù)據(jù)的處理過程。最后，特征融合和交叉驗(yàn)證技術(shù)進(jìn)一步提升了模型的性能，保證了檢測(cè)的準(zhǔn)確性和穩(wěn)定性。