本申請(qǐng)涉及網(wǎng)絡(luò)安全，尤其涉及一種基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全威脅不斷增加。為增強(qiáng)網(wǎng)絡(luò)安全性，doh(dnsover?https，基于https的域名系統(tǒng))技術(shù)逐漸成為互聯(lián)網(wǎng)通信中的常用協(xié)議，通過https加密傳輸dns請(qǐng)求，提升了通信隱私性。然而，惡意攻擊者也利用doh加密技術(shù)來隱藏其攻擊行為，使得傳統(tǒng)基于特征的惡意流量檢測(cè)方法變得無效或低效。

2、面對(duì)這一挑戰(zhàn)，網(wǎng)絡(luò)安全領(lǐng)域當(dāng)前也存在一些基于機(jī)器學(xué)習(xí)的解決方案。然而，由于doh流量的加密性和惡意行為的隱蔽性，現(xiàn)有的機(jī)器學(xué)習(xí)模型對(duì)惡意流量檢測(cè)精度不高。

3、上述內(nèi)容僅用于輔助理解本申請(qǐng)的技術(shù)方案，并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)的主要目的在于提供一種基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法，旨在解決目前對(duì)惡意流量檢測(cè)精度不高的技術(shù)問題。

2、為實(shí)現(xiàn)上述目的，本申請(qǐng)?zhí)岢鲆环N基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法，所述的方法包括：

3、獲取基于https的域名系統(tǒng)doh流量；

4、將所述doh流量輸入預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到惡意流量檢測(cè)結(jié)果，所述流量檢測(cè)模型是基于二元交叉熵和焦點(diǎn)損失函數(shù)構(gòu)建得到的。

5、在一實(shí)施例中，所述將所述doh流量輸入預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到惡意流量檢測(cè)結(jié)果的步驟之前包括：

6、基于殘差網(wǎng)絡(luò)和科爾莫戈洛夫-阿諾爾德kan網(wǎng)絡(luò)，構(gòu)建得到所述流量檢測(cè)模型。

7、在一實(shí)施例中，所述基于殘差網(wǎng)絡(luò)和科爾莫戈洛夫-阿諾爾德kan網(wǎng)絡(luò)，構(gòu)建得到所述流量檢測(cè)模型的步驟包括：

8、收集樣本數(shù)據(jù)；

9、對(duì)所述樣本數(shù)據(jù)進(jìn)行預(yù)處理，得到樣本特征；

10、將所述樣本特征劃分為訓(xùn)練集、驗(yàn)證集和測(cè)試集；

11、基于所述殘差網(wǎng)絡(luò)和所述kan網(wǎng)絡(luò)構(gòu)建第一檢測(cè)模型；

12、基于所述訓(xùn)練集對(duì)所述第一檢測(cè)模型進(jìn)行訓(xùn)練，通過所述二元交叉熵和所述焦點(diǎn)損失函數(shù)對(duì)所述訓(xùn)練集中的惡意流量和/或難分類流量賦予相應(yīng)權(quán)重，得到第二檢測(cè)模型；

13、基于所述驗(yàn)證集對(duì)所述第二檢測(cè)模型中的超參數(shù)進(jìn)行調(diào)整，得到第三檢測(cè)模型；

14、基于所述測(cè)試集對(duì)所述第三檢測(cè)模型進(jìn)行性能評(píng)估和性能計(jì)算，得到性能指標(biāo)；

15、基于所述性能指標(biāo)確定所述流量檢測(cè)模型。

16、在一實(shí)施例中，所述獲取基于https的域名系統(tǒng)doh流量的步驟之后包括：

17、將所述doh流量進(jìn)行預(yù)處理，得到所述doh流量的統(tǒng)計(jì)特征；

18、所述將所述doh流量輸入預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到惡意流量檢測(cè)結(jié)果的步驟包括：

19、將所述doh流量的統(tǒng)計(jì)特征輸入所述預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到所述惡意流量檢測(cè)結(jié)果。

20、在一實(shí)施例中，所述將所述doh流量的統(tǒng)計(jì)特征輸入所述預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到所述惡意流量檢測(cè)結(jié)果的步驟包括：

21、通過所述流量檢測(cè)模型中的若干殘差塊對(duì)所述統(tǒng)計(jì)特征進(jìn)行特征提取，得到空間維度的特征；

22、對(duì)所述空間維度的特征進(jìn)行特征聚合，得到全局特征向量；

23、通過所述流量檢測(cè)模型中的全連接層對(duì)所述全局特征向量進(jìn)行分類，得到分類結(jié)果；

24、基于所述分類結(jié)果得到所述惡意流量檢測(cè)結(jié)果。

25、在一實(shí)施例中，所述通過流量檢測(cè)模型中的若干殘差塊對(duì)所述統(tǒng)計(jì)特征進(jìn)行特征提取，得到空間維度的特征的步驟包括：

26、通過若干科爾莫戈洛夫-阿諾爾德kan層對(duì)所述統(tǒng)計(jì)特征遍歷執(zhí)行卷積操作、批歸一化操作、注意力調(diào)整操作和修正線性單元relu激活函數(shù)激活操作，得到特征圖；

27、通過殘差連接將所述統(tǒng)計(jì)特征添加至所述特征圖上，得到殘差連接后的輸出結(jié)果；

28、對(duì)所述殘差連接后的輸出結(jié)果進(jìn)行批歸一化處理和使用所述relu激活函數(shù)進(jìn)行激活，得到所述空間維度的特征。

29、在一實(shí)施例中，通過所述若干科爾莫戈洛夫-阿諾爾德kan層對(duì)所述統(tǒng)計(jì)特征遍歷執(zhí)行注意力調(diào)整操作的步驟包括：

30、通過所述若干kan層增強(qiáng)所述統(tǒng)計(jì)特征中的任務(wù)相關(guān)特征，并抑制所述統(tǒng)計(jì)特征中的無關(guān)特征。

31、此外，為實(shí)現(xiàn)上述目的，本申請(qǐng)還提出一種基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)裝置，所述流量檢測(cè)裝置包括：

32、流量獲取模塊，用于獲取基于https的域名系統(tǒng)doh流量；

33、流量檢測(cè)模塊，用于將所述doh流量輸入預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到惡意流量檢測(cè)結(jié)果，所述流量檢測(cè)模型是基于二元交叉熵和焦點(diǎn)損失函數(shù)構(gòu)建得到的。

34、此外，為實(shí)現(xiàn)上述目的，本申請(qǐng)還提出一種基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)設(shè)備，所述設(shè)備包括：存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序配置為實(shí)現(xiàn)如上文所述的基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法的步驟。

35、此外，為實(shí)現(xiàn)上述目的，本申請(qǐng)還提出一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上文所述的基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法的步驟。

36、本申請(qǐng)?zhí)岢龅囊粋€(gè)或多個(gè)技術(shù)方案，至少具有以下技術(shù)效果：

37、本申請(qǐng)通過基于二元交叉熵和焦點(diǎn)損失函數(shù)構(gòu)建得到的流量檢測(cè)模型對(duì)流量進(jìn)行分類，二元交叉熵是適用于二分類任務(wù)的損失函數(shù)，在流量檢測(cè)模型中，它可以衡量模型預(yù)測(cè)結(jié)果與真實(shí)標(biāo)簽之間的差異，提高惡意流量檢測(cè)的準(zhǔn)確性；焦點(diǎn)損失函數(shù)是針對(duì)類別不平衡問題提出的一種改進(jìn)的損失函數(shù)，在惡意流量檢測(cè)中，往往存在正常流量遠(yuǎn)多于惡意流量的情況，這會(huì)導(dǎo)致模型在訓(xùn)練過程中更加關(guān)注正常流量，而忽略少數(shù)但重要的惡意流量，焦點(diǎn)損失函數(shù)通過降低易分類樣本的權(quán)重、提高難分類樣本的權(quán)重以及平衡不同類別之間的權(quán)重，從而提高惡意流量的檢測(cè)率，可以在保證模型整體性能的同時(shí)，針對(duì)惡意流量進(jìn)行更加精確的檢測(cè)和分類。

技術(shù)特征：

1.一種基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法，其特征在于，所述方法包括：

2.如權(quán)利要求1所述的方法，其特征在于，所述將所述doh流量輸入預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到惡意流量檢測(cè)結(jié)果的步驟之前包括：

3.如權(quán)利要求2所述的方法，其特征在于，所述基于殘差網(wǎng)絡(luò)和科爾莫戈洛夫-阿諾爾德kan網(wǎng)絡(luò)，構(gòu)建得到所述流量檢測(cè)模型的步驟包括：

4.如權(quán)利要求1所述的方法，其特征在于，所述獲取基于https的域名系統(tǒng)doh流量的步驟之后包括：

5.如權(quán)利要求4所述的方法，其特征在于，所述將所述doh流量的統(tǒng)計(jì)特征輸入所述預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到所述惡意流量檢測(cè)結(jié)果的步驟包括：

6.如權(quán)利要求5所述的方法，其特征在于，所述通過流量檢測(cè)模型中的若干殘差塊對(duì)所述統(tǒng)計(jì)特征進(jìn)行特征提取，得到空間維度的特征的步驟包括：

7.如權(quán)利要求6所述的方法，其特征在于，通過所述若干科爾莫戈洛夫-阿諾爾德kan層對(duì)所述統(tǒng)計(jì)特征遍歷執(zhí)行注意力調(diào)整操作的步驟包括：

8.一種基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)裝置，其特征在于，所述裝置包括：

9.一種基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)設(shè)備，其特征在于，所述設(shè)備包括：存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序配置為實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述的基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法的步驟。

10.一種存儲(chǔ)介質(zhì)，其特征在于，所述存儲(chǔ)介質(zhì)為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述的基于深度學(xué)習(xí)模型的doh加密惡意流量檢測(cè)方法的步驟。

技術(shù)總結(jié)
本申請(qǐng)公開了一種基于深度學(xué)習(xí)模型的DoH加密惡意流量檢測(cè)方法，涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，方法包括：獲取基于HTTPS的域名系統(tǒng)DoH流量；將所述DoH流量輸入預(yù)先構(gòu)建得到的流量檢測(cè)模型，得到惡意流量檢測(cè)結(jié)果，所述流量檢測(cè)模型是基于二元交叉熵和焦點(diǎn)損失函數(shù)構(gòu)建得到的，本申請(qǐng)能夠提高惡意流量的檢測(cè)精度。

技術(shù)研發(fā)人員：張銀炎,楊溢釤,耿光剛,劉東杰
受保護(hù)的技術(shù)使用者：暨南大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9