一种恶意加密流量识别模型训练方法、装置和电子设备与流程

本申请涉及网络流量检测，具体而言，涉及一种恶意加密流量识别模型训练方法、装置和电子设备。

背景技术：

1、目前，现有加密恶意流量检测方法需要大量准确标记的样本进行训练，以使训练得到的加密恶意流量检测模型能够达到较好的检测效果。但在实际网络环境中，加密训练得到的加密恶意流量检测模型流量数据由于其内容不可见而难以进行正确标记。导致训练得到的加密恶意流量检测模型对加密恶意流量的检测效果不佳。

2、

技术实现思路

1、为解决上述问题，本申请实施例的目的在于提供一种恶意加密流量识别模型训练方法、装置和电子设备。

2、第一方面，本申请实施例提供了一种恶意加密流量识别模型训练方法，包括：

3、获取待训练的深度神经网络模型和作为训练数据的加密流量；其中，所述深度神经网络模型中携带有源数据；所述加密流量中携带有加密流量数量；

4、分析所述源数据和所述加密流量，确定所述源数据和所述加密流量的数据分布差异；其中，所述数据分布差异，包括：分布差异大和分布差异小；

5、将所述加密流量转换为灰度图像；

6、基于迁移学习的方式，将灰度图像输入到所述深度神经网络模型中，分别对所述源数据和所述加密流量的分布差异小且所述加密流量数量大于样本阈值的情况下、所述源数据和所述加密流量的分布差异小且所述加密流量数量小于等于样本阈值的情况下、所述源数据和所述加密流量的分布差异大且所述加密流量数量大于样本阈值的情况下、或者，所述源数据和所述加密流量的分布差异大且所述加密流量数量小于等于样本阈值的情况下的恶意加密流量识别模型进行训练。

7、第二方面，本申请实施例还提供了一种恶意加密流量识别模型训练装置，包括：

8、获取模块，用于获取待训练的深度神经网络模型和作为训练数据的加密流量；其中，所述深度神经网络模型中携带有源数据；所述加密流量中携带有加密流量数量；

9、分析模块，用于分析所述源数据和所述加密流量，确定所述源数据和所述加密流量的数据分布差异；其中，所述数据分布差异，包括：分布差异大和分布差异小；

10、转换模块，用于将所述加密流量转换为灰度图像；

11、训练模块，用于基于迁移学习的方式，将灰度图像输入到所述深度神经网络模型中，分别对所述源数据和所述加密流量的分布差异小且所述加密流量数量大于样本阈值的情况下、所述源数据和所述加密流量的分布差异小且所述加密流量数量小于等于样本阈值的情况下、所述源数据和所述加密流量的分布差异大且所述加密流量数量大于样本阈值的情况下、或者，所述源数据和所述加密流量的分布差异大且所述加密流量数量小于等于样本阈值的情况下的恶意加密流量识别模型进行训练。

12、第三方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面所述的方法的步骤。

13、第四方面，本申请实施例还提供了一种电子设备，所述电子设备包括有存储器，处理器以及一个或者一个以上的程序，其中所述一个或者一个以上程序存储于所述存储器中，且经配置以由所述处理器执行上述第一方面所述的方法的步骤。

14、本申请实施例上述第一方面至第四方面提供的方案中，通过分析深度神经网络模型的源数据和作为训练数据的加密流量的数据分布差异，并基于迁移学习的方式，将灰度图像输入到所述深度神经网络模型中，分别对所述源数据和所述加密流量的分布差异小且所述加密流量数量大于样本阈值的情况下、所述源数据和所述加密流量的分布差异小且所述加密流量数量小于等于样本阈值的情况下、所述源数据和所述加密流量的分布差异大且所述加密流量数量大于样本阈值的情况下、或者，所述源数据和所述加密流量的分布差异大且所述加密流量数量小于等于样本阈值的情况下的恶意加密流量识别模型进行训练，与相关技术中无法对训练恶意加密流量识别模型时使用的加密恶意流量进行正确标记而导致训练得到的恶意加密流量识别模型对加密恶意流量的识别效果不佳的方式相比，对任意数据分布情况和样本数量的数据集，都可以挑选出适合的训练方式，并基于该被挑选出的训练方式训练出最终的恶意加密流量识别模型。针对性强；这种恶意加密流量识别模型的训练方式适合所有类型的数据集，覆盖面更广，实现了自适应的解决方法，使训练得到的恶意加密流量识别模型在对加密恶意流量进行识别时可以得到更加全面准确的识别效果。

15、为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

技术特征：

1.一种恶意加密流量识别模型训练方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，分析所述源数据和所述加密流量，确定所述源数据和所述加密流量的数据分布差异，包括：

3.根据权利要求1所述的方法，其特征在于，当所述深度神经网络模型是efficientnet-b1时，基于迁移学习的方式，将灰度图像输入到所述深度神经网络模型中，对所述源数据和所述加密流量的分布差异小且所述加密流量数量小于等于样本阈值的情况下的恶意加密流量识别模型进行训练，包括：

4.根据权利要求3所述的方法，其特征在于，基于迁移学习的方式，将灰度图像输入到所述深度神经网络模型中，对所述源数据和所述加密流量的分布差异大且所述加密流量数量小于等于样本阈值的情况下的恶意加密流量识别模型进行训练，包括：

5.根据权利要求3所述的方法，其特征在于，所述深度神经网络模型还携带有所述深度神经网络模型的权重文件，所述权重文件，包括：深度神经网络模型的权重参数；

6.根据权利要求3所述的方法，其特征在于，基于迁移学习的方式，将灰度图像输入到所述深度神经网络模型中，对所述源数据和所述加密流量的分布差异大且所述加密流量数量大于样本阈值的情况下的恶意加密流量识别模型进行训练，包括：

7.一种恶意加密流量识别模型训练装置，其特征在于，包括：

8.根据权利要求7所述的装置，其特征在于，所述分析模块，具体用于：

9.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，其特征在于，所述计算机程序被处理器运行时执行上述权利要求1-6任一项所述的方法的步骤。

10.一种电子设备，其特征在于，所述电子设备包括有存储器，处理器以及一个或者一个以上的程序，其中所述一个或者一个以上程序存储于所述存储器中，且经配置以由所述处理器执行权利要求1-6任一项所述的方法的步骤。

技术总结
本申请提供了一种恶意加密流量识别模型训练方法、装置和电子设备，对任意数据分布情况和样本数量的数据集，都可以挑选出适合的训练方式，并基于该被挑选出的训练方式训练出最终的恶意加密流量识别模型，针对性强；这种恶意加密流量识别模型的训练方式适合所有类型的数据集，覆盖面更广，实现了自适应的解决方法，使训练得到的恶意加密流量识别模型在对加密恶意流量进行识别时可以得到更加全面准确的识别效果。

技术研发人员：朱苗,于淼
受保护的技术使用者：北京观成科技有限公司
技术研发日：
技术公布日：2024/2/1