基于包头与载荷分离的多模型融合的流量分类方法及系统与流程

本发明属于网络流量分类和恶意软件检测，尤其涉及一种基于包头与载荷分离的多模型融合的流量分类方法及系统。

背景技术：

1、本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

2、网络空间是人类通信技术发展的伟大成果。随着新一代信息技术的发展和网络基础的建设，网络规模不断扩大，同时，网络安全问题也随之出现。

3、在源头处理异常事件是保护网络空间安全的最好方法。因此，如果能在流量数据未到达主机用户时，检测出异常并及时处理，网络空间的安全性将大大提高。因此网络恶意流量的检测对于维护网络空间的安全是至关重要的。

4、由于网络攻击流量的多样性，攻击流量可以划分为多个类别，因此入侵检测问题常被建模为流量分类问题。总体来说，网络流量分类在服务质量(qos)控制、恶意软件/木马检测、网络攻击识别和网络入侵检测等方面发挥着非常重要的作用。

5、而近年来的网络流量分类或异常流量检测技术多采用基于会话的，取会话的前784字节作为深度学习模型的输入，不考虑一个会话中数据包之间的相对独立性，不对包头与载荷进行区分，不考虑网络流量数据包包头的特定意义的协议字段等，即使模型取得较好的性能，也不知其所以然，可解释型较低。

技术实现思路

1、为了解决上述背景技术中存在的技术问题，本发明提供一种基于包头与载荷分离的多模型融合的流量分类方法及系统，其将处理后的包头与载荷分别输入到模型中进行训练，保持了其相对独立性，最后使用结果融合策略，又保持了其关联性，从而提高了流量分类结果的准确性。

2、为了实现上述目的，本发明采用如下技术方案：

3、本发明的第一个方面提供一种基于包头与载荷分离的多模型融合的流量分类方法。

4、基于包头与载荷分离的多模型融合的流量分类方法，包括：

5、获取原始网络流量，并进行处理，得到数据包；

6、对数据包进行预处理，得到预处理后的数据包；

7、基于预处理后的数据包，采用已训练的融合模型，得到数据包分类结果；

8、所述融合模型训练的过程包括：基于数据包包头，采用第一分类模型，得到数据包包头分类结果；基于数据包载荷，采用第二分类模型，得到数据包载荷分类结果；所述第一分类模型采用se（squeeze and excitation）-lstm模型，所述第二分类模型采用se-perceiver模型；根据数据包包头分类结果和数据包载荷分类结果，设计评价指标，量化第一分类模型和第二分类模型；将第一分类模型和第二分类模型进行融合，得到融合模型。

9、进一步地，所述获取原始网络流量具体包括：利用wireshark抓包工具直接提取特定网络节点的原始流量，并直接输出为pcap的文件格式。

10、进一步地，所述并进行处理具体包括：

11、利用tshark命令过滤出载荷长度为零的数据包，通过python脚本提取数据包载荷，并统一长度为最大有效载荷长度；

12、进一步地，所述对数据包进行预处理具体包括：利用nprint工具提取数据包包头，并完成数据包包头的对齐和长度统一，通过python脚本将数据包包头按照字节或协议字段合并。

13、进一步地，所述根据数据包包头分类结果和数据包载荷分类结果，设计评价指标，量化第一分类模型和第二分类模型；将第一分类模型和第二分类模型进行融合，得到融合模型的具体过程包括：

14、数据包包头分类结果和数据包载荷分类结果均进行二值化处理，分类正确判为1，分类错误判为0；

15、将数据包包头分类结果和数据包载荷分类结果进行对齐，并相减；其中，值为0表示两个模型的分类结果相同，值为1表示第一分类模型分类正确且第二分类模型分类错误，值为-1表示第一分类模型分类错误且第二分类模型分类正确；

16、统计相减结果中值为0的样本数量占总样本数量的比例，得到第一评价指标，其中第一评价指标在[0,1]之间，用来表示模型相关度；

17、用1减去第一评价指标表示模型间的差异度；

18、将相减结果中值为1的样本数量与第二分类模型中值为0的样本数量进行相除，得到第二评价指标，所述第二评价指标表示模型融合时，第一分类模型可能给第二分类模型带来的性能提升；

19、将相减结果中值为-1的样本数量与第一分类模型中值为1的样本数量进行相除，得到第三评价指标，所述第三评价指标表示模型融合时，第一分类模型可能给第二分类模型带来的性能下降；

20、根据第一评价指标、第二评价指标和第三评价指标，对数据包包头分类结果的第一分类模型和数据包载荷分类结果的第二分类模型，采用结果融合策略进行融合，得到融合模型。

21、本发明的第二个方面提供一种基于包头与载荷分离的多模型融合的流量分类系统。

22、基于包头与载荷分离的多模型融合的流量分类系统，包括：

23、数据获取模块，其被配置为：获取原始网络流量，并进行处理，得到数据包；

24、预处理模块，其被配置为：对数据包进行预处理，得到预处理后的数据包；

25、分类模块，其被配置为：基于预处理后的数据包，采用已训练的融合模型，得到数据包分类结果；

26、融合模型训练模块，其被配置为：基于数据包包头，采用第一分类模型，得到数据包包头分类结果；基于数据包载荷，采用第二分类模型，得到数据包载荷分类结果；所述第一分类模型采用se-lstm模型，所述第二分类模型采用se-perceiver模型；根据数据包包头分类结果和数据包载荷分类结果，设计评价指标，量化第一分类模型和第二分类模型；将第一分类模型和第二分类模型进行融合，得到融合模型。

27、本发明的第三个方面提供一种计算机可读存储介质。

28、一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一个方面所述的基于包头与载荷分离的多模型融合的流量分类方法中的步骤。

29、本发明的第四个方面提供一种计算机设备。

30、一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述第一个方面所述的基于包头与载荷分离的多模型融合的流量分类方法中的步骤。

31、与现有技术相比，本发明的有益效果是：

32、本发明提出了一种基于包头与载荷分离的多模型融合的流量分类方法及系统，包括基于包头和基于载荷两个数据部分的流量分类方法，可以对普通流量，加密流量和恶意软件流量等做到在线实时检测和离线检测。使用不同的模型对数据进行特征提取，然后根据模型之间的相关度，对多模型进行融合，确保了分类性能的同时，增加了多模型融合的科学性。

33、本发明将数据包包头进行对齐，提出了按照协议字段进行数据的合并，减少了模型输入的维度，增加了可解释性。

34、本发明提出了一类评估指标，可以用于量化多模型之间的相关度，及数据不同部分或不同模态数据之间的用于分类的信息的相关度，可以作为多模型或多模态数据融合的评估指标。