基于VGG神经网络的恶意流量检测方法、装置、设备及介质.pdf

《基于VGG神经网络的恶意流量检测方法、装置、设备及介质.pdf》由会员分享，可在线阅读，更多相关《基于VGG神经网络的恶意流量检测方法、装置、设备及介质.pdf（10页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010675031.2 (22)申请日 2020.07.14 (71)申请人 南方电网科学研究院有限责任公司 地址 510663 广东省广州市萝岗区科学城 科翔路11号J1栋3、 4、 5楼及J3栋3楼 (72)发明人 陈霖许爱东匡晓云杨祎巍 索思亮杜金燃徐培明洪超 (74)专利代理机构 北京集佳知识产权代理有限 公司 11227 代理人 郭帅 (51)Int.Cl. H04L 29/06(2006.01) G06N 3/04(2006.01) G06K 9/62(2006。

2、.01) G06K 9/46(2006.01) (54)发明名称 基于VGG神经网络的恶意流量检测方法、 装 置、 设备及介质 (57)摘要 本申请提供了基于VGG神经网络的恶意流量 检测方法、 装置、 设备及介质， 首先使用已经具有 标签的训练数据训练基于改进VGG网络的恶意流 量检测模型， 得到已训练的基于改进VGG网络的 恶意流量检测模型； 然后截取待检测流量数据的 前若干个字节作为流量特征数据， 将所述流量特 征数据映射为彩色图像数据； 最后将所述彩色图 像数据输入至基于改进VGG网络的恶意流量检测 模型中进行特征提取与分类识别， 得到恶意流量 检测结果。 本申请的技术方案能够实现对流。

3、量数 据特征的自动提取， 不仅能检测识别未经加密的 恶意流量， 还能检测识别经过加密的恶意流量； 并且本发明建立的恶意流量检测模型运行效率 高， 对恶意流量的检测结果更加准确。 权利要求书2页 说明书6页 附图1页 CN 111835769 A 2020.10.27 CN 111835769 A 1.基于VGG神经网络的恶意流量检测方法， 其特征在于， 包括： S1、 使用已经具有标签的训练数据训练基于改进VGG网络的恶意流量检测模型， 得到已 训练的基于改进VGG网络的恶意流量检测模型； S2、 截取网络中流量数据的前若干个字节作为流量特征数据， 将所述流量特征数据映 射为彩色图像数据； S。

4、3、 将所述彩色图像数据输入至基于改进VGG网络的恶意流量检测模型中进行特征提 取与分类识别， 得到恶意流量检测结果。 2.根据权利要求1所述的基于VGG神经网络的恶意流量检测方法， 其特征在于， 所述截 取网络中流量数据的前若干个字节作为流量特征数据， 包括： 截取网络中流量数据的前784个字节作为流量特征数据， 若文件小于784个字节， 则在 末尾用0 x00填充至784个字节。 3.根据权利要求1所述的基于VGG神经网络的恶意流量检测方法， 其特征在于， 所述将 所述流量特征数据映射为彩色图像数据， 包括： 将所述流量特征数据的每一个字节用一个像素表示， 将所述流量特征数据映射成大小 为。

5、2828的彩色图像数据。 4.根据权利要求1所述的基于VGG神经网络的恶意流量检测方法， 其特征在于， 所述基 于改进VGG网络的恶意流量检测模型的框架依次包括： 输入层、 第一卷积层、 第二卷积层、 第一池化层、 第三卷积层、 第四卷积层、 第二池化层、 全连接层、 softmax层、 输出层。 5.根据权利要求2所述的基于VGG神经网络的恶意流量检测方法， 其特征在于， 包括： 所述第一卷积层、 所述第二卷积层采用64个大小为33的卷积核进行卷积， 对输入的 图像数据进行特征提取， 得到局部特征图像； 所述第三卷积层、 所述第四卷积层采用128个大小为33的卷积核执行卷积操作， 对输 入的。

6、图像数据进行特征提取， 得到局部特征图像； 所述第一池化层、 所述第二池化层采用大小为22的池化核执行最大池化操作， 对输 入的局部特征图像进行降维， 得到降维后的局部特征图像。 6.根据权利要求2所述的基于VGG神经网络的恶意流量检测方法， 其特征在于， 包括： 所述全连接层整合所述降维后的局部特征图， 得到全局特征图像； 所述Softmax层根据所述全局特征图像生成n+1种标签的概率分布， 其中， n为恶意流量 的种类。 7.根据权利要求1所述的基于VGG神经网络的恶意流量检测方法， 其特征在于， 所述恶 意流量检测结果， 包括： 根据所述生成n+1种标签的概率分布中属于各标签的概率值大小。

7、， 确定输入的图像数 据所属标签。 8.基于VGG神经网络的恶意流量检测装置， 其特征在于， 包括： 模型建立模块， 用于使用已经具有标签的训练数据训练基于改进VGG网络的恶意流量 检测模型， 得到已训练的基于改进VGG网络的恶意流量检测模型； 数据获取模块， 用于获取待检测流量数据， 并截取待检测流量数据的前若干个字节作 为流量特征数据； 权利要求书 1/2 页 2 CN 111835769 A 2 数据预处理模块， 用于将所述流量特征数据映射为彩色图像数据； 流量检测模块， 用于将所述彩色图像数据输入至基于改进VGG网络的恶意流量检测模 型中进行特征提取与分类识别， 得到恶意流量检测结果。。

8、 9.基于VGG神经网络的恶意流量检测设备， 其特征在于， 包括： 存储器， 用于存储与上述任一项所述的基于VGG神经网络的恶意流量检测方法相对应 的计算机程序代码； 处理器， 用于执行所述计算机程序代码， 以实现如上述任一项所述的基于VGG神经网络 的恶意流量检测方法。 10.基于VGG神经网络的恶意流量检测介质， 其特征在于， 包括： 一种计算机可读存储介质， 用于保存计算机程序； 其中， 所述计算机程序被处理器执行 时实现前述公开的基于VGG神经网络的恶意流量检测方法。 权利要求书 2/2 页 3 CN 111835769 A 3 基于VGG神经网络的恶意流量检测方法、 装置、 设备及介。

9、质 技术领域 0001 本申请涉及流量检测技术领域， 特别涉及基于VGG神经网络的恶意流量检测方法、 装置、 设备及介质。 背景技术 0002 根据Distil Network发布的报告显示， 2017年机器流量占全网流量的42.20， 其 中恶意机器流量占21.80。 在网络安全领域， 恶意流量主要是指网络流量中的恶意部分， 其中包括网络攻击、 业务攻击、 恶意爬虫等发出的请求。 恶意流量绝大部分都由自动化程序 产生， 且通过未经许可的方式侵入、 干扰、 抓取他方的业务或数据。 0003 近年来， 学术界和业界针对恶意流量的检测技术有所提升， 现有技术主要为基于 规则的检测方法、 基于传统机。

10、器学习的检测方法。 现有的检测方法存在以下方面的问题： 一 方面， 大多基于传统机器学习的恶意流量检测需要人工提取特征， 因此特征工程存在工作 量较大的问题。 另一方面， 随着网络加密技术和黑客技术的不断发展， 恶意流量经过多种算 法加密后变得更难被侦测。 发明内容 0004 基于此， 本申请提供了基于VGG神经网络的恶意流量检测方法、 装置、 设备及介质， 能够自动提取特征， 实现对未加密与已加密恶的意流量进行检测识别， 提高对恶意流量的 检测能力。 0005 第一方面， 本申请提供了基于VGG神经网络的恶意流量检测方法， 包括： 0006 S1、 使用已经具有标签的训练数据训练基于改进VG。

11、G网络的恶意流量检测模型， 得 到已训练的基于改进VGG网络的恶意流量检测模型； 0007 S2、 截取待检测流量数据的前若干个字节作为流量特征数据， 将所述流量特征数 据映射为彩色图像数据； 0008 S3、 将所述彩色图像数据输入至基于改进VGG网络的恶意流量检测模型中进行特 征提取与分类识别， 得到恶意流量检测结果。 0009 优选地， 所述截取待测流量数据的前若干个字节作为流量特征数据， 包括： 0010 截取网络中流量数据的前784个字节作为流量特征数据， 若文件小于784个字节， 则在末尾用0 x00填充至784个字节。 0011 优选地， 所述将所述流量特征数据映射为彩色图像数据。

12、， 包括： 0012 将所述流量特征数据的每一个字节用一个像素表示， 将所述流量特征数据映射成 大小为2828的彩色图像数据。 0013 使用本发明的技术方案， 将截取待测流量数据的前784个字节作为流量特征数据 的每一个字节用一个像素表示， 将所述流量特征数据映射成大小为2828的彩色图像数 据， 不仅能提取未经加密的流量数据特征， 也能提取经过加密的流量数据特征， 从而对待检 测的流量进行检测识别。 说明书 1/6 页 4 CN 111835769 A 4 0014 优选地， 所述基于改进VGG网络的恶意流量检测模型的框架依次包括： 0015 输入层、 第一卷积层、 第二卷积层、 第一池化。

13、层、 第三卷积层、 第四卷积层、 第二池 化层、 全连接层、 softmax层、 输出层。 0016 因为本发明将截取的待检测的流量特征数据转化为彩色图像数据后得到的图形 大小相对较小， 所以本发明根据所述的恶意流量检测模型的输入特点对传统的基于卷积神 经网络的VGG网络进行改进， 提出基于改进VGG网络的恶意流量检测算法， 减少隐含层的数 量， 进一步减少了检测过程的计算量， 提高模型的运行效率。 0017 优选地， 所述第一卷积层、 所述第二卷积层采用64个大小为33的卷积核进行卷 积， 对输入的图像数据进行特征提取， 得到局部特征图像。 0018 优选地， 所述第三卷积层、 所述第四卷积。

14、层采用128个大小为33的卷积核执行卷 积操作， 对输入的图像数据进行特征提取， 得到局部特征图像。 0019 优选地， 所述第一池化层、 所述第二池化层采用大小为22的池化核执行最大池 化操作， 对所述局部特征图像进行降维， 得到降维后的局部特征图像。 0020 本发明基于改进VGG网络的恶意流量检测模型采用小卷积核的多层卷积结构与传 统的CNN大卷积核单层卷积的结构相比， 本发明的技术方案具有更多层的非线性函数， 因此 输出的判决函数更加具有判决性； 另外， 本发明具有更少的参数， 因此减少了检测过程的计 算量， 提高检测速度。 0021 优选地， 所述全连接层整合所述降维后的局部特征图，。

15、 得到全局特征图像。 0022 优选地， 所述Softmax层根据所述全局特征图像生成n+1种标签的概率分布， 其中， n为恶意流量的种类。 0023 优选地， 所述输出层输出恶意流量检测结果。 0024 优选地， 所述恶意流量检测结果， 包括： 0025 根据所述生成n+1种标签的概率分布中属于各标签的概率值大小， 确定输入的图 像数据所属标签。 0026 第二方面， 本申请提供了基于VGG神经网络的恶意流量检测装置， 包括： 0027 模型建立模块， 用于使用已经具有标签的训练数据训练基于改进VGG网络的恶意 流量检测模型， 得到已训练的基于改进VGG网络的恶意流量检测模型； 0028 数。

16、据获取模块， 用于获取待检测流量数据， 并截取待检测流量数据的前若干个字 节作为流量特征数据； 0029 数据预处理模块， 用于将所述流量特征数据映射为彩色图像数据； 0030 流量检测模块， 用于将所述彩色图像数据输入至基于改进VGG网络的恶意流量检 测模型中进行特征提取与分类识别， 得到恶意流量检测结果。 0031 第三方面， 本申请提供了基于VGG神经网络的恶意流量检测设备， 包括： 0032 存储器， 用于存储与上述任一项所述的基于VGG神经网络的恶意流量检测方法相 对应的计算机程序代码； 0033 处理器， 用于执行所述计算机程序代码， 以实现如上述任一项所述的基于VGG神经 网络的。

17、恶意流量检测方法。 0034 第四方面， 本申请提供了基于VGG神经网络的恶意流量检测介质， 包括： 0035 一种计算机可读存储介质， 用于保存计算机程序； 其中， 所述计算机程序被处理器 说明书 2/6 页 5 CN 111835769 A 5 执行时实现前述公开的基于VGG神经网络的恶意流量检测方法。 0036 可见， 本发明提供的基于VGG神经网络的恶意流量检测方法， 首先使用已经具有标 签的训练数据训练基于改进VGG网络的恶意流量检测模型， 得到已训练的基于改进VGG网络 的恶意流量检测模型； 然后截取待检测流量数据的前若干个字节作为流量特征数据， 将所 述流量特征数据映射为彩色图像。

18、数据； 最后将所述彩色图像数据输入至基于改进VGG网络 的恶意流量检测模型中进行特征提取与分类识别， 得到恶意流量检测结果。 0037 从以上技术方案可以看出， 对比现有技术， 本发明具有以下优点： 0038 一方面， 本发明通过截取待检测流量数据中能反映流量特征的前若干字节， 并将 所述流量特征数据映射为彩色图像数据， 作为基于改进VGG网络的恶意流量检测模型的输 入， 与现有技术相比， 本发明能实现特征的自动提取， 不仅能提取未经加密的流量数据特 征， 还能提取经过加密的流量数据特征， 从而对待检测的流量进行检测识别。 另一方面， 本 发明提供的基于改进VGG网络的恶意流量检测算法， 减少。

19、隐含层的数量， 进一步减少了检测 过程的计算量， 提高模型的运行效率； 本发明提供的基于改进VGG网络的恶意流量检测算法 采用小卷积核的多层卷积结构与传统的CNN大卷积核单层卷积的结构相比， 本发明的技术 方案具有更多层的非线性函数， 因此输出的判决函数更加具有判决性， 恶意流量检测结果 更加准确； 并且， 本发明具有更少的参数， 因此减少了检测过程的计算量， 提高检测速度。 0039 本发明还提供了基于VGG神经网络的恶意流量检测装置、 设备及介质， 具有如上一 种攻击团伙识别方法相同的有益效果。 附图说明 0040 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实施例或现 。

20、有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本 发明的实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据 提供的附图获得其他的附图。 0041 图1为本发明提供的基于VGG神经网络的恶意流量检测方法流程图； 0042 图2为本发明提供的基于VGG神经网络的恶意流量检测模型框架结构图； 0043 图3为本发明提供的基于VGG神经网络的恶意流量检测装置结构图。 具体实施方式 0044 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完 整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部的。

21、实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例， 都属于本发明保护的范围。 0045 具体地， 本发明提供了基于VGG神经网络的恶意流量检测方法， 请参考图1所示， 包 括： 0046 S1、 使用已经具有标签的训练数据训练基于改进VGG网络的恶意流量检测模型， 得 到已训练的基于改进VGG网络的恶意流量检测模型； 0047 S2、 截取待检测流量数据的前若干个字节作为流量特征数据， 将所述流量特征数 据映射为彩色图像数据； 说明书 3/6 页 6 CN 111835769 A 6 0048 S3、 将所述彩色图像数据输入至基于改进VG。

22、G网络的恶意流量检测模型中进行特 征提取与分类识别， 得到恶意流量检测结果。 0049 具体地， 在本实施例中， 所述截取待测流量数据的前若干个字节作为流量特征数 据， 包括： 截取网络中流量数据的前784个字节作为流量特征数据， 若文件小于784个字节， 则在末尾用0 x00填充至784个字节。 0050 具体地， 在本实施例中， 所述将所述流量特征数据映射为彩色图像数据， 包括： 将 所述流量特征数据的每一个字节用一个像素表示， 将所述流量特征数据映射成大小为28 28的彩色图像数据。 0051 使用本发明的技术方案， 将截取待测流量数据的前784个字节作为流量特征数据 的每一个字节用一个。

23、像素表示， 将所述流量特征数据映射成大小为2828的彩色图像数 据， 不仅能提取未经加密的流量数据特征， 也能提取经过加密的流量数据特征， 从而对待检 测的流量进行检测识别。 0052 具体地， 在本实施例中， 请参考图2所示， 所述基于改进VGG网络的恶意流量检测模 型的框架依次包括： 输入层、 第一卷积层、 第二卷积层、 第一池化层、 第三卷积层、 第四卷积 层、 第二池化层、 全连接层、 softmax层、 输出层。 0053 因为本发明将截取的待检测的流量特征数据转化为彩色图像数据后得到的图形 大小相对较小， 所以根据本发明所述的恶意流量检测模型的输入特点对传统的基于卷积神 经网络的V。

24、GG网络进行改进， 提出基于改进VGG网络的恶意流量检测算法， 减少隐含层的数 量， 进一步减少了检测过程的计算量， 提高模型的运行效率。 0054 具体地， 在本实施例中， 所述第一卷积层、 所述第二卷积层采用64个大小为33的 卷积核进行卷积， 对输入的图像数据进行特征提取， 得到局部特征图像。 0055 所述第三卷积层、 所述第四卷积层采用128个大小为33的卷积核执行卷积操作， 对输入的图像数据进行特征提取， 得到局部特征图像。 0056 所述第一池化层、 所述第二池化层采用大小为22的池化核执行最大池化操作， 对输入的局部特征图像进行降维， 得到降维后的局部特征图像。 0057 所述。

25、全连接层整合所述降维后的局部特征图， 得到全局特征图像。 0058 所述Softmax层根据所述全局特征图像生成n+1种标签的概率分布， 其中， n为恶意 流量的种类。 0059 所述输出层输出恶意流量检测结果。 0060 本发明基于改进VGG网络的恶意流量检测模型采用小卷积核的多层卷积结构与传 统的CNN大卷积核单层卷积的结构相比， 本发明的技术方案具有更多层的非线性函数， 因此 输出的判决函数更加具有判决性； 另外， 本发明具有更少的参数， 因此减少了检测过程的计 算量， 提高检测速度。 0061 具体地， 在本实施例中， 所述恶意流量检测结果， 包括： 0062 根据所述生成n+1种标签。

26、的概率分布中属于各标签的概率值大小， 确定输入的图 像数据所属标签。 0063 下面通过一示例来辅助说明本发明基于改进VGG网络的恶意流量检测的实施过 程： 0064 第一层： 输入层， 将一张大小为2828的彩色图像输入至基于改进VGG网络的恶意 说明书 4/6 页 7 CN 111835769 A 7 流量检测模型中。 0065 第二层： 第一卷积层， 输入为一张大小为2828的彩色图像， 采用64个大小为33 的卷积核进行卷积操作， 输出64张大小为2828的彩色局部特征图像。 0066 第三层： 第二卷积层， 输入为64张大小为2828的彩色图像， 采用64个大小为33 的卷积核进行卷。

27、积操作， 对输入的图像数据进行特征提取， 输出64张大小为2828的彩色 局部特征图像。 0067 第四层： 第一池化层， 输入为64张大小为2828的彩色图像， 采用64个大小为22 的池化核执行最大池化操作， 对所述彩色局部特征图像进行降维， 输出64张大小为1414 的降维后的彩色局部特征图像。 0068 第五层： 第三卷积层， 输入为64张大小为1414的降维后的彩色局部特征图像， 采 用128个大小为33的卷积核执行卷积操作， 对输入的降维后的彩色局部特征图像进行特 征提取， 输出128张大小为1414的彩色局部特征图像。 0069 第六层： 第四卷积层， 输入为128张大小为141。

28、4的彩色局部特征图像， 采用128个 大小为33的卷积核执行卷积操作， 对输入的彩色局部特征图像数据进行特征提取， 输出 128张大小为1414的彩色局部特征图像。 0070 第七层： 第二池化层， 输入为128张大小为1414的彩色局部特征图像， 采用128个 大小为22的池化核执行最大池化操作， 对所述局部特征图像进行降维， 输出128张大小为 77的降维后的彩色局部特征图像。 0071 第八层： 全连接层， 输入为128张大小为77的降维后的彩色局部特征图像， 对降 维后的彩色局部特征图像进行整合， 得到输出4096张大小为11的彩色全连接特征图像。 0072 第九层： softmax层。

29、， 根据输入的4096张大小为11的彩色全连接特征图像， 生成n +1种标签的概率分布， 其中， n为恶意流量的种类。 0073 第十层： 输出层， 输出恶意流量检测结果， 其中， 根据所述生成n+1种标签的概率分 布中属于各标签的概率值大小， 确定输入的图像数据所属标签， 得到所述恶意流量检测结 果。 0074 本发明实施例还提供了基于VGG神经网络的恶意流量检测装置， 请参考图3所示， 包括： 0075 模型建立模块11， 用于使用已经具有标签的训练数据训练基于改进VGG网络的恶 意流量检测模型， 得到已训练的基于改进VGG网络的恶意流量检测模型； 0076 数据获取模块12， 用于获取待。

30、检测流量数据， 并截取待检测流量数据的前若干个 字节作为流量特征数据； 0077 数据预处理模块13， 用于将所述流量特征数据映射为彩色图像数据； 0078 流量检测模块14， 用于将所述彩色图像数据输入至基于改进VGG网络的恶意流量 检测模型中进行特征提取与分类识别， 得到恶意流量检测结果。 0079 本发明实施例还提供了基于VGG神经网络的恶意流量检测设备， 包括： 0080 存储器， 用于存储与上述任一项所述的基于VGG神经网络的恶意流量检测方法相 对应的计算机程序代码； 0081 处理器， 用于执行所述计算机程序代码， 以实现如上述任一项所述的基于VGG神经 网络的恶意流量检测方法。 。

31、说明书 5/6 页 8 CN 111835769 A 8 0082 本发明实施例还提供了基于VGG神经网络的恶意流量检测介质， 包括： 0083 一种计算机可读存储介质， 用于保存计算机程序； 其中， 所述计算机程序被处理器 执行时实现前述公开的基于VGG神经网络的恶意流量检测方法。 0084 以上实施例仅用以说明本发明的技术方案， 而非对其限制； 尽管参照前述实施例 对本发明进行了详细的说明， 本领域的技术人员应当理解： 其依然可以对前述实施例所记 载的技术方案进行修改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并 不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。 说明书 6/6 页 9 CN 111835769 A 9 图1 图2 图3 说明书附图 1/1 页 10 CN 111835769 A 10 。