文献类型：期刊文章

作　　者：谷勇浩[1,2] 徐昊[1] 张晓青[1]

GU Yong-Hao;XU Hao;ZHANG Xiao-Qing(Beijing Key Laboratory of Intelligent Telecommunications Software and Multimedia,School of Computer Science,Beijing University of Posts and Telecommunications,Beijing 100876;Guangdong Provincial Key Laboratory of Information Security Technology,Sun Yat-sen University,Guangzhou 510275)

机构地区：[1]北京邮电大学计算机学院智能通信软件与多媒体北京市重点实验室,北京100876 [2]中山大学广东省信息安全技术重点实验室,广州510275

出　　处：《计算机学报》

基　　金：北京邮电大学中央高校基本科研业务费行动计划项目(2021XD-A11-1);CCF-蚂蚁科研基金(20210026);广东省信息安全技术重点实验室开放基金(2020B1212060078)资助。

年　　份：2023

卷　　号：46

期　　号：9

起止页码：1888-1899

语　　种：中文

收录情况：BDHX、BDHX2020、CAS、CSCD、CSCD2023_2024、EAPJ、EI、IC、JST、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：现有加密恶意流量检测方法中,基于统计特征的方法存在特征提取依赖专家经验和特征之间相互独立的问题,基于原始输入的机器学习和深度学习方法存在信息不全、随机字段、单一粒度的问题,对加密流量交互行为的语义表征不足.为解决上述问题,本文提出一种基于多粒度表征学习的加密恶意流量检测方法MGREL(MultiGranularity REpresentation Learning).该方法将加密会话分为字段级和包级两个粒度分别处理.在字段级粒度中,基于词向量进行局部行为建模,提取握手报文并选取关键字段,缓解信息不全导致的语义缺失问题,将字段的字节值表示为词向量,同时增加报文类型与握手类型作为位置前缀,解决位置语义缺失的问题,采用Multi-head Attention计算字段间的交互,再通过Bi LSTM得到报文级语义;在包级粒度中,基于时空进行全局行为建模,提取包的时空状态信息并采用LSTM模型得到流级语义.将两个粒度下得到的局部行为语义和全局行为语义融合,得到加密流量的表征,解决单一粒度表征能力不足的问题.最后,通过对比实验验证本文所提方法MGREL在检测加密恶意流量方面表现最好.

关 键 词：加密恶意流量检测  多粒度表征学习  局部行为  全局行为  位置语义  

分 类 号：TP309]