(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115967504A(43)申请公布日2023.04.14(21)申请号202111173358.0G06N3/0455(2023.01)(22)申请日2021.10.08G06N3/084(2023.01)G06F40/284(2020.01)(71)申请人中兴通讯股份有限公司地址518057广东省深圳市南山区科技南路55号申请人北京邮电大学(72)发明人王继刚谷勇浩张晓青徐昊黄泽祺王翼翡田甜王静马苏安付鹏(74)专利代理机构北京康信知识产权代理有限责任公司11240专利代理师张秀英(51)Int.Cl.H04L9/40(2022.01)G06N3/0442(2023.01)权利要求书2页说明书10页附图3页(54)发明名称加密恶意流量检测方法、装置、存储介质及电子装置(57)摘要本申请实施例提供了一种加密恶意流量检测方法、装置、存储介质及电子装置，该方法包括：提取预定数量的训练样本的多种报文；分别对该预定数量的训练样本的多种报文提取不同的关键字段，并将提取的该关键字段构成该预定数量的词向量；采用多头注意力和BiLSTM的方式，根据该预定数量的词向量构建目标BiLSTM模型；根据该目标BiLSTM模型进行加密恶意流量检测，可以解决相关技术中恶意流量检测方法中，提取流量的前m个字节作为输入只是对流量字节的简单切片，无法学习到流量的准确语义，导致恶意加密流量检测效果不佳的问题，通过多头注意力的方式，提高关键字段的权重，并通过BiLSTM获取前向和后向的长距离依赖，实现更好的恶意加密流量检测效果。CN115967504ACN115967504A权利要求书1/2页1.一种加密恶意流量检测方法，其特征在于，包括：提取预定数量的训练样本的多种报文；分别对所述预定数量的训练样本的多种报文提取不同的关键字段，并将提取的所述关键字段构成所述预定数量的词向量；采用多头注意力Multi‑HeadAttention和双向长短期记忆网络BiLSTM的方式，根据所述预定数量的词向量构建目标BiLSTM模型；根据所述目标BiLSTM模型进行加密恶意流量检测。2.根据权利要求1所述的方法，其特征在于，采用多头注意力Multi‑HeadAttention和双向长短期记忆网络BiLSTM的方式，根据所述预定数量的词向量构建目标BiLSTM模型包括：通过BiLSTM模型的Multi‑HeadAttention层，对所述预定数量的词向量进行编码选择，得到所述预定数量的编码后的样本；将所述预定数量的编码后的样本输入到所述BiLSTM模型的BiLSTM层中，经过线性层与softmax层后，输出所述预定数量的预测结果y_pred；通过所述预定数量的预测结果y_pred与对应的标签y_label的交叉熵损失进行反向梯度传递，更新所述BiLSTM模型的神经元参数，得到训练好的所述目标BiLSTM模型。3.根据权利要求2所述的方法，其特征在于，通过BiLSTM模型的Multi‑HeadAttention层，对所述预定数量的词向量进行编码选择，得到编码后的样本包括：确定所述预定数量的词向量中的每个词向量的Query、Key以及Value：Query＝WQX；Key＝WKX；Value＝WVX，其中，X为所述词向量，WQ、WK、WV为所述BiLSTM模型的神经元参数，WQ、WK、WV是分别对应所述Query、所述Key以及所述Value的n*n矩阵，n为正整数；根据所述Query、所述Key以及所述Value从所述每个词向量提取多个信息；拼接所述多个信息得到所述每个词向量的注意力分布；确定所述每个词向量的注意力分布为所述每个词向量的编码后的样本。4.根据权利要求1所述的方法，其特征在于，提取预定数量的训练样本的多种报文包括：提取所述预定数量的训练样本的Client_Hello报文、Server_Hello报文以及Certificate报文。5.根据权利要求1所述的方法，其特征在于，在采用多头注意力Multi‑HeadAttention和双向长短期记忆网络BiLSTM的方式，根据所述预定数量的词向量构建目标BiLSTM模型之后，所述方法还包括：根据测试样本对所述目标BiLSTM模型进行测试，得到准确率Acc、召回率Rec、精确率Pre和F1分数。6.根据权利要求1至5中任一项所述的方法，其特征在于，将提取的所述关键字段构成所述预定数量的词向量包括：将提取的所述关键字段处理为字段长度相同的目标关键字段；将所述目标关键字段构成所述词向量。2CN115967504A权利要求书2/2页7.根据权利要求6所述的方法，其特征在于，在将提取的所述关键字段构成所述预定数量的词向量之后，所述方法还包括：根据预先设置的报文与长度的对应关系