本發明實施例提供了一種基于深度遷移學習的網絡流量識別方法及裝置，涉及網絡安全技術領域，可以識別新型網絡流量。本發明實施例的技術方案包括：從待識別網絡流量內提取前預設數量個數據包的報文信息和通信行為信息。然后計算待識別網絡流量的報文信息和通信行為信息與各個類簇的聚類中心之間的距離，每個類簇包括一種類別的網絡流量的報文信息和通信行為信息。在計算的距離中的最短距離小于預設距離時，獲得最短距離對應的類簇的目標類別。再將報文信息對應的報文二維數據矩陣和行為信息對應的行為二維數據矩陣輸入目標類別的網絡流量識別模型，確定待識別網絡流量是否為惡意流量。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種基于深度遷移學習的網絡流量識別方法及裝置。

背景技術

隨著第五代移動通信(5th generation mobile networks，5G)技術、物聯網、工業互聯網等新型網絡技術的快速發展以及應用場景的多樣化趨勢，網絡終端的形式更加多元化、數量呈現指數級增長。由惡意設備發起的遠程控制、信息竊取、拒絕服務等網絡攻擊一旦成功入侵網絡，將對網絡終端的用戶信息安全構成重大威脅，因此，網絡終端面臨的網絡安全風險日益凸顯。

當前絕大多數網絡攻擊需要通過網絡通信來達到其惡意目的，如果可以準確地識別出由網絡攻擊行為產生的網絡流量的協議類型，進而根據協議類型判斷網絡流量是否為網絡攻擊，則可以確定被攻擊的目標系統和設備，從而實施有效的應對措施。

然而現有的網絡監測分析手段比如端口識別、深度包檢測等，都需要預先利用帶分類標簽的樣本對分類網絡進行訓練，然而在新型網絡應用場景下，未知協議類型的新型網絡流量缺少帶分類標簽的樣本，進而無法檢測新型網絡流量是否為惡意流量。

發明內容

本發明實施例的目的在于提供一種基于深度遷移學習的網絡流量識別方法及裝置，以解決無法識別新型網絡流量的問題。具體技術方案如下：

第一方面，本發明實施例提供了一種基于深度遷移學習的網絡流量識別方法，所述方法包括：

從待識別網絡流量內提取前預設數量個數據包的報文信息和通信行為信息，所述待識別網絡流量包括會話建立階段產生的網絡流量和基于建立的會話傳輸的網絡流量；

計算所述待識別網絡流量的報文信息和通信行為信息與各個類簇的聚類中心之間的距離，每個類簇包括一種類別的網絡流量的報文信息和通信行為信息；

在計算的距離中的最短距離小于預設距離時，獲得所述最短距離對應的類簇的目標類別；

將所述報文信息對應的報文二維數據矩陣和所述行為信息對應的行為二維數據矩陣輸入所述目標類別的網絡流量識別模型，確定所述待識別網絡流量是否為惡意流量；

其中，所述目標類別的網絡流量識別模型為以與所述目標類別匹配的目標協議類型對應的預訓練模型為基礎，通過深度遷移學習方法構建的模型；所述目標協議類型對應的預訓練模型為：通過所述目標協議類型對應的訓練樣本集對深度學習模型進行訓練得到的模型；所述目標協議類型對應的訓練樣本集包括：所述目標協議類型的樣本網絡流量的樣本二維數據矩陣以及所述目標協議類型的樣本網絡流量對應的正常或惡意標簽，每個樣本網絡流量的樣本二維數據矩陣包括：分別基于該樣本網絡流量內前預設數量個數據包的報文信息和通信行為信息，構建的樣本報文二維數據矩陣和樣本行為二維數據矩陣。

可選的，在所述從待識別網絡流量內提取前預設數量個數據包的報文信息和通信行為信息之前，所述方法還包括：

獲得各已知協議類型的樣本信息集，每個已知協議類型的樣本信息集包括：該已知協議類型的樣本網絡流量內前預設數量個數據包的報文信息和通信行為信息；

以會話為單位對預先采集的未確定協議類型的網絡流量進行劃分，得到多個未識別網絡流量；

從每個未識別網絡流量內提取前預設數量個數據包的報文信息和通信行為信息；