本發(fā)明涉及一種面向邊緣智能網(wǎng)絡(luò)的小樣本惡意流量檢測(cè)方法、裝置及存儲(chǔ)介質(zhì)，其中方法包括：從已知物聯(lián)網(wǎng)網(wǎng)絡(luò)活動(dòng)中收集并標(biāo)記網(wǎng)絡(luò)流量；對(duì)網(wǎng)絡(luò)流量進(jìn)行預(yù)處理和特征提取，并劃分為選舉集和輔助集；構(gòu)建基于三重網(wǎng)絡(luò)的度量學(xué)習(xí)模型，模型的輸入為三元組，輸出為嵌入層中特征向量的歐式距離；基于選舉集和輔助集生成訓(xùn)練三元組；利用訓(xùn)練三元組，基于對(duì)比距離損失度量區(qū)分相似和不相似的樣本對(duì)，對(duì)度量學(xué)習(xí)模型進(jìn)行訓(xùn)練；將實(shí)時(shí)網(wǎng)絡(luò)流量樣本與惡意節(jié)點(diǎn)網(wǎng)絡(luò)流量支撐樣本對(duì)進(jìn)行組合生成檢測(cè)三元組，利用度量學(xué)習(xí)模型，實(shí)現(xiàn)未知惡意活動(dòng)網(wǎng)絡(luò)流量的檢測(cè)。與現(xiàn)有技術(shù)相比，本發(fā)明具有檢測(cè)準(zhǔn)確率高等優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及加密惡意流量檢測(cè)領(lǐng)域，尤其是涉及一種面向邊緣智能網(wǎng)絡(luò)的小樣本惡意流量檢測(cè)方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著邊緣智能網(wǎng)絡(luò)的發(fā)展，未來的網(wǎng)絡(luò)如物聯(lián)網(wǎng)和大規(guī)模機(jī)器類型通信(mMTC)可以獲得低延遲和高可靠性。然而，針對(duì)這些網(wǎng)絡(luò)的惡意軟件正在迅速出現(xiàn)。據(jù)報(bào)道，物聯(lián)網(wǎng)節(jié)點(diǎn)可被攻擊者控制，以執(zhí)行DDoS攻擊和洪水攻擊等惡意活動(dòng)。這些惡意節(jié)點(diǎn)會(huì)降低IoT網(wǎng)絡(luò)的QoS。近年來，人工智能(AI)發(fā)展迅速，使機(jī)器從歷史樣本中學(xué)習(xí)，從而對(duì)新樣本做出決策。最近，提出了許多人工智能方法來監(jiān)控物聯(lián)網(wǎng)節(jié)點(diǎn)活動(dòng)，檢測(cè)異常物聯(lián)網(wǎng)節(jié)點(diǎn)。所述人工智能方法主要基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法，而這些算法依賴于從物聯(lián)網(wǎng)網(wǎng)絡(luò)生成的足夠網(wǎng)絡(luò)流量樣本。這些模型的明顯缺點(diǎn)是，一旦網(wǎng)絡(luò)環(huán)境發(fā)生變化，如新節(jié)點(diǎn)進(jìn)入，新的惡意活動(dòng)出現(xiàn)，系統(tǒng)需要在收集足夠新鮮的訓(xùn)練數(shù)據(jù)的基礎(chǔ)上進(jìn)行更新。當(dāng)出現(xiàn)具有未知惡意活動(dòng)的惡意節(jié)點(diǎn)時(shí)，這些分類模型是無效的，這些節(jié)點(diǎn)需要收集足夠的樣本來重新訓(xùn)練，才能實(shí)現(xiàn)分類。

物聯(lián)網(wǎng)和自動(dòng)車輛等未來網(wǎng)絡(luò)的快速發(fā)展導(dǎo)致網(wǎng)絡(luò)流量的巨大增長(zhǎng)。因此，在科學(xué)研究中出現(xiàn)了智能回程和前程供應(yīng)。這些智能回程和前程網(wǎng)絡(luò)可以滿足未來網(wǎng)絡(luò)的高可靠性和低延遲要求。許多論文提出了新的解決方案，通過使用人工智能等技術(shù)，使回程和前程網(wǎng)絡(luò)更加智能化。及時(shí)檢測(cè)未來網(wǎng)絡(luò)中的惡意節(jié)點(diǎn)對(duì)于低延遲回程/前程網(wǎng)絡(luò)至關(guān)重要。然而，傳統(tǒng)的基于監(jiān)督學(xué)習(xí)的檢測(cè)模型需要大量的惡意訓(xùn)練樣本，而捕獲足夠的惡意樣本不能滿足智能回程/前程網(wǎng)絡(luò)對(duì)提高QoS的及時(shí)檢測(cè)的要求。

發(fā)明內(nèi)容

本發(fā)明的目的就是為了提供一種面向邊緣智能網(wǎng)絡(luò)的小樣本惡意流量檢測(cè)方法、裝置及存儲(chǔ)介質(zhì)，通過有限數(shù)量的網(wǎng)絡(luò)流量樣本檢測(cè)具有未知惡意活動(dòng)的惡意節(jié)點(diǎn)，提高物聯(lián)網(wǎng)回程/前程網(wǎng)絡(luò)的QoS。

本發(fā)明的目的可以通過以下技術(shù)方案來實(shí)現(xiàn)：

一種面向邊緣智能網(wǎng)絡(luò)的小樣本惡意流量檢測(cè)方法，包括以下步驟：

從已知物聯(lián)網(wǎng)網(wǎng)絡(luò)活動(dòng)中收集并標(biāo)記網(wǎng)絡(luò)流量，所述網(wǎng)絡(luò)流量包括良性節(jié)點(diǎn)的正常活動(dòng)網(wǎng)絡(luò)流量和惡意節(jié)點(diǎn)的惡意活動(dòng)網(wǎng)絡(luò)流量，所述標(biāo)記網(wǎng)絡(luò)流量將網(wǎng)絡(luò)流量標(biāo)記為正常類別和多種不同的惡意類別；

對(duì)網(wǎng)絡(luò)流量進(jìn)行預(yù)處理和特征提取，并劃分為選舉集和輔助集；

構(gòu)建基于三重網(wǎng)絡(luò)的度量學(xué)習(xí)模型，所述度量學(xué)習(xí)模型的輸入為三元組，輸出為嵌入層中特征向量的歐式距離，用于實(shí)現(xiàn)惡意流量檢測(cè)；

基于選舉集和輔助集生成訓(xùn)練三元組；

利用訓(xùn)練三元組，基于對(duì)比距離損失度量區(qū)分相似和不相似的樣本對(duì)，對(duì)度量學(xué)習(xí)模型進(jìn)行訓(xùn)練；

將實(shí)時(shí)網(wǎng)絡(luò)流量樣本與惡意節(jié)點(diǎn)網(wǎng)絡(luò)流量支撐樣本對(duì)進(jìn)行組合生成檢測(cè)三元組，利用訓(xùn)練完成的度量學(xué)習(xí)模型，實(shí)現(xiàn)未知惡意活動(dòng)網(wǎng)絡(luò)流量的檢測(cè)。

所述選舉集由隨機(jī)選取的數(shù)量相同的各個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)流量樣本構(gòu)成，輔助集由網(wǎng)絡(luò)流量中除選舉集的流量樣本之外的剩余流量樣本構(gòu)成。

所述基于選舉集和輔助集生成訓(xùn)練三元組具體為：從選舉集中選擇一個(gè)選舉樣本，從輔助集中隨機(jī)選擇一個(gè)正向樣本和一個(gè)負(fù)向樣本，生成訓(xùn)練三元組，其中，所述正向樣本的標(biāo)記與選舉樣本相同，負(fù)向樣本的標(biāo)記與選舉樣本不同。