一种基于增量学习的加密对抗攻击检测方法和系统与流程

本发明属于互联网和人工智能领域，尤其涉及一种基于增量学习的加密对抗攻击检测方法和系统。

背景技术：

1、随着互联网技术的快速发展和普及，网络流量的种类和数量呈现爆炸式增长。特别是加密流量的广泛应用，使得网络安全领域面临前所未有的挑战。加密流量通过加密协议保护用户隐私和数据安全，这使得传统基于明文的流量分类方法（如深度包检测）越来越不适用。同时，加密流量也为恶意行为者提供了掩护，增加了恶意流量检测和分类的难度。加密流量的隐私保护特性使得网络安全和流量管理面临新的挑战。

2、现有的加密流量分类方法主要依赖于统计特征和机器学习算法，通过分析加密流量的流量特征，如包的大小、包的时间间隔、流量方向等来实现分类。然而，随着加密技术的不断发展，传统的基于静态特征的分类方法逐渐失效，无法适应动态变化的网络环境。

3、现有技术及缺陷

4、目前，传统的加密流量分类方法主要依赖于特征提取和机器学习技术。这些方法通过分析流量的统计特征和行为模式来识别加密流量的类型。然而，随着加密技术的不断进步和恶意流量的日益复杂化，传统方法面临以下几个主要问题：

5、数据不平衡：在实际网络环境中，正常流量与恶意流量的比例严重失衡。正常流量通常占据绝大多数，而恶意流量仅占少部分。这种数据不平衡问题会影响分类器的性能，使其对少数类（即恶意流量）的识别能力降低。

6、模型更新困难：随着时间的推移和网络环境的变化，新类型的加密流量不断出现，现有的分类模型需要不断更新以保持其有效性。然而，传统的批量学习方法需要重新训练整个模型，耗时且计算资源消耗巨大。

技术实现思路

1、为解决上述技术问题，本发明提出一种基于增量学习的加密对抗攻击检测方法的技术方案，以解决上述技术问题。

2、本发明第一方面公开了一种基于增量学习的加密对抗攻击检测方法，所述方法包括：

3、步骤s1、利用cicflowmeter提取加密流量特征数据；基于vae模型和gan模型对所述加密流量特征进行数据增强，得到原训练集；

4、步骤s2、应用所述原训练集对svm进行初始训练，得到初始训练svm；

5、步骤s3、通过增量样本构建原模型保留集和新增样本保留集；应用所述原模型保留集和新增样本保留集训练所述初始训练svm，得到增量训练svm；

6、步骤s4、应用所述增量训练svm进行加密对抗攻击检测，并重复步骤s3。

7、根据本发明第一方面的方法，在所述步骤s1中，所述加密流量特征数据包括：

8、报文长度特征、报文数量特征、报文时间特征、标志位特征、拥塞窗口特征和流的持续时间和下载上传比例特征。

9、根据本发明第一方面的方法，在所述步骤s1中，所述基于vae模型和gan模型对所述加密流量特征进行数据增强，得到原训练集包括：

10、使用所述加密流量特征数据训练vae模型；

11、使用训练好的vae模型从潜在空间中采样，并通过解码器生成伪造的加密流量数据；

12、应用所述伪造的加密流量数据和加密流量特征数据训练gan模型；

13、结合训练好的vae和gan模型对所述加密流量特征进行数据增强，得到原训练集。

14、根据本发明第一方面的方法，在所述步骤s3中，所述通过增量样本构建原模型保留集包括：

15、通过分类准确率计算自适应学习率；

16、根据所述自适应学习率，计算原模型保留集的自适应阈值；

17、当增量样本中出现不满足kkt条件的样本时，根据所述原模型保留集的自适应阈值，构建原模型保留集。

18、根据本发明第一方面的方法，在所述步骤s3中，所述通过分类准确率计算自适应学习率包括：

19、如果本次的分类准确率比上一次的分类准确率高，则增加学习率，即；

20、如果本次的分类准确率比上一次的分类准确率低，则减小学习率，即；

21、其中，为本次的学习率；为上一次的学习率；为第一预设参数，且；为第二预设参数，且。

22、根据本发明第一方面的方法，在所述步骤s3中，所述根据所述自适应学习率，计算原模型保留集的自适应阈值包括：

23、

24、其中，为原模型保留集的自适应阈值；为本次的学习率；为原训练集中整理样本距离超平面几何距离在1/3位置处的值，为原训练集中正例样本距离超平面集合距离的最小值，为原训练集中负例样本距离超平面几何距离在2/3位置处的值，为原训练集中负例样本距离超平面集合距离的最大值。

25、根据本发明第一方面的方法，在所述步骤s3中，所述根据所述原模型保留集的自适应阈值，构建原模型保留集包括：

26、从原模型的非支持向量中保留距离超平面几何距离小于或等于原模型保留集的自适应阈值的样本，加入到原模型保留集中，构建原模型保留集；所述原模型为初始训练svm。

27、本发明第二方面公开了一种基于增量学习的加密对抗攻击检测系统，所述系统包括：

28、第一处理模块，被配置为，利用cicflowmeter提取加密流量特征数据；基于vae模型和gan模型对所述加密流量特征进行数据增强，得到原训练集；

29、第二处理模块，被配置为，应用所述原训练集对svm进行初始训练，得到初始训练svm；

30、第三处理模块，被配置为，通过增量样本构建原模型保留集和新增样本保留集；应用所述原模型保留集和新增样本保留集训练所述初始训练svm，得到增量训练svm；

31、第四处理模块，被配置为，应用所述增量训练svm进行加密对抗攻击检测，并重复第三处理模块。

32、本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本公开第一方面中任一项的一种基于增量学习的加密对抗攻击检测方法中的步骤。

33、本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本公开第一方面中任一项的一种基于增量学习的加密对抗攻击检测方法中的步骤。

34、综上，本发明提出的方案能够通过数据增强技术生成多样化的训练样本，缓解数据稀缺和数据不平衡问题。同时，采用增量学习策略，使得模型能够在新的加密流量出现时快速更新，无需重新训练整个模型，从而提高了分类效率和准确性。对于保障网络安全具有重要意义。这种方法不仅能够提高分类的准确性，还能在动态变化的网络环境中保持较高的适应性和鲁棒性。

1.一种基于增量学习的加密对抗攻击检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种基于增量学习的加密对抗攻击检测方法，其特征在于，在所述步骤s1中，所述加密流量特征数据包括：

3.根据权利要求1所述的一种基于增量学习的加密对抗攻击检测方法，其特征在于，在所述步骤s1中，所述基于vae模型和gan模型对所述加密流量特征进行数据增强，得到原训练集包括：

4.根据权利要求1所述的一种基于增量学习的加密对抗攻击检测方法，其特征在于，在所述步骤s3中，所述通过增量样本构建原模型保留集包括：

5.根据权利要求4所述的一种基于增量学习的加密对抗攻击检测方法，其特征在于，在所述步骤s3中，所述通过分类准确率计算自适应学习率包括：

6.根据权利要求4所述的一种基于增量学习的加密对抗攻击检测方法，其特征在于，在所述步骤s3中，所述根据所述自适应学习率，计算原模型保留集的自适应阈值包括：

7.根据权利要求4所述的一种基于增量学习的加密对抗攻击检测方法，其特征在于，在所述步骤s3中，所述根据所述原模型保留集的自适应阈值，构建原模型保留集包括：

8.一种用于基于增量学习的加密对抗攻击检测系统，其特征在于，所述系统包括：

9.一种电子设备，其特征在于，所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现权利要求1至7中任一项所述的一种基于增量学习的加密对抗攻击检测方法中的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现权利要求1至7中任一项所述的一种基于增量学习的加密对抗攻击检测方法中的步骤。