1.一種基于知識蒸餾的挖礦流量早期檢測方法,其特征在于,包括以下步驟:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟s101具體為:
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟s102具體為:
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟s103具體為:
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟s104具體為:
6.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述步驟s201:收集挖礦流量,包括明文挖礦流量和加密挖礦流量,明文挖礦流量的有效載荷信息未加密,可被直接讀取用于檢測,而所述加密挖礦流量則經(jīng)過tls或ssl協(xié)議加密,有效載荷信息不可被直接讀取。
7.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述步驟s203:預(yù)處理數(shù)據(jù)包級別的基礎(chǔ)特征,選擇適合流量檢測任務(wù)的部分基礎(chǔ)特征,在流量數(shù)據(jù)集d1中,剔除數(shù)據(jù)包原始信息中的mac地址、ip地址、端口、序列號、確認號等不適用特征,提取剩余的數(shù)據(jù)包基礎(chǔ)特征,構(gòu)建流量基礎(chǔ)特征數(shù)據(jù)集d2。
8.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述步驟s501:被劃分成流按順序排列的流量數(shù)據(jù)包被認為是時間序列數(shù)據(jù)的一種特例,lstm或gru能夠有效捕捉挖礦流量的時序特征,利用最優(yōu)流早期特征數(shù)據(jù)集d3預(yù)訓(xùn)練基線模型,并選擇合適的時序模型和卷積神經(jīng)網(wǎng)絡(luò)分別作為教師模型和學(xué)生模型。
9.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述步驟s502:卷積神經(jīng)網(wǎng)絡(luò)中的特征圖和時序模型的輸出特征可分別可以用批處理大小(b)、通道數(shù)(c)、高度(h)、寬度(w)表示為:
10.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述步驟s503:訓(xùn)練產(chǎn)生的主損失函數(shù)是由cnn完成檢測分類任務(wù)產(chǎn)生,訓(xùn)練中獲取它的時序輸出用于指導(dǎo)任務(wù),用lcls表示cnn在進行檢測分類任務(wù)時自主學(xué)習(xí)局部特征產(chǎn)生的交叉熵損失函數(shù),即主損失函數(shù),將經(jīng)過提取的局部信息特征與全局信息特征間的差異加入主損失函數(shù)中,使得cnn在更新參數(shù)中學(xué)習(xí)到數(shù)據(jù)的時序特征,訓(xùn)練中的最終損失函數(shù)由cnn的主損失函數(shù)和指導(dǎo)函數(shù)兩個部分組成: