(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210905960.7 (22)申请日 2022.07.29 (71)申请人 江苏大学 地址 212013 江苏省镇江市京口区学府路 301号 (72)发明人 陈锦富　马亮　蔡赛华　殷上　 宋锣　 (74)专利代理 机构 南京智造力知识产权代理有 限公司 32382 专利代理师 胡德水 (51)Int.Cl. H04L 9/40(2022.01) H04L 47/2441(2022.01) H04L 47/2483(2022.01) G06K 9/62(2022.01)G06F 21/57(2013.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于多头自注意力机制的漏洞利用攻 击加密流 量分类方法 (57)摘要 本发明提供了一种基于多头自注意力机制 的漏洞利用攻击加密流量分类方法。 包括： 步骤 1： 将待分类的加密流量数据解析为json格式数 据， 并对解析数据进行过滤清理； 步骤2： 分析漏 洞利用攻击加密流量中元数据和TLS协议中的关 键特征， 提取出流量分类所需核心特征， 最终转 化为CSV格式文件； 步骤3： 将处理后的加密流量 数据按比例划分为训练集和测试集， 将恶意攻击 流量种类作为标签， 用训练集对多头自注意力机 制模型进行训练， 用测试集对模型进行评判， 再 对模型进行优化并获得最终漏洞利用攻击加密 流量分类模型； 步骤4： 按步骤1对待测加密流量 进行预处理， 接着按步骤2进行特征提取， 将提取 后的特征输入到训练好的分类模 型中， 得到最终 流量分类结果。 权利要求书2页 说明书7页 附图6页 CN 115277216 A 2022.11.01 CN 115277216 A 1.一种基于多头自注意力机制的漏洞利用攻击加密流量分类方法， 其特征在于， 包括 如下步骤： 步骤1， 将待分类的加密流量数据解析为json格式数据， 并对解析后的数据进行过滤清 理； 步骤2， 分析漏洞利用攻击加密流量中元数据和TLS协议中的关键特征， 提取出流量分 类所需的核心特 征， 最终转 化为CSV格式文件； 步骤3， 将处理后的加密流量数据按比例划分为训练集和测试集， 将恶意攻击流量种类 作为标签， 用训练集对多头自注意力机制网络模型进 行训练， 用测试集对模型进 行评判， 再 对模型进行优化并获得最终漏洞 利用攻击加密流 量分类模型； 步骤4， 按步骤1对待测加密流量进行预处理， 接着按步骤2进行特征提取， 将提取后的 特征输入到训练好的分类模型中， 得到最终流 量分类结果。 2.如权利要1所述的一种基于多头自注意力机制的漏洞利用攻击加密流量分类方法， 其特征在于， 所述 步骤1具体实现包括如下步骤： 步骤1.1将加密流 量数据集 解析为jso n格式数据； 步骤1.2清理和过滤解析后的流量数据， 将冗余流量数据删除， 只保留TLS加密的流量 数据； 步骤1.3打乱 原有流量数据的顺序， 用于提升模型 学习后的泛化能力。 3.如权利要求1所述方法， 其特 征在于， 所述 步骤2的具体实现包括如下步骤： 步骤2.1， TLS协议加密流量特征选取： 获取漏洞利用攻击加密流量与正常加密流量使 用TLS协议的参数和扩展信息的差异， 将TLS协议中的差异参数和差异扩展信息作为TLS协 议加密流 量的关键特 征进行提取； 步骤2.2， 元数据特征提取： 将流量数据中拥有的元数据特征， 例如IP地址、 端口、 出入 站字节等， 作为辅助特 征进行提取； 步骤2.3， 对提取 特征后的每条流 量数据标记标签， 即标注该流 量的实际类型。 4.如权利要求1所述方法， 其特 征在于， 所述 步骤3的具体实现包括如下步骤： 步骤3.1， 将处 理后的流 量数据按照8 :2的比例划分为训练集和 测试集； 步骤3.2， 构建基于多头自注意力MHSA机制的神经网络漏洞利用攻击加密流量分类模 型TLS‑MHSA， 将预处理后的流量数据输入到TLS ‑MHSA中， 模型包含输入层、 嵌入层、 多头自 注意力层和输出层； 首先， 将预处理后的网络流量特征向量x输入到输入层， 然后通过嵌入 层将所有特征都映射到相同的低 维空间并输出低 维向量； 接着， 将这些向量通过多头自注 意力机制映射到多个子空间中组合为不同的高阶特征； 通过多个多头自注意力 层的堆叠可 以获得多种高阶特征组合， 并通过注 意力机制进 行评判特征 组合的有效性； 最后， 将上层获 取的特征组合向量输入到全连接层， 并通过softmax函数输出分类结果； 步骤3.3， 使用步骤3.1中划分的训练集对分类模型进行训练， 使用对应的测试集进行 评判以及参数优化， 获得最终的漏洞 利用攻击加密流 量分类模型。 5.如权利 要求3所述方法， 其特征在于， 还包括将密码套件和TLS扩展及TLS扩展相关信 息作为特征进 行提取， 作为TLS协 议建立连接时的握手过程中重要一环， 同时保留了客户密 钥长度等TLS协议中非关键的参数信息作为辅助特 征。 6.如权利要求1所述方法， 其特征在于， 获取的高阶特征组合步骤如下， 假如为特征a，权　利　要　求　书 1/2 页 2 CN 115277216 A 2则有： (1)选取任意 其他特征b， 计算在注意力头 h下特征a和b相关性分数， 计算公式如下： 其中， S(h)为注意力打 分函数， 选择了常见的点积模型， 公式如下： 其中， 都属于变换矩阵， 它们所在的维度都是 d′ ×d， 也就是原始嵌入空间 Rd映射到新空间Rd′的变换矩阵， 可以分别 将流量特征xa和xb向量表示为ea和eb， 也就是将特 征向量从d维的空间变化到d ′维的空间； (2)通过系数 引导所有相关联的特征来更新特征a在 子空间h中的注意力权重， 也就 是每个特征表示成所有其 他相关特 征的加权和。 学习到的新的特 征可以表示 为如下公式： 其中， 的维度也是d ′ ×d， d′维空间的特征 是在子空间h下特征xa与其相关有 相关性特征交叉而得到的组合特征， 它代表了通过本发明方法学习到了一种新的组合特 征； (3)利用多头自注意力机制将自注意从一个头部拓展到了多个头部， 这样可以从不同 头部表示的子空间中学习到不相同的特征 交叉信息， 不同头部学习到的特征交叉结果可以 按照如下公 式串联在一起， 其中 符号代表串联的操作， H代表多头自注意力机制使用的头 数， 是在子空间i(i＝1,2, …,H)下特征xa与其相关有相关性特征交叉而得到的组合特 征， 特征交叉结果 的公式如下： 为了使得模型在学习到高阶流量特征的同时也能保留低阶的原始流量特征， 本发明也 将经典的残差网络加入到了多头自注意力层， 其中WRes是为了将ea的维度与 对齐， ReLU (t)＝max(0,t)是非线性激活函数， 公式如下： 输出层是由全连接层和softmax共同组成的分类器。 其 中， 全连接层会将输入的特征向 量通过线性变换， 映射到样本标记 空间Rc中， 获得向量z∈RC， 其中C是待分类的流量总类别 数。 接着使用的softmax分类函数进行分类， 获得最终分类结果。权　利　要　求　书 2/2 页 3 CN 115277216 A 3