半监督学习在恶意软件流量检测中的应用.docx

半监督学习在恶意软件流量检测中的应用 摘要：恶意软件检测是保障网络安全、防止网络异常的关键技术之一。传统的恶意软件流量分类方法有基于端口、基于负载和基于统计的方法，但这些方法存在着规则依赖和特征提取问题。近年来，基于深度学习的恶意软件流量检测方法兴起，但这些方法需要大量人工标注的有标签网络流量样本。为了解决这个问题，本文提出了一种基于半监督学习与网络流量的恶意软件检测方法，利用少量有标签网络流量样本与大量无标签网络流量样本训练恶意软件检测模型。实验结果表明，所提出的方法在小样本流量环境中比一般的基于深度学习的恶意软件流量检测方法有更好的性能。 关键词：恶意软件检测、网络流量、半监督学习、迁移学习 一、恶意软件检测的重要性 恶意软件检测是保障网络安全、防止网络异常的关键技术之一。随着互联网的快速发展，各种应用也在激增，如网站、微博、视频、团购软件等，但也致使黑客攻击、数据泄露等网络安全问题显著增加。软件流量可以记录和反映网络运行状况，因此识别恶意软件流量并防止各种攻击事件的发生是非常重要的。 二、传统的恶意软件流量分类方法 传统的恶意软件流量分类方法有基于端口、基于负载和基于统计的方法。基于端口的方法是通过检查网络流量的端口号来判断是否为恶意软件流量。基于负载的方法是通过检查网络流量的有效负载来判断是否为恶意软件流量。基于统计的方法是通过计算网络流量的统计特征来判断是否为恶意软件流量。这些方法存在着规则依赖和特征提取问题，不能很好地适应恶意软件流量的检测。 三、基于深度学习的恶意软件流量检测方法 基于深度学习的恶意软件流量检测方法可以自动地从原始流量数据中提取特征，解决了传统方法的弊端。这些方法可以分为两个部分：基于卷积神经网络（CNN）和基于递归神经网络（RNN）的方法。基于CNN的方法可以自动地从流量数据中提取空间特征，而基于RNN的方法可以自动地从流量数据中提取时间特征。 四、半监督学习在恶意软件流量检测中的应用 半监督学习是监督学习和无监督学习的结合，由于监督学习的目标是尽可能保留数据的关键特征，而无监督学习的目标是尽可能保留数据的全部特征以还原数据，二者存在矛盾。因此，我们提出了一种基于半监督学习与网络流量的恶意软件检测方法，利用少量有标签网络流量样本与大量无标签网络流量样本训练恶意软件检测模型。实验结果表明，所提出的方法在小样本流量环境中比一般的基于深度学习的恶意软件流量检测方法有更好的性能。 五、实验结果 我们使用 USTC-TFC2016 数据集进行实验，该数据集由十种恶意软件流量和十种正常流量组成。实验结果表明，所提出的方法在小样本流量环境中比一般的基于深度学习的恶意软件流量检测方法有更好的性能。 六、结论 恶意软件检测是保障网络安全、防止网络异常的关键技术之一。基于半监督学习与网络流量的恶意软件检测方法可以解决基于深度学习的恶意软件流量检测方法需要大量人工标注的有标签网络流量样本的问题，并且可以获得更好的性能。因此，本文提出的一种基于半监督学习与网络流量的恶意软件检测方法是非常有价值的。