自监督学习驱动的注意力增强恶意流量检测方法

现有的基于深度学习的恶意流量检测方法普遍面临3个主要问题：标记样本稀缺、恶意行为流量特征表示不够充分、行为关联模式整合效率低导致检测误报率高。针对以上问题,提出一种端到端的注意力增强恶意流量检测（malicious traffic detection with enhanced attention, MTAttention）方法。该方法首先对网络行为流量的异构头部特征和有效载荷实施统一编码,通过结构化的多包序列流量表示,形成数据包级别的标准化流和会话表示;其次,基于MAE（masked auto-encoder）模型采用自监督的掩码预训练策略,利用视觉Transformer提取丰富的流量特征表示。通过选择性地关注输入数据包序列中不同部分的空间和变量间的依赖关系,学习通用流量表示,将编码器模型的权重参数用于下游任务初始化,以加速模型训练的收敛过程;最后,引入基于通道注意力的数据包序列特征融合策略,利用多维注意力机制和有标签数据对模型权重进行微调以适应流量识别和分类任务,在分类决策前增强高权重特征的整合能力,进一步提高模型检测精确度。实验采用CIC-IDS2017数据集,结果表明,在恶意流量识别和细粒度分类场景下,MTAttention方法的精确度平均可达98.7%,推理速度高于每秒1 590个样本。与基于MAE范式的改进方法Flow-MAE相比,MTAttention在保持高精度的同时,仅需1.56%的参数量和63.89%的内存开销,推理速度平均提升约一倍,且模型大小仅为5.17 MB。