针对现实网络中僵尸网络流量占比远小于正常网络流量,新出现的僵尸网络类型缺乏标记样本,以及传统深度学习依赖大量标记数据的问题,提出了基于元学习的僵尸网络检测模型,用于小样本场景下的僵尸网络检测。该模型分为特征提取模块和比较模块两个部分,都由CNN实现。特征提取模块从一对网络流量中学习流量特征,包含正常流量和僵尸网络流量,并引入非局部注意力机制,用来捕获长距离依赖关系,提高模型的准确率;比较模块用于获取这对网络流量特征图的相似度得分,进而判断两者是否为同一类型的样本。通过学习一定数量的小样本僵尸网络检测任务,使模型获得足够的先验知识,以便能通过极少量的标记样本实现对未知僵尸网络类型的检测。实验结果表明,1-shot设定下的小样本僵尸网络检测平均准确率达到96.79%,5-shot设定下的小样本僵尸网络检测平均准确率达到98.06%,验证了模型的有效性。

• 单位
  成都信息工程大学