(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211084535.2 (22)申请日 2022.09.06 (71)申请人 浙江工业大 学 地址 310014 浙江省杭州市下城区潮王路 18号 (72)发明人 陈铁明　谢京希　朱添田　吕明琪　 路晓明　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 陈升华 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/04(2022.01) H04L 43/0876(2022.01) G06K 9/62(2022.01) (54)发明名称 一种基于元学习的小样本恶意网络流量检 测方法 (57)摘要 本发明公开了一种基于元学习的小样本恶 意网络流量检测方法， 包括如下步骤： (1)对网络 流量数据进行抓取， 并从中抽取网络流量特征， 最后构建预训练集。 (2)定义基础模型并随机初 始化模型参数， 然后基于预训练集、 采用元学习 技术训练元模型。 (3)利用目标任务中少量的网 络流量训练样本对元模型进行微调， 得到适应目 标任务的恶意流量检测模型。 该方法的优势在 于： (1)采用元学习技术在通用数据集上预训练 恶意网络流量检测模型， 大大提升了模型的泛化 能力和对不同场景的适应能力。 (2)采用微调技 术将预训练模 型在目标场景中进行适配， 大大减 少了目标场景中训练样本的需求 量。 权利要求书2页 说明书5页 附图1页 CN 115174272 A 2022.10.11 CN 115174272 A 1.一种基于元 学习的小样本恶意网络流 量检测方法， 其特 征在于， 包括如下步骤： (1) 对网络流 量数据进行抓取， 并从中抽取网络流 量特征， 最后构建预训练集；  (2) 采用多层感知机构建基础模型， 定义基础模型并随机初始化模型参数， 对初始化 后的基础模型进行 元学习技术训练， 得到元模型 Mmeta；  (3)对于小样本的目标任 务， 对元模型 Mmeta进行微调， 得到适应目标任务的恶 意流量检 测模型， 采用适应目标任务的恶意流量检测模型在小样本的目标任务中进 行恶意流量小样 本检测。 2.根据权利要求1所述的基于元学习的小样本恶意网络流量检测方法， 其特征在于， 步 骤(1)中， 对网络流 量数据进行抓取， 并从中抽取网络流 量特征， 具体包括： (1‑1‑1)采用网络流 量抓包工具抓取和形成网络流 量文件； (1‑1‑2)采用网络流量分析工具对网络流量文件进行解析和统计分析， 形成网络流量 特征， 网络流 量特征包括网络流 量类型。 3.根据权利要求1所述的基于元学习的小样本恶意网络流量检测方法， 其特征在于， 步 骤(1)中， 构建预训练集， 具体包括： 假定网络流量类型的数量为 N， 包括一种正常网络流量和 N‑1种恶意网络流量， 通过随 机构建子分类任务和挑选 子样本来构建多个训练集和 测试集。 4.根据权利要求3所述的基于元学习的小样本恶意网络流量检测方法， 其特征在于， 假 定网络流量类型的数量为 N， 包括一种正常网络流量和 N‑1种恶意网络流量， 通过 随机构建 子分类任务和挑选 子样本来构建多个训练集和 测试集， 具体包括： (1‑2‑1) 随机挑选 n个网络流量类型形成一个子分类任务 Ti， 所述的子分类任务 Ti必须 挑选正常网络流 量， 重复挑选 K次形成子分类任务 集TS = {T1, T2,  …Ti…, TK}； (1‑2‑2) 对每一个子分类任务 Ti， 为Ti包含的每种网络流量类型随机挑选 m个样本， 形 成Ti的训练集 ， 共包含n  ×  m个样本； (1‑2‑3) 对每一个子分类任务 Ti， 为Ti包含的每种网络流量类型再随机挑选 m΄个样本， 形成Ti的测试集 ， 共包含n  ×m΄个样本。 5.根据权利要求1所述的基于元学习的小样本恶意网络流量检测方法， 其特征在于， 步 骤(2)中， 定义基础 模型并随机初始 化模型参数， 对初始 化后的基础 模型进行元学习技术训 练， 得到元模型 Mmeta， 具体包括： (2‑2‑1) 随机初始化基础模型的参数， 记为 θ； (2‑2‑2) 从子分类任务 集TS中抽取k个子分类任务 RTS = {Ti1, Ti2,  …, Tik}； (2‑2‑3) 对RTS中每一个子分类任 务Tii， 采用Tii对应的训练集对基础模型 θ进行损失函 数计算， 并根据损失函数的梯度计算对 θ进行一次更新后的模型参数 θi， 更新方式为公式 (3)， 其中， α为学习率， 为Tii的预测函数， 为Tii的损失函数， 为 Tii的梯度， 最终得到更新后的模型参数集 PS = {θ1, θ2,  …, θk}； 权　利　要　求　书 1/2 页 2 CN 115174272 A 2(2‑2‑4) 对RTS中每一个子分类任 务Tii， 采用Tii对应的测试集对基础模型 θ进行实际训 练， 并基于 θi的梯度对θ进行更新， 更新方式为公式(4)， 其中， β为学习率， 为Tii 相对于θi的梯度， 进行 k次更新后， 完成了一轮的训练； (2‑2‑5) 返回步骤(2 ‑2‑2)重新开始训练迭代， 直到模型收敛或达到预定训练轮数， 得 到元模型 Mmeta。 6.根据权利要求1所述的基于元学习的小样本恶意网络流量检测方法， 其特征在于， 步 骤(3)中， 所述的小样本为5~50个样本。 7.根据权利要求1所述的基于元学习的小样本恶意网络流量检测方法， 其特征在于， 步 骤(3)中， 对于小样本的目标任务， 对元模型 Mmeta进行微调， 得到适应目标任务的恶意流量 检测模型， 具体包括： 将步骤(2)得到的元模型 Mmeta采集小样本的目标任务中的训练样本， 对模型进行再训 练， 得到适应目标任务的恶意 流量检测模型。权　利　要　求　书 2/2 页 3 CN 115174272 A 3