CN115314239A

CN115314239A - 基于多模型融合的隐匿恶意行为的分析方法和相关设备

Info

Publication number: CN115314239A
Application number: CN202210708183.7A
Authority: CN
Inventors: 刘西广; 周岐文; 申永利; 邓敦毅; 朱良军; 贾润枝; 崔华义; 王士龙
Original assignee: SHANDONG HIGHWAY ENGINEERING TECHNOLOGY RESEARCH CENTER CO LTD; Tianjin Haidel Technology Co ltd; China National Chemical Communications Construction Group Coltd
Current assignee: SHANDONG HIGHWAY ENGINEERING TECHNOLOGY RESEARCH CENTER CO LTD; Tianjin Haidel Technology Co ltd; China National Chemical Communications Construction Group Coltd
Priority date: 2022-06-21
Filing date: 2022-06-21
Publication date: 2022-11-08

Abstract

本申请提供一种多模型融合的隐匿恶意行为的分析方法和相关设备，包括：获取加密流量数据，并对所述加密流量数据进行预处理；将经过预处理的所述加密流量数据输入到经过预训练的融合分析模型中，经由所述融合分析模型输出分析结果数据；响应于确定所述分析结果数据小于预设阈值，则所述加密流量数据为隐匿恶意行为流量数据；响应于确定所述分析结果数据大于等于所述预设阈值，则所述加密流量数据为正常流量数据。本申请通过构建融合分析模型充分提取特征，显著提高了对隐匿恶意行为的检测精度。

Description

基于多模型融合的隐匿恶意行为的分析方法和相关设备

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于多模型融合的隐匿恶意行为的分析方法和相关设备。

背景技术

在通信过程中，常采用各种加密技术对信息加密以保护信息内容，加密技术在保护隐私的同时也给网络安全带来了隐患，网络攻击者利用加密技术隐匿恶意行为，避开网络检测***检测，实施网络攻击，影响信息安全。

目前加密流量识别方法主要包括六类：基于负载随机性检测的方法、基于有效负载的分类方法、基于数据包分布的分类方法、基于深度学习的分类方法、基于主机行为的分类方法，以及多种策略相结合的混合方法；其中，基于深度学习的分类方法是主流的加密流量识别方法，目前常用的深度学习方法包括深度置信网络DBN、卷积神经网络CNN、深度自编码器AE和循环神经网络RNN等已广泛应用于加密流量分析中，但使用单一模型进行加密流量识别存在特征学习不充分的问题，影响了检测精度。

发明内容

有鉴于此，本申请的目的在于提出一种基于多模型融合的隐匿恶意行为的分析方法和相关设备，利用多种深度学习模型充分提取特征，提高检测精度。

基于上述目的，本申请提供了一种基于多模型融合的隐匿恶意行为的分析方法，包括：

获取加密流量数据，并对所述加密流量数据进行预处理；

将经过预处理的所述加密流量数据输入到经过预训练的融合分析模型中，经由所述融合分析模型输出分析结果数据；

响应于确定所述分析结果数据小于预设阈值，则所述加密流量数据为隐匿恶意行为流量数据；

响应于确定所述分析结果数据大于等于所述预设阈值，则所述加密流量数据为正常流量数据。

基于同一发明构思，本申请还提供一种基于多模型融合的隐匿恶意行为的分析装置，包括：

数据处理模块，被配置为：获取加密流量数据，并对所述加密流量数据进行预处理；

数据分析模块，被配置为：将经过预处理的所述加密流量数据输入到经过预训练的融合分析模型中，经由所述融合分析模型输出分析结果数据；

数据判定模块，被配置为：响应于确定所述分析结果数据小于预设阈值，则所述加密流量数据为隐匿恶意行为流量数据；响应于确定所述分析结果数据大于等于所述预设阈值，则所述加密流量数据为正常流量数据。

基于同一发明构思，本申请还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器在执行所述计算机程序时实现如上所述的方法。

基于同一发明构思，本申请还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如上所述的方法。

从上面所述可以看出，本申请提供的基于多模型融合的隐匿恶意行为的分析方法和相关设备，将获取的加密流量数据预处理后输入到预训练的融合分析模型中，得到分析结果数据，通过比较分析结果数据和预设阈值，来判定加密流量数据中是否存在隐匿恶意行为；融合分析模型比单一深度学习构建的检测模型对数据的特征识别更加全面，适用的数据类型更加广泛，从而提高了对加密流量数据的检测精度。

附图说明

为了更清楚地说明本申请或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例的隐匿恶意行为的分析方法的流程图；

图2为本申请实施例的数据预处理的流程图；

图3为本申请实施例的MLP模型结构示意图；

图4为本申请实施例的1D-CNN模型结构示意图；

图5为本申请实施例的LSTM模型结构示意图；

图6为本申请实施例的融合分析模型预训练的流程图；

图7为本申请实施例的隐匿恶意行为的分析装置的结构图；

图8为本申请实施例的电子设备结构图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本申请进一步详细说明。

需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

由背景技术可知，目前加密流量数据中的隐匿恶意行为的检测主要为基于单一深度学习模型的分类方法，单一深度学习模型进行特征学习时，只会对一部分特征进行学习，依据学习的部分特征进行隐匿恶意行为的判定，检测过程中可能出现因模型无法对某一类特征进行学习造成误判，影响检测精度。

为解决相关技术中对加密流量数据中隐匿恶意行为检测中存在的问题，本申请基于多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络等多种深度学习模型融合构建融合分析模型进行特征学习，输出分析结果数据，通过分析结果数据与预设阈值的比较来判定加密流量数据中是否存在隐匿恶意行为，减少因单一深度学习模型特征学习不充分造成的误判，提高检测精度。

以下结合附图来详细说明本申请的实施例。

本申请提供了一种基于多模型融合的隐匿恶意行为的分析方法，参考图1，包括以下步骤：

步骤S100:获取加密流量数据，并对加密流量数据进行预处理；

从接收到的信息中筛选出加密流量数据，将加密流量数据输入到融合分析模型前，需要对加密流量数据分割后将可能影响检测精度或检测速度的无关数据进行剔除，将剔除无关数据后的加密流量数据统一为预设的数据长度并转化为融合分析模型可识别的数据格式。

步骤S200：将经过预处理的加密流量数据输入到经过预训练的融合分析模型中，经由融合分析模型输出分析结果数据；

经过预处理的加密流量数据输入到预训练的融合分析模型后，融合分析模型中包含的多个深度学习模型会分别对经过预处理的加密流量数据进行特征学习，输出各自的识别结果数据，结果数据依据融合分析模型内设的加权公式计算得到分析结果数据。

步骤S300:响应于确定分析结果数据小于预设阈值，则加密流量数据为隐匿恶意行为流量数据；

分析结果数据是加密流量数据为正常流量数据的概率，当分析结果数据小于预设阈值时，说明加密流量数据中包含隐匿恶意行为，此加密流量数据为隐匿恶意行为数据，其中预设阈值是根据实际情况提前设定的。

步骤S400：响应于确定分析结果数据大于等于预设阈值，则加密流量数据为正常流量数据。

如前所述，分析结果数据是加密流量数据为正常流量数据的概率，当分析结果数据大于等于预设阈值时，说明加密流量数据中不包含隐匿恶意行为，此加密流量数据为正常流量数据。

作为一个可选的实施例，参考图2，对前述实施例中步骤S100中的对加密流量数据预处理具体包括：

步骤S110：对加密流量数据进行流量拆分；

获取的加密流量数据如果过大，处理速度将很慢甚至出现不响应的情况，为规避此类事件，获取加密流量数据后首先将加密流量数据拆分为若干个小文件并保存。

步骤S120：对经过流量拆分的加密流量数据进行数据清洗；

拆分后的加密流量数据中可能包含影响检测精度的干扰数据，如ARP数据包、没有负载的TCP数据包以及TCP和UDP数据中的IP信息和端口信息等，需将此类数据从经过流量拆分的加密流量数据中剔除出去，提高检测精度。

步骤S130：对经过数据清洗的加密流量数据进行流量优化以去除冗余数据；

经过数据清洗的加密流量数据中可能存在空文件或重复文件，此类冗余数据会降低检测的速度，空文件需从数据中全部剔除，重复文件仅保留一个，提高检测速度。

步骤S140：对经过流量优化的加密流量数据长度进行统一，并转换为预定数据格式。

检测过程中需控制单一变量，避免无关因素对检测结果可能的影响，将数据长度全部统一为固定长度，其中，可将相同数据按照不同字节长度截取组成多个对照组分别输入到经过预训练的融合分析模型中，以准确度最高的一个对照组对应的字节长度作为统一的固定长度，统一长度过程是指对数据长度超过固定长度的部分的进行截断处理，以及对数据长度少于固定长度的进行末尾填充处理；融合分析模型中包含多个深度学习模型，长度统一后的加密流量数据应能输入到多个深度学习模型中进行特征学习，所以数据格式应统一为模型可识别的数据格式，例如IDX格式。

作为一个可选的实施例，参考图3、图4和图5，融合分析模型至少包括多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络；多层感知器MLP至少包括输入层、隐藏层、Dropout层和输出层，一维卷积神经网络1D-CNN至少包括卷积层、池化层、Batchnorm层、平铺层、Dropout层和全连接层，长短期记忆LSTM网络至少包括LSTM层，Dropout层和全连接层。

示例性的，多层感知器MLP可如图3所示，经过预处理的数据首先进入融合分析模型的嵌入层进行编码，将预处理的数据转化为向量形式，再输入到输入层中，输入层需要对向量进行展平，其中展平指将多维的输入一维化，此处的输入层可等效为一个平铺层，展平后的数据会进入到隐藏层中进行特征的学习，隐藏层后都有一层Dropout层，Dropout层会对前一层的隐藏层中的神经网络单元进行随机丢弃，避免过拟合的发生，其中过拟合指训练过程中从无关数据中获取了信息并表达在模型结构的参数中。隐藏层和Dropout层均有多层，层数越多，学习的特征越多，同时耗费的时间越多，检测性能也不会随之线性上升，其中检测性能的主要指标包括准确率，精确度和召回率，召回率为预测正样本数与实际正样本数的比值，所以实际应用过程可根据实际使用情况选择合适的隐藏层和Dropout层的层数，模型最后一层为输出层，负责输出结果数据。

一维卷积神经网络1D-CNN可如图4所示，经过预处理的数据首先进入融合分析模型的嵌入层进行编码，将预处理的数据转化为向量形式，再输入到卷积层进行特征的学***铺层展平后输入到全连接层进行分类计算，再输入到Dropout层对前一层的全连接层中的神经网络单元进行随机丢弃，最后输入到全连接层输出结果数据。

长短期记忆LSTM网络可如图5所示，经过预处理的数据进入融合分析模型的嵌入层进行编码，将预处理的数据转化为向量形式，再输入到LSTM层进行特征学习，LSTM层后都有一层Dropout层，LSTM层与Dropout层的层数与检测性能指标间的关系可由试验测试获得，结果数据由全连接层输出。

作为一个可选的实施例，将经过预处理的所述加密流量数据输入到经过预训练的融合分析模型中，经由融合分析模型输出分析结果数据，包括：将加密流量数据分别输入至多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络，经由多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络输出各自的结果数据；基于全部结果数据进行计算得到分析结果数据。

加密流量数据分别输入到多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络后进行特征学习并进行DNS(Domain Name System，域名***)隐蔽隧道检测，检测结果若为正常流量数据，输出层或全连接层输出的结果数据为1，若加密流量数据中含有隐匿恶意行为，输出层或全连接层输出的结果数据为0，其中DNS隐蔽隧道检测是指检测深度学习模型学习的特征中的DNS行为特征的指标是否超出正常界限，DNS行为特征包括每分钟最多请求数、单个域的最大请求数、已解析IP地址的不同城市数量等。多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络被分配有不同的权重，各深度学习模型的结果数据与其权重的乘积相加即可获得分析结果数据。

作为一个可选的实施例，参考图6，对前述实施例中S200融合分析模型的预训练具体包括：

步骤S210：构建初始训练集；

对模型进行训练需要搜集足够多的数据，数据的搜集可人工搜集或直接选取合适的网络安全数据集，并对搜集的数据设置标签进行标注，将正常流量标签设置为1，恶意流量标签设置为0，所有已标注的数据共同构成初始训练集，选取的正常流量与异常流量的数据量的比值应保持在合理范围内，以优化训练效果。

步骤S220：对初始训练集进行预处理；

对初始数据集中的数据进行流量拆分，数据清洗、流量优化和数据长度统一，并转换为融合分析模型可识别的数据格式，通过对初始训练集中数据的预处理可提高检测的准确度并提高检测速度。

步骤S230：对经过预处理的初始训练集划分为训练集、验证集和测试集；

依据初始训练集中的数据量对训练集与验证集的比例进行划分，若数据量较小，一般训练集、验证集和测试集的比例可选择6:2：2，若数据量大，可适当提高训练集占比。

步骤S240：通过训练集对融合分析模型进行预训练，并通过验证集对融合分析模型进行验证，通过测试集对融合分析模型进行测试；

首先将训练集输入到融合分析模型中进行训练，依据训练过程的准确度和损失值进行训练效果的判定，其中损失值是一个比较直接的评价模型在训练集上拟合程度的指标，若训练效果达不到训练要求，则调整超参数后继续进行训练，可调整的超参数包括卷积核的维度、Dropout层的丢弃率等，若训练效果好则通过验证集对融合分析模型进行验证，验证效果好则保存模型，效果不好则调整超参数重新训练，完成所有轮次训练后，使用测试集模拟真实环境数据对模型进行校验。

步骤S250：响应于融合分析模型达到预设训练截止条件，完成预训练。

预设训练截止条件包含正常截止条件和提前截止条件，正常截止条件包括达到预设的训练轮次，当训练集损失值不断下降，验证集损失值趋于不变时代表模型出现过拟合则会触发提前截止条件，减少时间和算力的浪费。

作为一个可选的实施例，参考公式(1)，基于全部结果数据进行计算得到分析结果数据，所述分析结果数据为：

p＝{p_MLP×w₁+p_1D-CNN×w₂+p_LSTM×w₃} (1)

其中，p表示分析结果数据，p_MLP、p_1D-CNN和p_LSTM分别表示MLP、1D-CNN和LSTM输出的结果数据，w₁、w₂和w₃分别表示MLP、1D-CNN和LSTM的权重。

分析结果数据为加密流量数据为正常流量数据的概率，与预设阈值比较可判定加密流量数据中是否存在隐匿恶意行为。

作为一个可选的实施例，参考公式(2)，权重的计算公式为：

其中，i代表第i个模型，w_i代表第i个模型的权重，v_i代表第i个模型在测试集上的准确度，n代表模型总数，f(v_i)＝v_i ^α，α为一个大于1的常数。

权重是多模型融合的重要指标，为了提高融合后的融合分析模型的准确度，我们在公式(2)中引入了f(v_i)＝v_i ^α，并且令α大于1，这样就提高了准确度高的模型占融合分析模型的权重，从而提高融合分析模型的准确度。

需要说明的是，本申请实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种基于多模型融合的隐匿恶意行为分析装置。

参考图7，所述基于多模型融合的隐匿恶意行为分析装置，包括：

数据处理模块11，被配置为：获取加密流量数据，并对加密流量数据进行预处理；

数据分析模块12，被配置为：将经过预处理的加密流量数据输入到经过预训练的融合分析模型中，经由融合分析模型输出分析结果数据；

数据判定模块13，被配置为：响应于确定分析结果数据小于预设阈值，则加密流量数据为隐匿恶意行为流量数据；响应于确定分析结果数据大于等于预设阈值，则加密流量数据为正常流量数据。

作为一个可选的实施例，所述数据处理模块11，还被配置为：

对所述加密流量数据进行流量拆分；

对经过流量拆分的所述加密流量数据进行数据清洗；

对经过数据清洗的所述加密流量数据进行流量优化以去除冗余数据；

对经过流量优化的所述加密流量数据的长度进行统一，并转换为预定数据格式。

作为一个可选的实施例，所述数据分析模块12，还被配置为：

将加密流量数据分别输入至多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络，经由多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络输出各自的结果数据；

基于全部所述结果数据进行计算得到所述分析结果数据。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述任一实施例中相应的基于多模型融合的隐匿恶意行为的分析方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的基于多模型融合的隐匿恶意行为的分析方法。

图8示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作***和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述任一实施例中相应的基于多模型融合的隐匿恶意行为的分析方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本申请还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的基于多模型融合的隐匿恶意行为的分析方法。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的基于多模型融合的隐匿恶意行为的分析方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本申请的范围(包括权利要求)被限于这些例子；在本申请的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本申请实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本申请实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本申请实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本申请的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本申请的具体实施例对本申请进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本申请实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

1.一种基于多模型融合的隐匿恶意行为的分析方法，其特征在于，包括：

获取加密流量数据，并对所述加密流量数据进行预处理；

2.根据权利要求1所述的基于多模型融合的隐匿恶意行为的分析方法，其特征在于，所述预处理，具体包括：

对所述加密流量数据进行流量拆分；

对经过流量拆分的所述加密流量数据进行数据清洗；

3.根据权利要求1所述的基于多模型融合的隐匿恶意行为的分析方法，其特征在于，所述融合分析模型至少包括多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络；

所述多层感知器MLP至少包括输入层、隐藏层、Dropout层和输出层，所述一维卷积神经网络1D-CNN至少包括卷积层、池化层、Batchnorm层、平铺层、Dropout层和全连接层，所述长短期记忆LSTM网络至少包括LSTM层、Dropout层和全连接层。

4.根据权利要求3所述的基于多模型融合的隐匿恶意行为的分析方法，其特征在于，将经过预处理的所述加密流量数据输入到经过预训练的融合分析模型中，经由所述融合分析模型输出分析结果数据，包括：

将所述加密流量数据分别输入至多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络，经由所述多层感知器MLP、一维卷积神经网络1D-CNN和长短期记忆LSTM网络输出各自的结果数据；

基于全部所述结果数据进行计算得到所述分析结果数据。

5.根据权利要求1所述的基于多模型融合的隐匿恶意行为的分析方法，其特征在于，所述预训练，具体包括：

构建初始训练集；

对所述初始训练集进行所述预处理；

将经过所述预处理的所述初始训练集划分为训练集、验证集和测试集；

通过所述训练集对所述融合分析模型进行预训练，通过所述验证集对所述融合分析模型进行验证，通过所述测试集对所述融合分析模型进行测试；

响应于所述融合分析模型达到预设训练截止条件，完成所述预训练。

6.根据权利要求3所述的基于多模型融合的隐匿恶意行为的分析方法，其特征在于，基于全部所述结果数据进行计算得到所述分析结果数据，包括：

所述分析结果数据为：

p＝{p_MLP×w₁+p_1D-CNN×w₂+p_LSTM×w₃} (1)

7.根据权利要求6所述的基于多模型融合的隐匿恶意行为的分析方法，其特征在于，所述权重的计算公式为：

8.一种基于多模型融合的隐匿恶意行为的分析装置，其特征在于，包括:

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方法。

10.一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行权利要求1至7任一所述方法。