CN113472809A - 一种加密恶意流量检测方法、检测***及计算机设备 - Google Patents

一种加密恶意流量检测方法、检测***及计算机设备 Download PDF

Info

Publication number
CN113472809A
CN113472809A CN202110814031.0A CN202110814031A CN113472809A CN 113472809 A CN113472809 A CN 113472809A CN 202110814031 A CN202110814031 A CN 202110814031A CN 113472809 A CN113472809 A CN 113472809A
Authority
CN
China
Prior art keywords
dimension
data
parallel
network
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110814031.0A
Other languages
English (en)
Other versions
CN113472809B (zh
Inventor
张成伟
李瑞源
宋泽慧
卢玮
严宇
钟国辉
高雅玙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN202110814031.0A priority Critical patent/CN113472809B/zh
Publication of CN113472809A publication Critical patent/CN113472809A/zh
Application granted granted Critical
Publication of CN113472809B publication Critical patent/CN113472809B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于恶意流量检测技术领域,公开了一种加密恶意流量检测方法、检测***及计算机设备,进行网卡流量的监督控制及流量数据包的捕获;进行数据预处理;进行字节维度特征提取;进行数据包维度特征提取;进行分类网络构建;进行告警日志的生成以及传输。本发明提供的C&C加密恶意流量检测方法,具体涉及一个针对C&C加密恶意流量的深度学习检测模型,C&C流量是一类同时利用了加密技术和多阶段攻击方式的流量,本发明的模型具有良好的泛化性能,能够对在训练集之外的攻击指令进行检测。本发明的模型有好的分类性能,能够区分相似度很高的恶意流量类型。

Description

一种加密恶意流量检测方法、检测***及计算机设备
技术领域
本发明属于恶意流量检测技术领域,尤其涉及一种加密恶意流量检测方法、检测***及计算机设备。
背景技术
目前,恶意流量检测的方法根据使用技术的不同可以分为两大类,一种是基于专家知识的传统检测方法,另一种是基于人工智能算法的检测方法。
传统的检测方法在互联网发展早期对网络安全做出了巨大贡献,现在的入侵检测***依然包含传统检测方法的模块,但是由于加密流量所占比例的不断增加,对传统检测方法的人工特征提取带来了极大的挑战,同时因为多阶段攻击方式的出现使得传统检测方法大多只能匹配单独数据包内的特征而无法检测数据包序列间连续变化特征的局限性被暴露放大,传统检测方法的效果逐渐下降。高误检率和高漏检率是传统检测方法难以克服的障碍,基于专家知识的手工特征设计也使得传统检测方法对新型攻击软件的防御滞后。
随着人工智能算法在计算机视觉和自然语言处理领域大放异彩,基于人工智能算法的检测方法近年来成为研究重点,其中深度学习强大的特征表达能力对愈发困难的恶意流量特征提取起到了重要作用,端到端的模式省略了手工设计特征的步骤,加快了对新型攻击手段或指令的检测覆盖。但是现有的深度学习的方法存在着天然的弊端:
①深度学习模型的训练需要大量的有效数据来进行学习,数据量过小会导致过拟合;②深度学习模型的泛化能力差,适用环境必须与训练环境数据分布保持一致。
对于流量检测,一种攻击工具的攻击指令有限,即有效的数据量少。同时由于流量数据的低可理解性,缺乏合理且有效的数据增强方式;同时模型泛化能力的不足导致模型对新攻击指令的检测效果下降,即对训练集中包含的攻击指令可以检测而对陌生的攻击指令没有效果,但现实情况下难以获得一种攻击软件所有攻击指令的流量,且攻击软件的变体更新迭代速度较快,对同一种攻击软件的新攻击指令的兼容是十分重要的。
除此之外,现有的模型对流量本身特性的分析不足,仅是将流量检测当作一般的分类问题来考虑,而流量本身有自己的特性,对于多阶段攻击,它的攻击方式包含着通信双方的大量交互行为,现有的深度学习方法并没有意识到上下游流量间的差异性,这导致深度学习方法对多阶段攻击流量监测的效果较差。
因此,设计一种使用较少数量且攻击指令有限的流量进行训练但对同种攻击软件的陌生攻击指令也能进行检测的深度学习模型是一个技术挑战,也是人工智能检测算法落地实践使用的关键。简言之,泛化能力较强的模型可以对一种恶意攻击软件的各种攻击指令都有检测效果,尤其是对不包含在数据集内的攻击指令,一定程度上可以提升对未知种类恶意流量的检测效果。同时,对多阶段攻击流量的检测也是一个难点,对流量特性的合理利用是提升多阶段攻击流量的检测效果的合理方式。因此,亟需一种新的加密恶意流量检测方法及检测***,以解决现有技术中存在的问题。
通过上述分析,现有技术存在的问题及缺陷为:
(1)由于加密流量所占比例的不断增加,对传统检测方法的人工特征提取带来了极大的挑战,同时因为多阶段攻击方式的出现使得传统检测方法大多只能匹配单独数据包内的特征而无法检测数据包序列间连续变化特征的局限性被暴露放大,传统检测方法的效果逐渐下降。
(2)高误检率和高漏检率是传统检测方法难以克服的障碍,基于专家知识的手工特征设计也使得传统检测方法对新型攻击软件的防御滞后。
(3)现有深度学习模型的训练需要大量的有效数据来进行学习,数据量过小会导致过拟合;同时深度学习模型的泛化能力差,适用环境必须与训练环境数据分布保持一致。
(4)对于流量检测,一种攻击工具的攻击指令有限,即有效的数据量少;同时由于流量数据的低可理解性,缺乏合理且有效的数据增强方式;同时模型泛化能力的不足导致模型对新攻击指令的检测效果下降,即对训练集中包含的攻击指令可以检测而对陌生的攻击指令没有效果,但现实状态下难以获得一种攻击软件的所有攻击指令流量。
(5)现有的模型对流量本身特性分析不足,仅是将流量检测当作一般的分类问题来考虑,现有的深度学习方法并没有意识到上下游流量间的差异性,这导致深度学习方法对多阶段攻击流量监测的效果较差。
解决以上问题及缺陷的难度为:
(1)传统的检测方法建立在专家知识的基础上,其发展速度受科研人员研究进度的限制,且对于一些恶意软件的分析在一定时间内并不能得到有效的检测方法,因此传统检测方法的提升极难与恶意软件衍生的速度相匹配。
(2)基于深度学习的方法往往依赖于对大量数据的特征分布拟合,对于训练数据之外的开放数据的适应性会急剧变差,在这种情况下,流量自身有效数据多样性又不足,且获得完整种类数据的难度很高,因此一个利用少量的包含部分种类的数据进行训练但对完整种类的流量数据有好的检测效果的模型需要极高的泛化和分类能力,这在模型设计上的难度极高。
(3)流量自身的可理解性极差,目前多数基于深度学习方式的研究都没有关注流量自身的特性,而仅是作为一个一般性的分类问题进行处理,如何对流量进行分析,并根据分析结果进行针对性的处理是一个难度较大的问题。
解决以上问题及缺陷的意义为:
(1)使用基于智能算法的方法加快了对新型恶意攻击工具及其衍生体的检测应答速率,即缩短了入侵检测***从发现新型恶意攻击工具到具备检测能力的时间,这对于恶意软件演进速度越来越快的网络空间来说可以减少极大的损失,提升网络空间的安全性。
(2)对某类流量自身特征的分析可以对该大类特定攻击的检测模型设计提供支持,使模型的设计工作更具有方向性。
(3)具有良好泛化能力的模型可以全面的检测一种攻击工具的更多攻击指令,而不是仅限于训练集中包含的指令,这对于入侵检测***而言是一种极大的提升,意味着对未知的攻击具有了一定的检测效果。
(4)对于流量的收集和打标工作来说,具有良好泛化能力的模型也极大地降低了工作的强度和难度。
发明内容
针对现有技术存在的问题,本发明提供了一种加密恶意流量检测方法、检测***及计算机设备,尤其涉及一种基于深度学习的C&C加密恶意流量检测方法及检测***。
本发明是这样实现的,一种C&C加密恶意流量检测方法,所述C&C加密恶意流量检测方法包括以下步骤:
步骤一,进行网卡流量的监督控制及流量数据包的捕获;
步骤二,进行数据预处理;
步骤三,进行字节维度特征提取;
步骤四,进行数据包维度特征提取;
步骤五,进行分类网络构建;
步骤六,进行告警日志的生成以及传输。
进一步,步骤一中,所述网卡流量的监督控制及流量数据包的捕获,包括:
对于需要该恶意攻击检测***进行监测的网络环境的所有网卡利用wireshark、tcpdump等网络抓包工具进行监听,进行监测的可以是一台主机的单块网卡或多块网卡,或不同主机的相应网卡,将抓取的流量发送至深度学习模型部署的服务器端后进行统一处理和分析。
进一步,步骤二中,所述数据预处理,包括:
对于捕获的所有数据包,根据五元组信息将来自一对主机各自特定端口的使用相同协议的包划分为一个子集合,在每个子集合内按照时间顺序排列,这样的子集称为会话;不同的会话会有不同的长度,但是模型要求的数据维度是固定的,故对于每个会话,只取前八个数据包;对于选定的数据包,取前150个字节;对于不足的包或者字节,用-1进行填充;训练时每个batch的大小设置为10,故送入模型前的数据格式为(10,8,150)。
进一步,所述五元组信息,包括源IP,源端口,目的IP,目的端口,以及传输层协议。
进一步,步骤三中,所述字节维度特征提取,包括:
(1)one-hot编码:将每一个字节转换为one-hot编码的格式,即将字节的每一位编码为一个固定深度的向量,只有数值对应位置上为1,其余位均为0,设置编码深度为256,输出维度为(10,8,150,256);
(2)并行一维卷积:对one-hot编码后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(8,6),卷积核的个数均设置为128,步长均设置为1,不进行padding操作,激活函数选择relu,输出维度为(10,8,143,128)和(10,8,145,128);
(3)并行池化操作:对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2),输出维度为(10,8,140,128)和(10,8,144,128);
(4)并行一维卷积:对池化后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(6,4),卷积核的个数均设置为256,步长均设置为1,不进行padding操作,激活函数选择relu,输出维度为(10,8,135,256)和(10,8,141,256);
(5)并行池化操作:对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2),输出维度为(10,8,132,256)和(10,8,140,256);
(6)并行全连接操作:对上一层的输出在最后一维进行线性的全连接操作,不设置激活函数,神经元的个数设置为384,输出维度为(10,8,132,384)和(10,8,140,384);
(7)并行注意力机制模块;
(8)全局最大池化操作:对上一层的输出进行全局最大池化操作进行降维,输出维度为(10,8,384)和(10,8,384);
(9)并行拼接操作:对上一层的输出在最后一维进行拼接,输出维度为(10,8,768)。
进一步,步骤(7)中,所述并行注意力机制模块,包括:
1)位置编码
在原有矩阵上添加与位置有关的编码,用于弥补attention操作对位置信息的损失:
Figure BDA0003169252220000061
Figure BDA0003169252220000062
其中,位置编码的维度为(pos,df),对应上一层的输出,两个位置编码的维度为(132,384)和(140,384),对应的模型输出维度为(10,8,132,384)和(10,8,140,384)。
2)multi-head self-attention
单个self-attention的计算方式为:
Figure BDA0003169252220000063
其中,Q,K,V均为输入矩阵的不同线性变换,具有相同的数据维度;multi-headattention是在不同的特征子空间内分别进行self-attention的操作后并进行拼接,对应的计算公式为:
headm=attention(Qm,Km,Vm)
multi-head=concat(head1,head2,...,headh)
在模型中,设置multi-head的head数目为4,特征向量的长度为96,两组并行的Q,K,V的数据维度为(10,8,132,4×96)和(10,8,140,4×96);单独计算一组self-attention后的输出分别为(10,8,132,96)和(10,8,140,96),在最后一维将四个head进行拼接后数据维度仍为(10,8,132,384)和(10,8,140,384),也即multi-head attention操作仅调整特征权重而不改变特征维度。
3)位置全连接前馈网络
前馈网络由两层全连接层构成,第一层具有激活函数,用于实现特征的非线性变换,使用relu激活函数,输出维度为(10,8,132,512)和(10,8,140,512),再连接一个没有激活函数的线性变换全连接层,输出维度为(10,8,132,384)和(10,8,140,384)。
进一步,步骤四中,所述数据包维度特征提取,包括:
该部分由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM。
(1)Bi-LSTM
将字节特征提取后的矩阵送入双向LSTM网络进行全局时序特征提取,不输出中间层的隐层状态,输出维度为(10,2,128),Flatten展开后为(10,256)。
(2)skip-LSTM
将字节特征提取后的矩阵进行序列位置调整,即在特征矩阵的第二维进行切片,分别提取出第[0,2,4,6]位置和[1,3,5,7]位置的向量进行组合,构成上、下游流量特征矩阵,维度均为(10,4,768),分别送入LSTM网络,不输出中间隐层向量,分别输出两个(10,128)的特征矩阵,在最后一维进行拼接后最终输出维度为(10,256)。
(3)特征拼接
将两个并行的时序特征网络的输出进行拼接,输出维度为(10,512)。
进一步,步骤五中,所述分类网络构建,包括:
进行Batch Normalize操作,利用激活函数为relu的全连接层进行数据降维到指定分类目标数m;添加softmax层将输出转化为分类的概率,最终输出维度为(10,m);其中,所述模型训练过程的loss函数设置为categorical_crossentropy,优化器选择RMSprop,学习率设置为0.0001。
进一步,步骤六中,所述告警日志生成以及传输,包括:
对检测到的可疑恶意攻击流量进行信息采集,采集的信息包括恶意攻击的种类,判断为恶意攻击的概率,该恶意攻击的源IP地址、端口等等,将恶意攻击以特定格式生成告警日志,并将日志结果传输至对应流量抓取设备以供主机采取相应的防御策略,实现分布式的整套入侵检测方案。
本发明的另一目的在于提供一种应用所述的C&C加密恶意流量检测方法的C&C加密恶意流量检测***,所述C&C加密恶意流量检测***包括:
数据抓取模块,用于从网络环境中抓取网络流量至本地环境以进行后续处理;利用wireshark、tcpdump网络抓包工具监听需要进行检测的主机网卡,将抓取的流量发送至深度学习模型部署的服务器端后进行统一处理和分析;所述主机网卡为一台主机的单块网卡或多块网卡,或不同主机的相应网卡;
数据预处理模块,用于对数据进行预处理,对于每个会话,只取前八个数据包;对于选定数据包,取前150个字节;对于不足的包或字节,用-1进行填充;训练时每个batch的大小设置为10,送入模型前的数据格式为(10,8,150);
字节维度特征提取模块,用于进行字节维度特征的提取,包括one-hot编码,并行一维卷积,并行池化操作,并行一维卷积,并行池化操作,并行全连接操作,并行注意力机制模块,全局最大池化操作,以及并行拼接操作;
数据包维度特征提取模块,用于进行数据包维度特征的提取,由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM;
分类网络构建模块,用于进行Batch Normalize操作,利用激活函数为relu的全连接层进行数据降维到指定分类目标数m;添加softmax层将输出转化为分类的概率,最终输出维度为(10,m);
告警日志模块,用于对检测到的可疑恶意攻击流量进行信息采集,采集的信息包括恶意攻击的种类,判断为某种恶意攻击的概率,该恶意攻击的源IP地址、端口,将收集到的信息以特定格式生成告警日志并将日志结果传输至对应流量抓取设备以供主机采取相应的防御策略,实现整套分布式的入侵检测方案。
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括网卡、显卡、存储器、处理器和GPU,所述网卡用于进行网络通信以及数据抓取,存储器存储有计算机程序、抓取的流量数据以及告警日志,显卡和GPU用于为深度学习模型的训练和推理提供足够的算力支持,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
对于每个会话,只取前八个数据包;对于选定的数据包,取前150个字节;对于不足的包或者字节,用-1进行填充;训练时每个batch的大小设置为10,故送入模型前的数据格式为(10,8,150);
进行字节维度特征的提取,包括one-hot编码,并行一维卷积,并行池化操作,并行一维卷积,并行池化操作,并行全连接操作,并行注意力机制模块,全局最大池化操作,以及并行拼接操作;进行数据包维度特征的提取,由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM;
进行分类网络构建,通过进行Batch Normalize操作,利用激活函数为relu的全连接层进行数据降维到指定分类目标数m;添加softmax层将输出转化为分类的概率,最终输出维度为(10,m);
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述的C&C加密恶意流量检测***。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明提供的C&C加密恶意流量检测方法,具体涉及一个针对C&C加密恶意流量的深度学习检测模型,C&C流量是一类同时利用了加密技术和多阶段攻击方式的流量,本发明的模型具有良好的泛化性能,能够对在训练集之外的攻击指令进行检测。本发明的模型有好的分类性能,能够区分相似度很高的恶意流量类型。本发明对恶意流量检测有完整的检测方案,可以实现对网络环境有控制的监听检测。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的C&C加密恶意流量检测方法流程图。
图2是本发明实施例提供的C&C加密恶意流量检测方法原理图。
图3是本发明实施例提供的C&C加密恶意流量检测***结构框图;
图中:1、数据抓取模块;2、数据预处理模块;3、字节维度特征提取模块;4、数据包维度特征提取模块;5、分类网络构建模块;6、告警日志模块。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种加密恶意流量检测方法及检测***,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的加密恶意流量检测方法包括以下步骤:
S101,进行网卡流量的监督控制及流量数据包的捕获;
S102,进行数据预处理;
S103,进行字节维度特征提取;
S104,进行数据包维度特征提取;
S105,进行分类网络构建;
S106,进行告警日志的生成以及传输。
本发明实施例提供的加密恶意流量检测方法原理图如图2所示。
如图3所示,本发明实施例提供的C&C加密恶意流量检测***包括:
本发明的另一目的在于提供一种应用所述的C&C加密恶意流量检测方法的C&C加密恶意流量检测***,所述C&C加密恶意流量检测***包括:
数据抓取模块1,用于从网络环境中抓取网络流量至本地环境以进行后续处理;利用wireshark、tcpdump网络抓包工具监听需要进行检测的主机网卡,将抓取的流量发送至深度学习模型部署的服务器端后进行统一处理和分析;所述主机网卡为一台主机的单块网卡或多块网卡,或不同主机的相应网卡;
数据预处理模块2,用于对数据进行预处理,对于每个会话,只取前八个数据包;对于选定数据包,取前150个字节;对于不足的包或字节,用-1进行填充;训练时每个batch的大小设置为10,送入模型前的数据格式为(10,8,150);
字节维度特征提取模块3,用于进行字节维度特征的提取,包括one-hot编码,并行一维卷积,并行池化操作,并行一维卷积,并行池化操作,并行全连接操作,并行注意力机制模块,全局最大池化操作,以及并行拼接操作;
数据包维度特征提取模块4,用于进行数据包维度特征的提取,由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM;
分类网络构建模块5,用于进行Batch Normalize操作,利用激活函数为relu的全连接层进行数据降维到指定分类目标数m;添加softmax层将输出转化为分类的概率,最终输出维度为(10,m);
告警日志模块6,用于对检测到的可疑恶意攻击流量进行信息采集,采集的信息包括恶意攻击的种类,判断为该恶意攻击种类的概率,该恶意攻击的源IP地址、端口,将收集到的信息以特定格式生成告警日志并将日志结果传输至对应流量抓取设备以供主机采取相应的防御策略,实现整套分布式的入侵检测方案。
下面结合术语解释对本发明的技术方案作进一步描述。
C&C:英文全称为Command and Control,是基于Cyber Kill Chain恶意攻击软件分类体系的中的一类攻击工具。
下面结合实施例对本发明的技术方案作进一步描述。
本发明的目的是提供一个针对C&C加密恶意流量的深度学习检测模型,C&C流量是一类同时利用了加密技术和多阶段攻击方式的流量,本发明的模型具有良好的泛化性能,能够对在训练集之外的攻击指令进行检测;同时本发明模型有好的分类性能,能够区分相似度很高的恶意流量类型。
本发明的目的在于使用深度学习模型实现端到端的C&C加密恶意流量检测,该模型包含若干结构,模型具体实现细节如下:
一、数据预处理
对于捕获的所有数据包,本发明根据五元组信息(源IP,源端口,目的IP,目的端口,传输层协议),将来自一对主机各自特定端口的使用相同协议的包划分为一个子集合,在每个子集合内按照时间顺序排列,这样的一个子集称为会话。不同的会话会有不同的长度,但是模型的要求的数据维度是固定的,所以对于每个会话,本发明只取前八个数据包,对于选定的数据包,本发明只取前150个字节。对于不足的包或者字节,本发明用-1进行填充。训练时每个batch的大小设置为10,因此送入模型前的数据格式为(10,8,150)。
二、字节维度特征提取
步骤一:one-hot编码。将每一个字节转换为one-hot编码的格式,即将字节的每一位编码为一个固定深度的向量,只有数值对应位置上为1,其余位均为0,设置编码深度为256。输出维度为(10,8,150,256)。
步骤二:并行一维卷积。对one-hot编码后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(8,6),卷积核的个数均设置为128,步长均设置为1,不进行padding操作,激活函数选择relu。输出维度为(10,8,143,128)和(10,8,145,128)。
步骤三:并行池化操作。对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2)。输出维度为(10,8,140,128)和(10,8,144,128)。
步骤四:并行一维卷积。对池化后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(6,4),卷积核的个数均设置为256,步长均设置为1,不进行padding操作,激活函数选择relu。输出维度为(10,8,135,256)和(10,8,141,256)。
步骤五:并行池化操作。对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2)。输出维度为(10,8,132,256)和(10,8,140,256)。
步骤六:并行全连接操作。对上一层的输出在最后一维进行线性的全连接操作,不设置激活函数,神经元的个数设置为384。输出维度为(10,8,132,384)和(10,8,140,384)。
步骤七:并行注意力机制模块。
(1)位置编码
在原有的矩阵上添加与位置有关的编码,以弥补接下来attention操作对位置信息的损失。
Figure BDA0003169252220000131
位置编码的维度为(pos,df),对应上一层的输出,两个位置编码的维度为(132,384)和(140,384)。对应的模型输出维度不变,依然为(10,8,132,384)和(10,8,140,384)。
(2)multi-head self-attention
单个self-attention的计算方式为:
Figure BDA0003169252220000141
其中Q,K,V均为输入矩阵的不同线性变换,具有相同的数据维度。而multi-headattention是在不同的特征子空间内分别进行self-attention的操作后并进行拼接。对应的计算公式为:
headm=attention(Qm,Km,Vm)
multi-head=concat(head1,head2,...,headh)
在模型中,设置multi-head的head数目为4,特征向量的长度为96,两组并行的Q,K,V的数据维度为(10,8,132,4×96)和(10,8,140,4×96)。单独计算一组self-attention后的输出分别为(10,8,132,96)和(10,8,140,96),在最后一维将四个head进行拼接后数据维度仍为(10,8,132,384)和(10,8,140,384),也即multi-head attention操作仅调整特征权重而不改变特征维度。
(3)位置全连接前馈网络
前馈网络由两层全连接层构成,第一层具有激活函数,实现特征的非线性变换,使用relu激活函数,输出维度为(10,8,132,512)和(10,8,140,512),之后再连接一个没有激活函数的线性变换全连接层,输出维度为(10,8,132,384)和(10,8,140,384)。
步骤八:全局最大池化操作。对上一层的输出进行全局最大池化操作进行降维,输出维度为(10,8,384)和(10,8,384)。
步骤九:并行拼接操作。对上一层的输出在最后一维进行拼接,输出维度为(10,8,768)。
三、数据包维度特征提取
该部分由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM。
(1)Bi-LSTM
将字节特征提取后的矩阵送入双向LSTM网络进行全局时序特征提取,不输出中间层的隐层状态,输出维度为(10,2,128),维度展开后为(10,256)。
(2)skip-LSTM
将字节特征提取后的矩阵进行序列位置调整,即在特征矩阵的第二维进行切片,分别提取出第[0,2,4,6]位置和[1,3,5,7]位置的向量进行组合,构成上、下游流量特征矩阵,维度均为(10,4,768),然后分别送入LSTM网络,不输出中间隐层向量,分别输出两个(10,128)的特征矩阵,在最后一维进行拼接后最终输出维度为(10,256)。
(3)特征拼接
将两个并行的时序特征网络的输出进行拼接,输出维度为(10,512)。
四、分类网络
首先进行Batch Normalize操作,然后利用激活函数为relu的全连接层进行数据降维到指定分类目标数m,最后添加softmax层将输出转化为分类的概率。最终输出维度为(10,m)。
训练过程的loss函数设置为categorical_crossentropy,优化器选择RMSprop,学习率设置为0.0001。
实施例2
一、公开数据集CICIDS2017
CICIDS2017数据集捕获了五天的真实环境下的流量,包含良性正常流量和常见的攻击流量,提供了真实的流量数据(pcap文件),以及基于CICFlowMeter的网络流量分析结果(csv文件),包含时间戳、源和目的地IP、源端口和目的地端口、协议和攻击类型等。本发明首先利用SplitCap流量切分工具根据五元组信息对整个pcap进行切分,然后遍历切分后的文件根据CICFlowMeter分析结果中的时间戳切分为会话的粒度,对于一些数据量较少的攻击子类本发明进行了大类合并,为了数据均衡,正常流量只选取了第五天的数据作为样本(见表1)。
表1
Figure BDA0003169252220000151
Figure BDA0003169252220000161
对于数据处理,按照9:1的比例分层划分为训练集和测试集。使用Keras的深度学习框架搭建模型,使用训练集的数据对模型进行训练。本发明将训练好的模型部署在一台带有两块GeForce GTX 2080Ti的Linux Ubuntu16.04的服务器上,仍使用keras的框架对模型进行参数加载和运算推理,该服务器具有两块Intel Corporation 82599ES网卡进行网络通信。
利用tcpreplay的流量发包工具将测试集中的流量包发送至网卡进行流量回放,然后利用tcpdump的网卡监听工具对流经网卡的数据包进行抓包,将抓包后的流量使用SplitCap工具根据五元组信息将抓获的流量切分为会话的粒度,将切分为会话后的数据送入后续数据预处理模块,字节维度特征提取模块,数据包维度特征提取模块,分类网络模块后得到深度学习模型对该会话的种类概率预估,选取概率最高的种类作为模型对流量种类的判定,从该会话中数据包的包头信息中可以得到后续日志生成模块所需要的基本信息,日志生成模块根据该会话的基本信息生成专属于这条会话的id,并记录相应的关键信息,保存成json格式的文件以便后续防御***使用。根据检测***的日志文件以及流量原始标签,可以计算出各个种类流量对应的准确率以及总的准确率,召回率,精准率以及f1-score。最终的检测结果如下表所示,本发明的检测***对公开数据集中的流量数据有很好的检测效果。
表2试验结果
Label 0 1 2 3 4 5 6 7 准确率
normal(0) 18965 0 0 0 0 0 1 0 99.99%
ftp-patator(1) 0 458 0 0 0 0 0 0 100%
ssh-patator(2) 1 0 356 0 0 0 0 0 99.72%
dos(3) 0 0 0 576 0 0 0 0 100%
web-attack(4) 1 0 0 0 199 0 0 7 96.14%
bot(5) 5 0 0 0 0 117 0 0 95.90%
ddos(6) 3 0 0 0 0 0 8518 0 99.96%
portscan(7) 2 0 0 1 0 0 0 15883 99.98%
总准确率:99.95%;
总精准率:99.96%;
总召回率:98.96%;
总f1-score:99.45%。
二、私有数据集CCE2021
本发明选取NSA组织使用的两款C&C攻击工具dewdrop和nopen在一台主机上进行复现,在一台主机上利用bash脚本控制恶意攻击软件持续攻击另一台主机,本发明在被攻击的主机上利用tcpdumap抓包工具监听被攻击主机的网卡,在特定时段抓取特定种类的纯净流量,本发明将抓取的流量数据利用SplitCap流量切分工具切分为会话粒度以进行模型的训练,同时抓取纯净的与dewdrop流量相似度高的ssh和telnet流量以及与nopen相似度高的scanner流量(scanner是一款扫描类的攻击软件,被nopen捆绑使用,因此与nopen流量具有较高相似性),并在一个子网的网关上抓取正常的通信流量作为训练集的良性样本。
为了验证本发明的深度学习模型具有良好的泛化性能,本发明设置了两套完全不同的攻击指令集,本发明将其中一组指令集用于训练集的流量抓取,使用脚本控制各种软件执行该指令集,监听被攻击主机的网卡并抓取产生的流量作为模型训练数据,利用训练数据对模型进行训练后,使用脚本控制软件执行另一组攻击指令集,在被攻击主机的网卡上使用tcpdump抓包工具监听网卡并进行数据包抓取,对于抓包后的流量,使用SplitCap工具根据五元组信息切分为会话粒度,切分为会话的数据被送入后续数据预处理模块,字节维度特征提取模块,数据包维度特征提取模块,分类网络模块后得到深度学习模型对会话种类的概率预估,选取概率最高的种类作为模型对流量种类的判定,从会话中的数据包包头信息中可以得到日志生成模块所需要的基本信息,日志生成模块根据该会话的基本信息生成专属id,并记录相应的关键信息,保存成json格式的文件供后续防御***使用。根据检测***的日志文件以及流量原始标签,可以计算出各个种类流量对应的准确率以及总的准确率,召回率,精准率以及f1-score。表3中的结果是测试数据的结果,显示了本发明的检测***对于未知的攻击指令有极好的检测效果。
表3实验结果
Label 0 1 2 3 4 5 acc
normal(0) 1499 0 0 1 0 0 99.95%
dewdrop(1) 1 3080 0 80 0 0 98.03%
nopen(2) 1 24 1942 0 3 1 99.73%
scanner(3) 0 103 0 2166 0 0 98.31%
ssh(4) 1 7 0 0 1002 1 99.89%
telnet(5) 1 0 0 0 0 1037 99.97%
总准确率:97.95%
总精准率:98.58%
总召回率:98.40%
总f1-score:98.48%。
在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上;术语“上”、“下”、“左”、“右”、“内”、“外”、“前端”、“后端”、“头部”、“尾部”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种加密恶意流量检测方法,其特征在于,所述加密恶意流量检测方法包括以下步骤:
步骤一,进行网卡流量的监督控制及流量数据包的捕获;
步骤二,进行数据预处理;
步骤三,进行字节维度特征提取;
步骤四,进行数据包维度特征提取;
步骤五,进行分类网络构建;
步骤六,进行告警日志的生成以及传输。
2.如权利要求1所述的加密恶意流量检测方法,其特征在于,步骤一中,所述网卡流量的监督控制及流量数据包的捕获,包括:
对于需要该恶意攻击检测***进行监测的网络环境的所有网卡利用wireshark、tcpdump网络抓包工具进行监听,进行监测的为一台主机的单块网卡或多块网卡,或不同主机的相应网卡,将抓取的流量发送至深度学习模型部署的服务器端后进行统一处理和分析。
3.如权利要求1所述的加密恶意流量检测方法,其特征在于,步骤二中,所述数据预处理,包括:
对于捕获的所有数据包,根据五元组信息将来自一对主机各自特定端口的使用相同协议的包划分为一个子集合,在每个子集合内按照时间顺序排列,这样的子集称为会话;不同的会话会有不同的长度,但是模型要求的数据维度是固定的,故对于每个会话,只取前八个数据包;对于选定的数据包,取前150个字节;对于不足的包或者字节,用-1进行填充;训练时每个batch的大小设置为10,故送入模型前的数据维度为(10,8,150);
所述五元组信息,包括源IP,源端口,目的IP,目的端口,以及传输层协议。
4.如权利要求1所述的加密恶意流量检测方法,其特征在于,步骤三中,所述字节维度特征提取,包括:
(1)one-hot编码:将每一个字节转换为one-hot编码的格式,即将字节的每一位编码为一个固定深度的向量,只有数值对应位置上为1,其余位均为0,设置编码深度为256,输出维度为[10,8,150,256],
(2)并行一维卷积:对one-hot编码后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(8,6),卷积核的个数均设置为128,步长均设置为1,不进行padding操作,激活函数选择relu,输出维度为(10,8,143,128)和(10,8,145,128);
(3)并行池化操作:对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2),输出维度为(10,8,140,128)和(10,8,144,128);
(4)并行一维卷积:对池化后的矩阵进行两个并行的一维卷积操作,卷积核的大小分别设置为(6,4),卷积核的个数均设置为256,步长均设置为1,不进行padding操作,激活函数选择relu,输出维度为(10,8,135,256)和(10,8,141,256);
(5)并行池化操作:对于上一层的输出进行一维最大池化操作,步长均设置为1,池化尺寸分别设置为(4,2),输出维度为(10,8,132,256)和(10,8,140,256);
(6)并行全连接操作:对上一层的输出在最后一维进行线性的全连接操作,不设置激活函数,神经元的个数设置为384,输出维度为(10,8,132,384)和(10,8,140,384);
(7)并行注意力机制模块;
(8)全局最大池化操作:对上一层的输出进行全局最大池化操作进行降维,输出维度为(10,8,384)和(10,8,384);
(9)并行拼接操作:对上一层的输出在最后一维进行拼接,输出维度为(10,8,768)。
5.如权利要求4所述的加密恶意流量检测方法,其特征在于,步骤(7)中,所述并行注意力机制模块,包括:
1)位置编码
在原有矩阵上添加与位置有关的编码,用于弥补attention操作对位置信息的损失:
Figure FDA0003169252210000031
Figure FDA0003169252210000032
其中,位置编码的维度为(pos,df),对应上一层的输出,两个位置编码的维度为(132,384)和(140,384),对应的模型输出维度为(10,8,132,384)和(10,8,140,384);
2)multi-head self-attention
单个self-attention的计算方式为:
Figure FDA0003169252210000033
其中,Q,K,V均为输入矩阵的不同线性变换,具有相同的数据维度;multi-headattention是在不同的特征子空间内分别进行self-attention的操作后并进行拼接,对应的计算公式为:
headm=attention(Qm,Km,Vm)
multi-head=concat(head1,head2,...,headh)
在模型中,设置multi-head的head数目为4,特征向量的长度为96,两组并行的Q,K,V的数据维度为(10,8,132,4×96)和(10,8,140,4×96);单独计算一组self-attention后的输出分别为(10,8,132,96)和(10,8,140,96),在最后一维将四个head进行拼接后数据维度仍为(10,8,132,384)和(10,8,140,384),也即multi-head attention操作仅调整特征权重而不改变特征维度;
3)位置全连接前馈网络
前馈网络由两层全连接层构成,第一层具有激活函数,用于实现特征的非线性变换,使用relu激活函数,输出维度为(10,8,132,512)和(10,8,140,512),再连接一个无激活函数的线性变换全连接层,输出维度为(10,8,132,384)和(10,8,140,384)。
6.如权利要求1所述的加密恶意流量检测方法,其特征在于,步骤四中,所述数据包维度特征提取,包括:
该部分由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM;
(1)Bi-LSTM
将字节特征提取后的特征矩阵送入双向LSTM网络进行全局时序特征提取,不输出中间层的隐层状态,输出维度为(10,2,128),维度展开后为(10,256);
(2)skip-LSTM
将字节特征提取后的矩阵进行序列位置调整,即在特征矩阵的第二维进行切片,分别提取出第[0,2,4,6]位置和[1,3,5,7]位置的向量进行组合,构成上、下游流量特征矩阵,维度均为(10,4,768),分别送入LSTM网络,不输出中间隐层状态,分别输出两个(10,128)的特征矩阵,在最后一维进行拼接后最终输出维度为(10,256);
(3)特征拼接
将两个并行的时序特征网络的输出进行拼接,输出维度为(10,512)。
7.如权利要求1所述的加密恶意流量检测方法,其特征在于,步骤五中,所述分类网络构建,包括:
进行Batch Normalize操作,利用激活函数为relu的全连接层进行数据降维到指定分类目标数m;添加softmax层将输出转化为分类的概率,最终输出维度为(10,m)。其中,所述模型训练过程的loss函数设置为categorical_crossentropy,优化器选择RMSprop,学习率设置为0.0001;
步骤六中,所述告警日志生成以及传输,包括:
对检测到的可疑恶意攻击流量进行信息采集,采集的信息包括恶意攻击的种类,判断为某恶意攻击种类的概率,该恶意攻击的源IP地址、端口,将采集的信息以特定格式生成告警日志,并将日志结果传输至对应流量抓取设备以供对应主机采取相应的防御策略,实现分布式的整套入侵检测方案。
8.一种计算机设备,其特征在于,所述计算机设备包括网卡、显卡、存储器、处理器和GPU,所述网卡用于进行网络通信以及数据抓取,存储器存储有计算机程序、抓取的流量数据以及告警日志,显卡和GPU用于为深度学习模型的训练和推理提供足够的算力支持,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
对于每个会话,只取前八个数据包;对于选定的数据包,取前150个字节;对于不足的包或者字节,用-1进行填充;训练时每个batch的大小设置为10,故送入模型前的数据格式为(10,8,150);
进行字节维度特征的提取,包括one-hot编码,并行一维卷积,并行池化操作,并行一维卷积,并行池化操作,并行全连接操作,并行注意力机制模块,全局最大池化操作,以及并行拼接操作;进行数据包维度特征的提取,由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM;
进行分类网络构建,通过进行Batch Normalize操作,利用激活函数为relu的全连接层进行数据降维到指定分类目标数m;添加softmax层将输出转化为分类的概率,最终输出维度为(10,m)。
9.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现如权利要求1~7任意一项所述的加密恶意流量检测方法。
10.一种实施权利要求1~7任意一项所述的加密恶意流量检测方法的加密恶意流量检测***,其特征在于,所述加密恶意流量检测***包括:
数据抓取模块,用于从网络环境中抓取网络流量至本地环境以进行后续处理;利用wireshark、tcpdump网络抓包工具监听需要进行检测的主机网卡,将抓取的流量发送至深度学习模型部署的服务器端后进行统一处理和分析;所述主机网卡为一台主机的单块网卡或多块网卡,或不同主机的相应网卡;
数据预处理模块,用于对数据进行预处理,对于每个会话,只取前八个数据包;对于选定数据包,取前150个字节;对于不足的包或字节,利用-1进行填充;训练时每个batch的大小设置为10,送入模型前的数据格式为(10,8,150);
字节维度特征提取模块,用于进行字节维度特征的提取,包括one-hot编码,并行一维卷积,并行池化操作,并行一维卷积,并行池化操作,并行全连接操作,并行注意力机制模块,全局最大池化操作,以及并行拼接操作;
数据包维度特征提取模块,用于进行数据包维度特征的提取,由两个并行的时间序列网络构成,分别为Bi-LSTM和skip-LSTM;
分类网络构建模块,用于进行Batch Normalize操作,利用激活函数为relu的全连接层进行数据降维到指定分类目标数m;添加softmax层将输出转化为分类的概率,最终输出维度为(10,m);
告警日志模块,用于对检测到的可疑恶意攻击流量进行信息采集,采集的信息包括恶意攻击的种类,判断为某种恶意攻击的概率,该恶意攻击的源IP地址、端口,将恶意攻击的以特定格式生成告警日志并将日志结果传输至对应流量抓取设备以供主机采取相应的防御策略,实现整套的分布式入侵检测方案。
CN202110814031.0A 2021-07-19 2021-07-19 一种加密恶意流量检测方法、检测***及计算机设备 Active CN113472809B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110814031.0A CN113472809B (zh) 2021-07-19 2021-07-19 一种加密恶意流量检测方法、检测***及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110814031.0A CN113472809B (zh) 2021-07-19 2021-07-19 一种加密恶意流量检测方法、检测***及计算机设备

Publications (2)

Publication Number Publication Date
CN113472809A true CN113472809A (zh) 2021-10-01
CN113472809B CN113472809B (zh) 2022-06-07

Family

ID=77881124

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110814031.0A Active CN113472809B (zh) 2021-07-19 2021-07-19 一种加密恶意流量检测方法、检测***及计算机设备

Country Status (1)

Country Link
CN (1) CN113472809B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113923042A (zh) * 2021-10-26 2022-01-11 南京邮电大学 一种恶意软件滥用DoH的检测识别***及方法
CN114189368A (zh) * 2021-11-30 2022-03-15 华中科技大学 一种多推理引擎兼容的实时流量检测***和方法
CN114285606A (zh) * 2021-12-08 2022-04-05 重庆邮电大学 一种针对物联网管理的DDoS多点协作式防御方法
CN114338437A (zh) * 2022-01-13 2022-04-12 北京邮电大学 网络流量分类方法、装置、电子设备及存储介质
CN114499983A (zh) * 2021-12-28 2022-05-13 北京六方云信息技术有限公司 Tor流量检测方法、装置、终端设备及存储介质
CN115802355A (zh) * 2023-01-20 2023-03-14 苏州派尔网络科技有限公司 一种移动物联网卡管理方法、装置及云平台
CN116248959A (zh) * 2023-05-12 2023-06-09 深圳市橙视科技发展有限公司 网络播放器故障检测方法、装置、设备及存储介质
CN116405278A (zh) * 2023-03-30 2023-07-07 华能信息技术有限公司 一种恶意攻击加密流量检测方法
CN116668085A (zh) * 2023-05-05 2023-08-29 山东省计算中心(国家超级计算济南中心) 基于lightGBM的流量多进程入侵检测方法及***

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107637041A (zh) * 2015-03-17 2018-01-26 英国电讯有限公司 恶意加密网络流量识别的习得的简况
CN109379377A (zh) * 2018-11-30 2019-02-22 极客信安(北京)科技有限公司 加密恶意流量检测方法、装置、电子设备及存储介质
CN111786986A (zh) * 2020-06-29 2020-10-16 华中科技大学 一种数控***网络入侵防范***及方法
CN112949702A (zh) * 2021-02-23 2021-06-11 广东工业大学 一种网络恶意加密流量识别方法和***
US20210185066A1 (en) * 2017-09-15 2021-06-17 Spherical Defence Labs Limited Detecting anomalous application messages in telecommunication networks
CN113612767A (zh) * 2021-07-31 2021-11-05 中山大学 基于多任务学习增强的加密恶意流量检测方法及***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107637041A (zh) * 2015-03-17 2018-01-26 英国电讯有限公司 恶意加密网络流量识别的习得的简况
US20210185066A1 (en) * 2017-09-15 2021-06-17 Spherical Defence Labs Limited Detecting anomalous application messages in telecommunication networks
CN109379377A (zh) * 2018-11-30 2019-02-22 极客信安(北京)科技有限公司 加密恶意流量检测方法、装置、电子设备及存储介质
CN111786986A (zh) * 2020-06-29 2020-10-16 华中科技大学 一种数控***网络入侵防范***及方法
CN112949702A (zh) * 2021-02-23 2021-06-11 广东工业大学 一种网络恶意加密流量识别方法和***
CN113612767A (zh) * 2021-07-31 2021-11-05 中山大学 基于多任务学习增强的加密恶意流量检测方法及***

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
YU ZHANG ETAL: "《STNN: A Novel TLS/SSL Encrypted Traffic Classification System based on Stereo Transform Neural Network》", 《2019 IEEE 25TH INTERNATIONAL CONFERENCE ON PARALLEL AND DISTRIBUTED SYSTEMS (ICPADS)》 *
邹源等: "基于LSTM循环神经网络的恶意加密流量检测", 《计算机应用与软件》 *
陈广等: "基于深度学习的加密流量分类与入侵检测", 《计算机测量与控制》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113923042A (zh) * 2021-10-26 2022-01-11 南京邮电大学 一种恶意软件滥用DoH的检测识别***及方法
CN113923042B (zh) * 2021-10-26 2023-09-15 南京邮电大学 一种恶意软件滥用DoH的检测识别***及方法
CN114189368A (zh) * 2021-11-30 2022-03-15 华中科技大学 一种多推理引擎兼容的实时流量检测***和方法
CN114285606B (zh) * 2021-12-08 2023-08-08 深圳市星华时代科技有限公司 一种针对物联网管理的DDoS多点协作式防御方法
CN114285606A (zh) * 2021-12-08 2022-04-05 重庆邮电大学 一种针对物联网管理的DDoS多点协作式防御方法
CN114499983A (zh) * 2021-12-28 2022-05-13 北京六方云信息技术有限公司 Tor流量检测方法、装置、终端设备及存储介质
CN114338437A (zh) * 2022-01-13 2022-04-12 北京邮电大学 网络流量分类方法、装置、电子设备及存储介质
CN114338437B (zh) * 2022-01-13 2023-12-29 北京邮电大学 网络流量分类方法、装置、电子设备及存储介质
CN115802355B (zh) * 2023-01-20 2023-05-09 苏州派尔网络科技有限公司 一种移动物联网卡管理方法、装置及云平台
CN115802355A (zh) * 2023-01-20 2023-03-14 苏州派尔网络科技有限公司 一种移动物联网卡管理方法、装置及云平台
CN116405278A (zh) * 2023-03-30 2023-07-07 华能信息技术有限公司 一种恶意攻击加密流量检测方法
CN116668085A (zh) * 2023-05-05 2023-08-29 山东省计算中心(国家超级计算济南中心) 基于lightGBM的流量多进程入侵检测方法及***
CN116668085B (zh) * 2023-05-05 2024-02-27 山东省计算中心(国家超级计算济南中心) 基于lightGBM的流量多进程入侵检测方法及***
CN116248959A (zh) * 2023-05-12 2023-06-09 深圳市橙视科技发展有限公司 网络播放器故障检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113472809B (zh) 2022-06-07

Similar Documents

Publication Publication Date Title
CN113472809B (zh) 一种加密恶意流量检测方法、检测***及计算机设备
Marín et al. Deepmal-deep learning models for malware traffic detection and classification
Liang et al. A long short-term memory enabled framework for DDoS detection
Duan et al. Application of a dynamic line graph neural network for intrusion detection with semisupervised learning
CN109450721B (zh) 一种基于深度神经网络的网络异常行为识别方法
CN111064678A (zh) 基于轻量级卷积神经网络的网络流量分类方法
CN110417729B (zh) 一种加密流量的服务与应用分类方法及***
Barthakur et al. A framework for P2P botnet detection using SVM
He et al. Deep‐Feature‐Based Autoencoder Network for Few‐Shot Malicious Traffic Detection
CN112532642B (zh) 一种基于改进Suricata引擎的工控***网络入侵检测方法
Wang et al. Using CNN-based representation learning method for malicious traffic identification
CN114239737A (zh) 一种基于时空特征与双层注意力的加密恶意流量检测方法
Hung et al. A botnet detection system based on machine-learning using flow-based features
Hartpence et al. Combating TCP port scan attacks using sequential neural networks
CN111464510A (zh) 一种基于快速梯度提升树模型的网络实时入侵检测方法
Yuan et al. Towards lightweight and efficient distributed intrusion detection framework
Dener et al. RFSE-GRU: Data balanced classification model for mobile encrypted traffic in big data environment
Das A deep transfer learning approach to enhance network intrusion detection capabilities for cyber security
CN116015788A (zh) 一种基于主动探测的恶意流量防护方法及***
Zhou et al. IoT unbalanced traffic classification system based on Focal_Attention_LSTM
Zhang et al. Malicious Traffic Classification for IoT based on Graph Attention Network and Long Short-Term Memory Network
Mestry et al. Deep learning-Based Real-time malicious network traffic detection system for Cyber-Physical Systems
Lin et al. Behaviour classification of cyber attacks using convolutional neural networks
Lama et al. A survey on network-based intrusion detection systems using machine learning algorithms
Howe et al. Feature engineering in machine learning-based intrusion detection systems for ot networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant