CN110290110B - 一种基于冗余检测架构的加密恶意流量识别方法及系统 - Google Patents

一种基于冗余检测架构的加密恶意流量识别方法及系统 Download PDF

Info

Publication number
CN110290110B
CN110290110B CN201910452365.0A CN201910452365A CN110290110B CN 110290110 B CN110290110 B CN 110290110B CN 201910452365 A CN201910452365 A CN 201910452365A CN 110290110 B CN110290110 B CN 110290110B
Authority
CN
China
Prior art keywords
redundancy detection
encrypted
encoder
particle
sparse self
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910452365.0A
Other languages
English (en)
Other versions
CN110290110A (zh
Inventor
张震
魏鹏
伊鹏
马海龙
陈祥
张鹏
周锟
袁征
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN201910452365.0A priority Critical patent/CN110290110B/zh
Publication of CN110290110A publication Critical patent/CN110290110A/zh
Application granted granted Critical
Publication of CN110290110B publication Critical patent/CN110290110B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于冗余检测架构的加密恶意流量识别方法,包括:通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;将多个所述稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别。本发明还公开一种基于冗余检测架构的加密恶意流量识别系统。本发明可降低计算成本,有利于保护合法用户的隐私性。

Description

一种基于冗余检测架构的加密恶意流量识别方法及系统
技术领域
本发明属于互联网加密流量识别技术领域,尤其涉及一种基于冗余检测架构的加密恶意流量识别方法及系统。
背景技术
随着网络服务器激增和网络架构愈发庞大,当前网络环境变得越来越复杂。网络中的流量数量呈指数增长,其中大量恶意流量也被不法用户进行了加密。根据思科所发布网络安全报告书,截止到2017年10月份,加密流量已经占据网络流量的一半,其中包括合法流量和恶意流量,且一年内检测到的加密恶意流量增长了三倍左右。加密恶意流量暴增的主要原因是网络攻击用户有意逃避网络安全检测和控制,利用恶意软件对通信流量加密。传统恶意流量检测方法(如应用层签名和深度包检测)不适用于加密流量,直接解密已加密的流量则会削弱用户隐私性,并且会大幅增加计算量。
发明内容
本发明针对传统恶意流量检测方法不适用于加密流量,直接解密已加密的流量则会削弱用户隐私性,且会大幅增加计算量的问题,提出一种基于冗余检测的加密恶意流量识别方法及系统。
为了实现上述目的,本发明采用以下技术方案:
一种基于冗余检测架构的加密恶意流量识别方法,包括:
步骤1:通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
步骤2:将多个所述稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;
步骤3:利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;
步骤4:通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别。
进一步地,还包括:
对加密流量进行采集,所述加密流量包括加密正常流量及加密恶意流量;
对加密流量进行处理,所述处理包括预处理、特征提取及数据降维。
进一步地,所述步骤1包括:
步骤101:根据所述加密流量,选取数据分别作为训练集和测试集;
步骤102:基于所述训练集,初始化粒子群视野范围、移动步长基准和试探次数,将稀疏自编码器网络结构中隐含层节点个数和粒子相对应,随机生成粒子群初始位置;
步骤103:更新得到粒子群位置及对应适应度值;适应度值Fitness计算公式如公式(1),适应度值越小,说明寻优得到的网络结构越优:
Figure BDA0002075546570000021
ERRate=1-Accuracy (2)
Figure BDA0002075546570000022
Figure BDA0002075546570000023
Figure BDA0002075546570000024
其中,a,b,c∈[0,1],表示权重参数;ERRate表示错误率;smax表示稀疏自编码器网络结构中隐含层中神经元个数最大值;sum(SAEh)表示稀疏自编码器网络结构中隐含层节点个数;FPRate表示漏报率,FNRate表示误报率,更新如公式(4)和(5);Accuracy表示分类准确率;TP和TN分别表示正确分类的加密正常流量和加密恶意流量数据数量;FP和FN分别表示错误分类的加密恶意流量和加密正常流量数据数量,即漏报数量和误报数量;
步骤104:判断是否满足终止条件,若满足则转至步骤108,否则转至步骤105;
步骤105:粒子群执行聚群行为:计算待聚群粒子与邻域中心粒子的位置和适应度值;若该粒子的适应度值优于邻域中心粒子的适应度值,转至步骤103,否则,该粒子向邻域中心粒子前进一步,转至步骤106;
步骤106:粒子群执行觅食行为:在视野范围内随机生成新粒子并计算其适应度值;若生成的新粒子在试探次数内依然满足步骤105中粒子前进的条件,则转至步骤103,否则转至步骤107;
步骤107:粒子群执行随机行为:当前粒子在视野范围内随机选择新粒子,然后向该粒子方向移动一步,转至步骤103;
步骤108:将多次迭代后的历史最优粒子作为全局优化解,并将所述全局优化解作为稀疏自编码器网络结构中隐含层节点个数。
进一步地,在所述步骤4之后,还包括:
通过识别结果对所述冗余检测架构进行更新。
进一步地,所述动态选择算法包括:随机选取及演化计算方法。
进一步地,所述对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决包括:
对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行多模裁决。
一种基于冗余检测架构的加密恶意流量识别系统,包括:
稀疏自编码器冗余检测模型构建模块,用于通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
初始冗余检测模型池构建模块,用于将所述多个稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;
冗余检测架构构建模块,用于利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;
裁决模块,用于通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别。
进一步地,还包括:
采集模块,用于对加密流量进行采集,所述加密流量包括加密正常流量及加密恶意流量;
处理模块,用于对加密流量进行处理,所述处理包括预处理、特征提取及数据降维。
进一步地,所述稀疏自编码器冗余检测模型构建模块包括:
数据划分子模块,用于根据所述加密流量,选取数据分别作为训练集和测试集;
粒子群初始化子模块,用于基于所述训练集,初始化粒子群视野范围、移动步长基准和试探次数,将稀疏自编码器网络结构中隐含层节点个数和粒子相对应,随机生成粒子群初始位置;
更新子模块,用于更新得到粒子群位置及对应适应度值;适应度值Fitness计算公式如公式(1),适应度值越小,说明寻优得到的网络结构越优:
Figure BDA0002075546570000041
ERRate=1-Accuracy (2)
Figure BDA0002075546570000042
Figure BDA0002075546570000043
Figure BDA0002075546570000044
其中,a,b,c∈[0,1],表示权重参数;ERRate表示错误率;smax表示稀疏自编码器网络结构中隐含层中神经元个数最大值;sum(SAEh)表示稀疏自编码器网络结构中隐含层节点个数;FPRate表示漏报率,FNRate表示误报率,更新如公式(4)和(5);Accuracy表示分类准确率;TP和TN分别表示正确分类的加密正常流量和加密恶意流量数据数量;FP和FN分别表示错误分类的加密恶意流量和加密正常流量数据数量,即漏报数量和误报数量;
第一判断子模块,用于判断是否满足终止条件,若满足则转至全局优化解得出子模块,否则转至第二判断子模块;
第二判断子模块,用于粒子群执行聚群行为:计算待测试粒子与邻域中心粒子的位置和适应度值;若该粒子的适应度值优于邻域中心粒子的适应度值,转至更新子模块,否则,该粒子向邻域中心粒子前进一步,转至第三判断子模块;
第三判断子模块,用于粒子群执行觅食行为:在视野范围内随机生成新粒子并计算其适应度值;若生成的新粒子在试探次数内依然满足第二判断子模块中粒子前进的条件,则转至更新子模块,否则转至随机选择子模块;
随机选择子模块,用于粒子群执行随机行为:当前粒子在视野范围内随机选择新粒子,然后向该粒子方向移动一步,转至更新子模块;
全局优化解得出子模块,用于将多次迭代后的历史最优粒子作为全局优化解,并将所述全局优化解作为稀疏自编码器网络结构中隐含层节点个数。
进一步地,还包括:
冗余检测架构更新模块,用于通过识别结果对所述冗余检测架构进行更新。
与现有技术相比,本发明具有的有益效果:
本发明设计了一种基于冗余检测架构的加密恶意流量识别方法及系统,用来识别加密的恶意流量。首先,设计了将鱼群思想用于优化粒子群算法;然后,将该优化算法用于寻优稀疏自编码的网络结构-各层隐含层节点个数;最后,将构建好的多个稀疏自编码分类模型当作冗余检测模块集。
与现有技术相比,本发明不依赖于载荷信息,不需要利用传统应用层签名和深度包检测等方法,有利于降低计算成本;也不需要解密出加密流量,有利于保护合法用户的隐私性,促进网络良性发展;通过构建多个基于不同网络结构的稀疏自编码器冗余检测模型对加密恶意流量进行分类,利用多模裁决确定加密恶意流量最终所属类别,最终实现“物以类聚、人以群分”的目标;本发明还可用于非法或合法用户行为分析、精细化识别加密恶意流量所属类别,对于商业增值业务挖掘、业务趋势预测以及网络安全管控具有重要意义。
附图说明
图1为本发明实施例一种基于冗余检测架构的加密恶意流量识别方法的基本流程图;
图2为本发明实施例另一种基于冗余检测架构的加密恶意流量识别方法的基本流程图;
图3为本发明实施例一种基于冗余检测架构的加密恶意流量识别方法的构建稀疏自编码器冗余检测模型流程图;
图4为本发明实施例一种基于冗余检测架构的加密恶意流量识别方法的稀疏自编码器冗余检测模型网络结构示意图;
图5为本发明实施例一种基于冗余检测架构的加密恶意流量识别系统的结构示意图;
图6为本发明实施例另一种基于冗余检测架构的加密恶意流量识别系统的结构示意图;
图7为本发明实施例一种基于冗余检测架构的加密恶意流量识别系统的稀疏自编码器冗余检测模型构建模块结构示意图。
具体实施方式
下面结合附图和具体的实施例对本发明做进一步的解释说明:
实施例一:
如图1所示,一种基于冗余检测架构的加密恶意流量识别方法,包括以下步骤:
步骤S101:通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
步骤S102:将多个所述稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;
步骤S103:利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;
步骤S104:通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别。
本发明设计了一种基于冗余检测架构的加密恶意流量识别方法及系统,用来识别加密的恶意流量。首先,设计了将鱼群思想用于优化粒子群算法;然后,将该优化算法用于寻优稀疏自编码的网络结构-各层隐含层节点个数;最后,将构建好的多个稀疏自编码冗余检测模型当作冗余检测架构。
与现有技术相比,本发明不依赖于载荷信息,不需要利用传统应用层签名和深度包检测等方法,有利于降低计算成本;也不需要解密出加密流量,有利于保护合法用户的隐私性,促进网络良性发展;通过构建多个基于不同网络结构的稀疏自编码器冗余检测模型对加密恶意流量进行分类,利用多模裁决确定加密恶意流量最终所属类别,最终实现“物以类聚、人以群分”的目标;本发明还可用于非法或合法用户行为分析、精细化识别加密恶意流量所属类别,对于商业增值业务挖掘、业务趋势预测以及网络安全管控具有重要意义。
实施例二:
如图2所示,另一种基于冗余检测架构的加密恶意流量识别方法,包括以下步骤:
步骤S201:对加密流量进行采集,所述加密流量包括加密正常流量及加密恶意流量;具体地,本实施中,加密流量为KDD CUP99网络入侵检测数据集,共包括四种加密恶意流量,分别为DOS(拒绝服务攻击,如ping-of-death,syn flood,smurf)、R2L(来自远程主机的未授权访问,如guessing password)、U2R(未授权的本地超级用户特权访问,如bufferoverflow attacks)及PROBING(端口监视或扫描,如port-scan,ping-sweep)。
步骤S202:对加密流量进行处理,所述处理包括预处理、特征提取及数据降维。
步骤S203:通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
具体地,如图3所示,所述步骤S203包括:
步骤S2031:根据所述加密流量,选取数据分别作为训练集和测试集;
步骤S2032:基于所述训练集,初始化粒子群视野范围、移动步长基准和试探次数,将稀疏自编码器(SAE)网络结构中隐含层节点个数和粒子相对应,随机生成粒子群初始位置;
步骤S2033:更新得到粒子群位置及对应适应度值;适应度值Fitness计算公式如公式(1),适应度值越小,说明寻优得到的网络结构越优:
Figure BDA0002075546570000071
ERRate=1-Accuracy (2)
Figure BDA0002075546570000072
Figure BDA0002075546570000073
Figure BDA0002075546570000074
其中,a,b,c∈[0,1],表示权重参数;ERRate表示错误率;smax表示稀疏自编码器网络结构中隐含层中神经元个数最大值;sum(SAEh)表示稀疏自编码器网络结构中隐含层节点个数;FPRate表示漏报率,FNRate表示误报率,更新如公式(4)和(5);Accuracy表示分类准确率;TP和TN分别表示正确分类的加密正常流量和加密恶意流量数据数量;FP和FN分别表示错误分类的加密恶意流量和加密正常流量数据数量,即漏报数量和误报数量;
步骤S2034:判断是否满足终止条件,若满足则转至步骤S2038,否则转至步骤S2035;具体地,本实施例中,终止条件指达到迭代次数,作为一种可实施方式,迭代次数为100;
步骤S2035:粒子群执行聚群行为:计算待测试粒子与邻域中心粒子的位置和适应度值;若该粒子的适应度值优于邻域中心粒子的适应度值,转至步骤S2033,否则,该粒子向邻域中心粒子前进一步,转至步骤S2036;
步骤S2036:粒子群执行觅食行为:在视野范围内随机生成新粒子并计算其适应度值;若生成的新粒子在试探次数内依然满足步骤S2035中粒子前进的条件,则转至步骤S2033,否则转至步骤S2037;
步骤S2037:粒子群执行随机行为:当前粒子在视野范围内随机选择新粒子,然后向该粒子方向移动一步,转至步骤S2033;
步骤S2038:将多次迭代后的历史最优粒子作为全局优化解,并将所述全局优化解作为稀疏自编码器网络结构中隐含层节点个数,从而得出稀疏自编码器冗余检测模型,稀疏自编码器冗余检测模型网络结构如图4所示,包括1层输入层、1层隐含层及1层输出层,不同的稀疏自编码器冗余检测模型的隐含层节点个数不同。
值得说明的是,稀疏自编码器网络结构中隐含层中神经元个数通过设定得出;通过构建如公式(1)的适应度函数,在确保Accuracy的前提下,本发明可找到稀疏自编码器网络结构最优隐含层,实现了对稀疏自编码器网络结构的寻优;由于粒子群初始位置为随机生成的,不同的粒子群初始位置,通过步骤S2031至步骤S2038得出的稀疏自编码器网络结构中隐含层节点个数可能不同,故可得出不同网络结构的稀疏自编码器冗余检测模型,该不同之处体现在隐含层节点个数,即隐含层节点个数不同。
步骤S204:将多个所述稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池。
步骤S205:利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构。
具体地,所述动态选择算法包括:随机选取及演化计算方法(基于群体策略)。
步骤S206:通过所述冗余检测架构对测试集中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别。
具体地,所述对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决包括:对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行多模裁决。
步骤S207:通过识别结果对所述冗余检测架构进行更新。
恶意软件通过使用加密协议避免网络威胁检测,使得传统模式匹配技术很难识别出恶意软件产生的加密恶意流量。但加密协议对流量加密时引入了一组可观察数据特征(流统计特征),基于可观察数据特征对服务器和客户端进行推理判断,有利于检测和识别恶意软件通信时产生的加密恶意流量。加密恶意流量识别主要任务是识别出加密流量中恶意流量,通过确定识别目标和识别类型,来确定合适识别方法,加密恶意流量识别方法主要分为基于载荷检测、基于主机行为、基于机器学习、基于多种策略混合方法、基于深度学习5类。目前,深度学习方法相比其他方法分类性能更好,且适用于高维度数据。
本发明基于深度学习设计了一种基于冗余检测架构的加密恶意流量识别方法及系统,用来识别加密的恶意流量。首先,设计了将鱼群思想用于优化粒子群算法;然后,将该优化算法用于寻优稀疏自编码的网络结构-各层隐含层节点个数;最后,将构建好的多个稀疏自编码分类模型当作冗余检测模块集。
与现有技术相比,本发明不依赖于载荷信息,不需要利用传统应用层签名和深度包检测等方法,有利于降低计算成本;也不需要解密出加密流量,有利于保护合法用户的隐私性,促进网络良性发展;通过构建多个基于不同网络结构的稀疏自编码器冗余检测模型对加密恶意流量进行分类,利用多模裁决确定加密恶意流量最终所属类别,最终实现“物以类聚、人以群分”的目标;本发明还可用于非法或合法用户行为分析、精细化识别加密恶意流量所属类别,对于商业增值业务挖掘、业务趋势预测以及网络安全管控具有重要意义。
实施例三:
如图5所示,一种基于冗余检测的加密恶意流量识别系统,包括:
稀疏自编码器冗余检测模型构建模块301,用于通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
初始冗余检测模型池构建模块302,用于将所述多个稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;
冗余检测架构构建模块303,用于利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;
裁决模块304,用于通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别。
实施例四:
如图6所示,另一种基于冗余检测的加密恶意流量识别系统,包括:
采集模块401,用于对加密流量进行采集,所述加密流量包括加密正常流量及加密恶意流量;
处理模块402,用于对加密流量进行处理,所述处理包括预处理、特征提取及数据降维。
稀疏自编码器冗余检测模型构建模块403,用于通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
初始冗余检测模型池构建模块404,用于将所述多个稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;
冗余检测架构构建模块405,用于利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;
裁决模块406,用于通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别。
冗余检测架构更新模块407,用于通过识别结果对所述冗余检测架构进行更新。
具体地,如图7所示,所述稀疏自编码器冗余检测模型构建模块403包括:
数据划分子模块4031,用于根据所述加密流量,选取数据分别作为训练集和测试集;
粒子群初始化子模块4032,用于基于所述训练集,初始化粒子群视野范围、移动步长基准和试探次数,将稀疏自编码器网络结构中隐含层节点个数和粒子相对应,随机生成粒子群初始位置;
更新子模块4033,用于更新得到粒子群位置及对应适应度值;适应度值Fitness计算公式如公式(1),适应度值越小,说明寻优得到的网络结构越优:
Figure BDA0002075546570000111
ERRate=1-Accuracy (2)
Figure BDA0002075546570000112
Figure BDA0002075546570000113
Figure BDA0002075546570000114
其中,a,b,c∈[0,1],表示权重参数;ERRate表示错误率;smax表示稀疏自编码器网络结构中隐含层中神经元个数最大值;sum(SAEh)表示稀疏自编码器网络结构中隐含层节点个数;FPRate表示漏报率,FNRate表示误报率,更新如公式(4)和(5);Accuracy表示分类准确率;TP和TN分别表示正确分类的加密正常流量和加密恶意流量数据数量;FP和FN分别表示错误分类的加密恶意流量和加密正常流量数据数量,即漏报数量和误报数量;
第一判断子模块4034,用于判断是否满足终止条件,若满足则转至全局优化解得出子模块4038,否则转至第二判断子模块4035;
第二判断子模块4035,用于粒子群执行聚群行为:计算待测试粒子与邻域中心粒子的位置和适应度值;若该粒子的适应度值优于邻域中心粒子的适应度值,转至更新子模块4033,否则,该粒子向邻域中心粒子前进一步,转至第三判断子模块4036;
第三判断子模块4036,用于粒子群执行觅食行为:在视野范围内随机生成新粒子并计算其适应度值;若生成的新粒子在试探次数内依然满足第二判断子模块中粒子前进的条件,则转至更新子模块4033,否则转至随机选择子模块4037;
随机选择子模块4037,用于粒子群执行随机行为:当前粒子在视野范围内随机选择新粒子,然后向该粒子方向移动一步,转至更新子模块4033;
全局优化解得出子模块4038,用于将多次迭代后的历史最优粒子作为全局优化解,并将所述全局优化解作为稀疏自编码器网络结构中隐含层节点个数。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种基于冗余检测架构的加密恶意流量识别方法,其特征在于,包括:
步骤1:通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
步骤2:将多个所述稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;
步骤3:利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;
步骤4:通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别;
所述步骤1包括:
步骤101:根据所述加密流量,选取数据分别作为训练集和测试集;
步骤102:基于所述训练集,初始化粒子群视野范围、移动步长基准和试探次数,将稀疏自编码器网络结构中隐含层节点个数和粒子相对应,随机生成粒子群初始位置;
步骤103:更新得到粒子群位置及对应适应度值;适应度值Fitness计算公式如公式(1),适应度值越小,说明寻优得到的网络结构越优:
Figure FDA0003080381340000011
ERRate=1-Accuracy (2)
Figure FDA0003080381340000012
Figure FDA0003080381340000013
Figure FDA0003080381340000014
其中,a,b,c∈[0,1],表示权重参数;ERRate表示错误率;smax表示稀疏自编码器网络结构中隐含层中神经元个数最大值;sum(SAEh)表示稀疏自编码器网络结构中隐含层节点个数;FPRate表示漏报率,FNRate表示误报率,更新如公式(4)和(5);Accuracy表示分类准确率;TP和TN分别表示正确分类的加密正常流量和加密恶意流量数据数量;FP和FN分别表示错误分类的加密恶意流量和加密正常流量数据数量,即漏报数量和误报数量;
步骤104:判断是否满足终止条件,若满足则转至步骤108,否则转至步骤105;
步骤105:粒子群执行聚群行为:计算待聚群粒子与邻域中心粒子的位置和适应度值;若该粒子的适应度值优于邻域中心粒子的适应度值,转至步骤103,否则,该粒子向邻域中心粒子前进一步,转至步骤106;
步骤106:粒子群执行觅食行为:在视野范围内随机生成新粒子并计算其适应度值;若生成的新粒子在试探次数内依然满足步骤105中粒子前进的条件,则转至步骤103,否则转至步骤107;
步骤107:粒子群执行随机行为:当前粒子在视野范围内随机选择新粒子,然后向该粒子方向移动一步,转至步骤103;
步骤108:将多次迭代后的历史最优粒子作为全局优化解,并将所述全局优化解作为稀疏自编码器网络结构中隐含层节点个数。
2.根据权利要求1所述的一种基于冗余检测架构的加密恶意流量识别方法,其特征在于,在步骤1之前,还包括:
对加密流量进行采集,所述加密流量包括加密正常流量及加密恶意流量;
对加密流量进行处理,所述处理包括预处理、特征提取及数据降维。
3.根据权利要求1所述的一种基于冗余检测架构的加密恶意流量识别方法,其特征在于,在所述步骤4之后,还包括:
通过识别结果对所述冗余检测架构进行更新。
4.根据权利要求1所述的一种基于冗余检测架构的加密恶意流量识别方法,其特征在于,所述动态选择算法包括:随机选取及演化计算方法。
5.根据权利要求1所述的一种基于冗余检测架构的加密恶意流量识别方法,其特征在于,所述对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决包括:
对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行多模裁决。
6.一种基于冗余检测架构的加密恶意流量识别系统,其特征在于,包括:
稀疏自编码器冗余检测模型构建模块,用于通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型;
初始冗余检测模型池构建模块,用于将所述多个稀疏自编码器冗余检测模型组成冗余检测模型池,从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池;
冗余检测架构构建模块,用于利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型,作为冗余检测架构;
裁决模块,用于通过所述冗余检测架构对加密流量中的加密恶意流量进行识别,对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决,判定加密恶意流量所属类别;
所述稀疏自编码器冗余检测模型构建模块包括:
数据划分子模块,用于根据所述加密流量,选取数据分别作为训练集和测试集;
粒子群初始化子模块,用于基于所述训练集,初始化粒子群视野范围、移动步长基准和试探次数,将稀疏自编码器网络结构中隐含层节点个数和粒子相对应,随机生成粒子群初始位置;
更新子模块,用于更新得到粒子群位置及对应适应度值;适应度值Fitness计算公式如公式(1),适应度值越小,说明寻优得到的网络结构越优:
Figure FDA0003080381340000031
ERRate=1-Accuracy (2)
Figure FDA0003080381340000032
Figure FDA0003080381340000033
Figure FDA0003080381340000034
其中,a,b,c∈[0,1],表示权重参数;ERRate表示错误率;smax表示稀疏自编码器网络结构中隐含层中神经元个数最大值;sum(SAEh)表示稀疏自编码器网络结构中隐含层节点个数;FPRate表示漏报率,FNRate表示误报率,更新如公式(4)和(5);Accuracy表示分类准确率;TP和TN分别表示正确分类的加密正常流量和加密恶意流量数据数量;FP和FN分别表示错误分类的加密恶意流量和加密正常流量数据数量,即漏报数量和误报数量;
第一判断子模块,用于判断是否满足终止条件,若满足则转至全局优化解得出子模块,否则转至第二判断子模块;
第二判断子模块,用于粒子群执行聚群行为:计算待测试粒子与邻域中心粒子的位置和适应度值;若该粒子的适应度值优于邻域中心粒子的适应度值,转至更新子模块,否则,该粒子向邻域中心粒子前进一步,转至第三判断子模块;
第三判断子模块,用于粒子群执行觅食行为:在视野范围内随机生成新粒子并计算其适应度值;若生成的新粒子在试探次数内依然满足第二判断子模块中粒子前进的条件,则转至更新子模块,否则转至随机选择子模块;
随机选择子模块,用于粒子群执行随机行为:当前粒子在视野范围内随机选择新粒子,然后向该粒子方向移动一步,转至更新子模块;
全局优化解得出子模块,用于将多次迭代后的历史最优粒子作为全局优化解,并将所述全局优化解作为稀疏自编码器网络结构中隐含层节点个数。
7.根据权利要求6所述的一种基于冗余检测架构的加密恶意流量识别系统,其特征在于,还包括:
采集模块,用于对加密流量进行采集,所述加密流量包括加密正常流量及加密恶意流量;
处理模块,用于对加密流量进行处理,所述处理包括预处理、特征提取及数据降维。
8.根据权利要求6所述的一种基于冗余检测架构的加密恶意流量识别系统,其特征在于,还包括:
冗余检测架构更新模块,用于通过识别结果对所述冗余检测架构进行更新。
CN201910452365.0A 2019-05-28 2019-05-28 一种基于冗余检测架构的加密恶意流量识别方法及系统 Active CN110290110B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910452365.0A CN110290110B (zh) 2019-05-28 2019-05-28 一种基于冗余检测架构的加密恶意流量识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910452365.0A CN110290110B (zh) 2019-05-28 2019-05-28 一种基于冗余检测架构的加密恶意流量识别方法及系统

Publications (2)

Publication Number Publication Date
CN110290110A CN110290110A (zh) 2019-09-27
CN110290110B true CN110290110B (zh) 2021-08-03

Family

ID=68002666

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910452365.0A Active CN110290110B (zh) 2019-05-28 2019-05-28 一种基于冗余检测架构的加密恶意流量识别方法及系统

Country Status (1)

Country Link
CN (1) CN110290110B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110784381B (zh) * 2019-11-05 2021-04-13 安徽师范大学 一种基于粒子计算的流量分类方法
CN113033614A (zh) * 2021-02-27 2021-06-25 中国人民解放军战略支援部队信息工程大学 网络流量数据处理方法及系统
CN113329023A (zh) * 2021-05-31 2021-08-31 西北大学 一种加密流量恶意性检测模型建立、检测方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统
CN107292166A (zh) * 2017-05-18 2017-10-24 广东工业大学 一种基于cfa算法和bp神经网络的入侵检测方法
CN109688154A (zh) * 2019-01-08 2019-04-26 上海海事大学 一种网络入侵检测模型建立方法及网络入侵检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统
CN107292166A (zh) * 2017-05-18 2017-10-24 广东工业大学 一种基于cfa算法和bp神经网络的入侵检测方法
CN109688154A (zh) * 2019-01-08 2019-04-26 上海海事大学 一种网络入侵检测模型建立方法及网络入侵检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种基于DBN的入侵检测误报消除算法;魏鹏等;《计算机仿真》;20190228;245-254 *

Also Published As

Publication number Publication date
CN110290110A (zh) 2019-09-27

Similar Documents

Publication Publication Date Title
Keshk et al. A privacy-preserving-framework-based blockchain and deep learning for protecting smart power networks
WO2021077642A1 (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
Osanaiye et al. Ensemble-based multi-filter feature selection method for DDoS detection in cloud computing
Nguyen et al. Design and implementation of intrusion detection system using convolutional neural network for DoS detection
Wang et al. An exhaustive research on the application of intrusion detection technology in computer network security in sensor networks
CN110290110B (zh) 一种基于冗余检测架构的加密恶意流量识别方法及系统
CN110213226B (zh) 基于风险全要素辨识关联的网络攻击场景重建方法及系统
CN113242230B (zh) 一种基于智能合约的多级认证与访问控制系统及方法
Lin et al. Internet of things intrusion detection model and algorithm based on cloud computing and multi-feature extraction extreme learning machine
Sabri et al. Identifying false alarm rates for intrusion detection system with data mining
CN115065458B (zh) 一种数据加密传输的电子商务交易系统
CN113111359A (zh) 基于信息安防的大数据资源共享方法及资源共享系统
Guo et al. Learning to upgrade internet information security and protection strategy in big data era
Ahmim et al. A new adaptive intrusion detection system based on the intersection of two different classifiers
Rakhimberdiev et al. Prospects for the use of neural network models in the prevention of possible network attacks on modern banking information systems based on blockchain technology in the context of the digital economy
Srivastava et al. An effective computational technique for taxonomic position of security vulnerability in software development
Fernando et al. Network attacks identification using consistency based feature selection and self organizing maps
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Bhingarkar et al. FLNL: Fuzzy entropy and lion neural learner for EDoS attack mitigation in cloud computing
Sharma et al. Towards MapReduce based classification approaches for Intrusion Detection
Gautam et al. Anomaly detection system using entropy based technique
Srilatha et al. DDoSNet: A Deep Learning Model for detecting Network Attacks in Cloud Computing
Kadam et al. Real-time intrusion detection with genetic, fuzzy, pattern matching algorithm
Mohammed et al. Evaluating machine learning algorithms to detect and classify attacks in IoT
Chen et al. An Investigation of Recent Backdoor Attacks and Defenses in Federated Learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant