CN110995713A - 一种基于卷积神经网络的僵尸网络检测系统及方法 - Google Patents

一种基于卷积神经网络的僵尸网络检测系统及方法 Download PDF

Info

Publication number
CN110995713A
CN110995713A CN201911239779.1A CN201911239779A CN110995713A CN 110995713 A CN110995713 A CN 110995713A CN 201911239779 A CN201911239779 A CN 201911239779A CN 110995713 A CN110995713 A CN 110995713A
Authority
CN
China
Prior art keywords
network
dimensional
network data
convolutional neural
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911239779.1A
Other languages
English (en)
Inventor
刘世岳
刘俊奕
陈振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN201911239779.1A priority Critical patent/CN110995713A/zh
Publication of CN110995713A publication Critical patent/CN110995713A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于卷积神经网络的僵尸网络检测系统及方法,所述检测系统包括:网络流特征提取模块,用于根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC‑IP地址对、源目的IP地址对和源目的套接字对;网络流特征预处理模块,用于对所述一维特征进行标准化和多元变量关联,得到二维特征;僵尸网络检测模块,用于利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。通过本发明的上述系统能够提高对僵尸网络检测的精确度。

Description

一种基于卷积神经网络的僵尸网络检测系统及方法
技术领域
本发明涉及计算机网络安全技术领域,特别是涉及一种基于卷积神经网络的僵尸网络检测系统及方法。
背景技术
僵尸网络就是通过入侵网络空间内若干终端构建的可被攻击者远程控制的可协同计算机集群,经过多年的发展已成为当前互联网最严重的安全问题之一。互联网的飞速发展使它已高度融入到人类社会生活的方方面面,每一次网络安全事件的发生都会对社会造成极大的影响,因此网络安全不仅是整个互联网正常工作的基础,也是社会良性发展的保障。随着僵尸网络的快速演变和威胁程度的增加,迫切需要对其展开相应的研究工作。僵尸网络的检测是所有后续研究的基础,具有较高的研究价值和优先级。
现有僵尸网络检测技术存在如下问题:
①传统的僵尸网络检测方法通常需要对僵尸网络进行深入分析研究,总结其特性和运行规律,然后设计算法进行检测。这些方法依赖于僵尸网络的一些已知特性,对新型和变种僵尸网络的检测效果较差。
②使用经典机器学习算法的僵尸网络检测方法通常基于对网络流的直观理解进行人工特征提取,特征的好坏会直接影响检测效果,对于复杂网络数据,人工提取的特征往往不能满足需求。且对于复杂的特征集合,经典机器学习算法的特征表达能力不足,导致最终检测效果较差。
综上,在当前僵尸网络产生新变种的速度越来越快,网络背景流量越来越复杂这一条件下,人工提取特征日趋困难,经典机器学习算法表现不佳,现有的僵尸网络检测技术无法取得较好的检测效果。
发明内容
本发明的目的是提供一种基于卷积神经网络的僵尸网络检测系统及方法,提高对僵尸网络检测的精确度。
为实现上述目的,本发明提供了如下方案:
一种基于卷积神经网络的僵尸网络检测系统,所述检测系统包括:
网络流特征提取模块,用于根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;
网络流特征预处理模块,用于对所述一维特征进行标准化和多元变量关联,得到二维特征;
僵尸网络检测模块,用于利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。
可选的,所述检测系统还包括:数据获取模块,用于获取设定时间内待测网络各节点的网络数据,所述网络数据包括多个网络数据包。
可选的,所述网络流特征提取模块包括:
网络数据包处理单元,用于从各所述网络数据包的包头中提取包头数据,所述包头数据包括:源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小;
网络流分析单元,用于根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据,记为网络流;
网络流统计值计算单元,用于根据所述网络流中网络数据包的数量、获取时间和设定数值,采用增量衰减统计算法得到网络流统计值,所述网络流统计值为多个;
网络流特征组合单元,用于将所述网络流统计值组合成一个一维向量,得到一维特征。
可选的,所述网络流特征预处理模块包括:
特征标准化单元,用于利用Z-score算法对所述一维特征进行标准化,得到标准一维特征;
多元变量关联单元,用于利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联,得到二维特征。
可选的,所述预先训练好的卷积神经网络为八层卷积神经网络。
一种基于卷积神经网络的僵尸网络检测方法,所述检测方法包括:
根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;
对所述一维特征进行标准化和多元变量关联,得到二维特征;
利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。
可选的,所述检测方法还包括:获取设定时间内待测网络各节点的网络数据,所述网络数据包括多个网络数据包。
可选的,所述根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的统计属性得到网络流的一维特征,具体包括:
从各所述网络数据包的包头中提取包头数据,所述包头数据包括:源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小;
根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据,记为网络流;
根据所述网络流中网络数据包的数量、获取时间和设定数值,采用增量衰减统计算法得到网络流统计值,所述网络流统计值为多个;
将所述网络流统计值组合成一个一维向量,得到一维特征。
可选的,所述对所述网络流的一维特征进行标准化和多元变量关联,得到网络流的二维特征,具体包括:
利用Z-score算法对所述一维特征进行标准化,得到标准一维特征;
利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联,得到二维特征。
可选的,所述预先训练好的卷积神经网络为八层卷积神经网络。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明涉及一种基于卷积神经网络的僵尸网络检测系统及方法,所述检测系统包括:网络流特征提取模块,用于根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;网络流特征预处理模块,用于对所述一维特征进行标准化和多元变量关联,得到二维特征;僵尸网络检测模块,用于利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。通过本发明的上述系统能够提高对僵尸网络检测的精确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一种基于卷积神经网络的僵尸网络检测系统的结构示意图;
图2为本发明实施例网络流特征提取模块的流程示意图;
图3为本发明实施例网络流特征预处理模块的流程示意图;
图4为本发明实施例利用某物联网设备产生的流量进行特征提取和特征预处理后得到的二维特征的可视化图;
图5为本发明实施例卷积神经网络结构示意图;
图6为本发明实施例一种基于卷积神经网络的僵尸网络检测方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于卷积神经网络的僵尸网络检测系统,提高对僵尸网络检测的精确度。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明实施例一种基于卷积神经网络的僵尸网络检测系统的结构示意图,参见图1,一种基于卷积神经网络的僵尸网络检测系统,所述检测系统包括:
网络流特征提取模块20,用于根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;
网络流特征预处理模块40,用于对所述一维特征进行标准化和多元变量关联,得到二维特征;
僵尸网络检测模块60,用于利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。
作为一种实施方式,本发明所述检测系统还包括:数据获取模块10,用于获取设定时间内待测网络各节点的网络数据,所述网络数据包括多个网络数据包。
下面对各模块进行详细介绍:
图2为本发明实施例网络流特征提取模块的流程示意图,参见图2,所述网络流特征提取模块20包括:
网络数据包处理单元21,用于从各所述网络数据包的包头中提取包头数据,所述包头数据包括:源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小;
网络流分析单元22,用于根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据,记为网络流;
网络流统计值计算单元23,用于根据所述网络流中网络数据包的数量、获取时间和设定数值,采用增量衰减统计算法得到网络流统计值,所述网络流统计值为多个;
网络流特征组合单元24,用于将所述网络流统计值组合成一个一维向量,得到一维特征。
具体的,网络数据包处理单元21用于从网络数据包的包头中提取8个数据,包括:源IP地址(src IP)、目的IP地址(dst IP)、源端口(src port)、目的端口(dst port)、源MAC地址(src MAC)、目的MAC地址(dst MAC)、时间戳(t)、包大小(v)。
进一步地,用上述数据按照源IP地址(src IP)、源MAC-IP地址对(src MAC-IP)、源目的IP地址对(src/dst IP)、源目的套接字对(src/dst IP:port)组合成四个分类信息。
假设从某网络数据包的包头中提取的8个数据如下表1所示:
表1
数据名称 数据值 数据类型
源IP地址 192.168.1.1 string
目的IP地址 192.168.1.2 string
源端口 10 string
目的端口 20 string
源MAC地址 AA:AA:AA:AA:AA:AA string
目的MAC地址 BB:BB:BB:BB:BB:BB string
时间戳 99.000000000 float
包大小 500 int
进一步地,上述数据组合成的四个分类信息如下表2所示:
表2
分类信息 分类信息内容 数据类型
源IP地址 192.168.1.1 string
源MAC-IP地址对 192.168.1.1-AA:AA:AA:AA:AA:AA string
源目的IP地址对 192.168.1.1/192.168.1.2 string
源目的套接字对 192.168.1.1:10/192.168.1.2:20 string
网络流分析单元22用于根据上述四个分类信息,即按照设定的属性将具有相同分类信息内容的网络数据包分为同一类,并将同一类网络数据包记为网络流i。令
Figure BDA0002305880860000061
为网络流i的无界数据序列,其中
Figure BDA0002305880860000062
表示该网络流中第n个网络数据包的某项数值(包数量、包大小或时间间隔)。网络流i的数量、数值、时间数据存储在一个数组
Figure BDA0002305880860000071
中:
Figure BDA0002305880860000072
其中,λ>0为衰减因子,记γ为衰减系数,则有:
γ=2-λt (2)
其中,t表示两次捕获网络数据包的时间间隔,衰减因子与时间窗口有一定的对应关系,如下表3所示:
表3
Figure BDA00023058808600000711
经多次试验,本发明实施例中选取最佳衰减因子λ=0.01。
式(1)中ω表示最近捕获的网络数据包的数量;S、SS分别表示目前为止捕获的网络数据包某项数值的和与平方和;SRij表示残差积之和,计算方法为:
SRij=∑rirj (3)
其中,ri和rj分别表示网络流i和j的残差,计算方法为(以ri为例,rj有相同形式):
Figure BDA0002305880860000073
其中,
Figure BDA0002305880860000074
的计算方法为:
Figure BDA0002305880860000075
式(1)中Tlast是数组
Figure BDA0002305880860000076
最后一次更新的时间戳。
Figure BDA0002305880860000077
中所有元素的初始值为0,在Tcur时刻用数据
Figure BDA0002305880860000078
和流j的残差rj更新
Figure BDA0002305880860000079
的方法如下表4所示:
表4
Figure BDA00023058808600000710
Figure BDA0002305880860000081
网络流统计值计算单元23用于利用数组
Figure BDA0002305880860000082
计算网络流i的统计值,进一步地,统计值包括:
权值ω,在
Figure BDA0002305880860000083
中已给出。
期望
Figure BDA0002305880860000084
计算方法在式(5)中已给出。
方差
Figure BDA0002305880860000085
计算方法为:
Figure BDA0002305880860000086
进一步地,网络流统计值计算单元23利用数组
Figure BDA0002305880860000087
和相关网络流的数组集合
Figure BDA0002305880860000088
计算网络流i和相关网络流{1,...,n}的统计值。上述相关流是指,如果是使用源目的IP地址对这一分类信息进行分类的网络数据包,若具有相同的IP地址(不区分方向),则说明所述网络数据包所在的网络流具有相关性;如果是使用源目的套接字对这一分类信息进行分类的网络数据包,若具有相同的套接字(不区分方向),则说明所述网络数据包所在的网络流具有相关性。
进一步地,所述统计值包括:
幅值
Figure BDA0002305880860000089
计算方法为:
Figure BDA00023058808600000810
半径
Figure BDA00023058808600000811
计算方法为:
Figure BDA00023058808600000812
近似协方差
Figure BDA00023058808600000813
计算方法为:
Figure BDA00023058808600000814
近似相关系数
Figure BDA00023058808600000815
计算方法为:
Figure BDA00023058808600000816
综上,网络流统计值计算单元23利用分类信息和历史网络数据包数量、数值、时间数据计算网络流统计值,如下表5所示:
表5
Figure BDA0002305880860000091
网络流特征组合单元24将上述网络流统计值组合成长度为23的特征向量,所述特征向量即网络流特征提取模块20输出的一维特征,如下表6所示:
表6
Figure BDA0002305880860000092
Figure BDA0002305880860000101
图3为本发明实施例网络流特征预处理模块的流程示意图,参见图3,所述网络流特征预处理模块40包括:
特征标准化单元41,用于利用Z-score算法对所述一维特征进行标准化,得到标准一维特征;
多元变量关联单元42,用于利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联,得到二维特征。
具体的,通过上述网络流特征提取模块20在给定衰减因子对应的时间窗口内,得到一维特征样本集合记为:
Sv=[s1,s2,...,sn]T (11)
本发明实施例中取n=10000,式(11)中第i个样本用特征向量表示为:
Figure BDA0002305880860000102
其中,
Figure BDA0002305880860000103
表示该样本中第j维特征,m=23,则一维特征样本集合Sv可以表示成矩阵形式为:
Figure BDA0002305880860000104
特征标准化单元41利用Z-score算法对上述一维特征样本集合Sv进行特征归一化的流程如下表7所示,输出为标准化后的一维特征样本集合,即输出标准一维特征。
表7
Figure BDA0002305880860000105
Figure BDA0002305880860000111
对于上述标准化后的一维特征样本集合Sv,多元变量关联单元42将第i个样本si视为m维空间内的一点
Figure BDA0002305880860000112
Figure BDA0002305880860000113
投影到kl轴组成的二维欧氏子空间
Figure BDA0002305880860000114
投影过程可以描述为:
Figure BDA0002305880860000115
其中,1≤k,,l≤m且k≠l,εk和εl具有如下形式(以εk为例,εl有相同形式):
εk=[ek,1,ek,2,...,ek,m] (15)
其中:
Figure BDA0002305880860000116
可得:
Figure BDA0002305880860000117
Figure BDA0002305880860000118
上的平面投影点
Figure BDA0002305880860000119
再分别向k轴和l轴投影,这两个轴投影点和原点O构成的三角形区域
Figure BDA00023058808600001110
面积
Figure BDA00023058808600001111
定义为:
Figure BDA00023058808600001112
Figure BDA00023058808600001113
可以看成样本si的第k,l个特征
Figure BDA00023058808600001114
Figure BDA00023058808600001115
的关联值,最终得到si的多元变量关联矩阵为:
Figure BDA00023058808600001116
对于样本数量为n的标准化后的一维特征样本集合Sv,最终可以得到基于三角面积映射的多元变量关联形式为:
Figure BDA00023058808600001117
上述基于三角面积映射的特征多元关联算法流程如下表8所示:
表8
Figure BDA0002305880860000121
所述僵尸网络检测模块60具体流程为:
优选的,所述预先训练好的卷积神经网络为八层卷积神经网络。
本实施例以某物联网智能设备为实验对象,先让设备正常工作一段时间;进一步地,植入某僵尸程序感染设备,依次下发5种攻击指令,包括:端口扫描、ACK flood、SYNflood、UDP flood和UDPplain flood;进一步地,捕获整个运行阶段的进出流量,用上述网络流特征提取模块20提取流量的一维特征,并用上述网络流特征预处理模块40将一维特征转换为二维特征;进一步地,将上述不同流量的二维特征灰度图像化,得到可视化结果如图4所示。明显地,正常流量和攻击流量的图像之间具有视觉上的较大差异,说明本发明提供的特征提取和预处理方法具有较好的特征描述能力。
上述网络流特征预处理模块40输出的二维特征作为僵尸网络检测模块60的输入,被送入如图5所示的卷积神经网络进行模型训练或分类检测。进行模型训练时,准备一批训练数据,卷积神经网络学习这些数据并更新各层的参数,训练结束后,得到一个具有僵尸网络检测能力的卷积神经网络模型并进行存储。进行分类检测时,输入检测数据,调用上述训练完成并存储好的卷积神经网络对数据进行识别和分类,输出的分类结果为形如[p1,p2]的概率分布向量,向量第一个元素p1对应标签0,表示该网络数据包为良性流量;第二个元素p2对应标签1,表示该网络数据包为僵尸网络产生的恶意流量。概率超过0.5的元素对应的标签即为最终的检测结果。
本实施例使用如下评价指标评估针对某僵尸网络数据集的检测效果:
检测率:
Figure BDA0002305880860000131
误报率:
Figure BDA0002305880860000132
漏报率:
Figure BDA0002305880860000133
查准率:
Figure BDA0002305880860000134
准确率:
Figure BDA0002305880860000135
其中,TP、TN、FP、FN分别表示实际为正例且被预测为正例、实际为负例且被预测为负例、实际为负例但被预测为正例、实际为正例但被预测为负例。上述正例指来自僵尸网络的恶意流量,负例指良性流量。
实验表明,本发明实施例最终达到了96.28%的检测率,2.19%的误报率,3.72%的漏报率,98.57%的查准率,97.61%的准确率。
图6为本发明实施例一种基于卷积神经网络的僵尸网络检测方法的流程图,参见图6,一种基于卷积神经网络的僵尸网络检测方法,所述检测方法包括:
步骤601:根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;
步骤602:对所述一维特征进行标准化和多元变量关联,得到二维特征;
步骤603:利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。
作为一种实施方式,本发明所述检测方法还包括:在步骤601之前,获取设定时间内待测网络各节点的网络数据,所述网络数据包括多个网络数据包。
所述步骤601,具体包括:
从各所述网络数据包的包头中提取包头数据,所述包头数据包括:源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小;
根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据,记为网络流;
根据所述网络流中网络数据包的数量、获取时间和设定数值,采用增量衰减统计算法得到网络流统计值,所述网络流统计值为多个;
将所述网络流统计值组合成一个一维向量,得到一维特征。
所述步骤602具体包括:
利用Z-score算法对所述一维特征进行标准化,得到标准一维特征;
利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联,得到二维特征。
作为一种实施方式,本发明所述预先训练好的卷积神经网络为八层卷积神经网络。
本发明通过计算网络数据包的统计属性得到网络流的一维特征,相比于人工提取特征的方法,能更好地描述网络流行为。进一步地,通过特征预处理,将上述一维特征转换为二维特征,增强了不同维度特征之间的关联性,并使特征具有图像属性。进一步的,利用深度学习中的卷积神经网络在图像识别和分类方面的优越性,通过对僵尸网络数据集进行学习,获得了在复杂背景流量中检测多种僵尸网络流量的能力。
与现有技术相比,本发明提供的特征提取方法能更好地描述网络流行为。进一步地,通过特征预处理,增强了不同维度特征之间的关联性,并使特征具有图像属性。进一步的,利用深度学习中的卷积神经网络在图像识别和分类方面的优越性,通过对僵尸网络数据集进行学习,获得了在复杂背景流量中检测多种僵尸网络流量的能力,且具有更好的检测效果。
实现上述实施例的全部或部分步骤可以通过设备上的特定硬件或者安装于设备上的软件程序或固件来完成,前述的程软件程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤:而前述的存储介质包括:ROM(RandomOnly Memory,只读存储器)、RAM(Random Access Memory,随机存储器)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的方法而言,由于其与实施例公开的系统相对应,所以描述的比较简单,相关之处参见系统部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种基于卷积神经网络的僵尸网络检测系统,其特征在于,所述检测系统包括:
网络流特征提取模块,用于根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;
网络流特征预处理模块,用于对所述一维特征进行标准化和多元变量关联,得到二维特征;
僵尸网络检测模块,用于利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。
2.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述检测系统还包括:数据获取模块,用于获取设定时间内待测网络各节点的网络数据,所述网络数据包括多个网络数据包。
3.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述网络流特征提取模块包括:
网络数据包处理单元,用于从各所述网络数据包的包头中提取包头数据,所述包头数据包括:源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小;
网络流分析单元,用于根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据,记为网络流;
网络流统计值计算单元,用于根据所述网络流中网络数据包的数量、获取时间和设定数值,采用增量衰减统计算法得到网络流统计值,所述网络流统计值为多个;
网络流特征组合单元,用于将所述网络流统计值组合成一个一维向量,得到一维特征。
4.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述网络流特征预处理模块包括:
特征标准化单元,用于利用Z-score算法对所述一维特征进行标准化,得到标准一维特征;
多元变量关联单元,用于利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联,得到二维特征。
5.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述预先训练好的卷积神经网络为八层卷积神经网络。
6.一种基于卷积神经网络的僵尸网络检测方法,其特征在于,所述检测方法包括:
根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;
对所述一维特征进行标准化和多元变量关联,得到二维特征;
利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。
7.根据权利要求6所述的基于卷积神经网络的僵尸网络检测系方法,其特征在于,所述检测方法还包括:获取设定时间内待测网络各节点的网络数据,所述网络数据包括多个网络数据包。
8.根据权利要求6所述的基于卷积神经网络的僵尸网络检测方法,其特征在于,所述根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的统计属性得到网络流的一维特征,具体包括:
从各所述网络数据包的包头中提取包头数据,所述包头数据包括:源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小;
根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据,记为网络流;
根据所述网络流中网络数据包的数量、获取时间和设定数值,采用增量衰减统计算法得到网络流统计值,所述网络流统计值为多个;
将所述网络流统计值组合成一个一维向量,得到一维特征。
9.根据权利要求6所述的基于卷积神经网络的僵尸网络检测方法,其特征在于,所述对所述网络流的一维特征进行标准化和多元变量关联,得到网络流的二维特征,具体包括:
利用Z-score算法对所述一维特征进行标准化,得到标准一维特征;
利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联,得到二维特征。
10.根据权利要求6所述的基于卷积神经网络的僵尸网络检测方法,其特征在于,所述预先训练好的卷积神经网络为八层卷积神经网络。
CN201911239779.1A 2019-12-06 2019-12-06 一种基于卷积神经网络的僵尸网络检测系统及方法 Pending CN110995713A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911239779.1A CN110995713A (zh) 2019-12-06 2019-12-06 一种基于卷积神经网络的僵尸网络检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911239779.1A CN110995713A (zh) 2019-12-06 2019-12-06 一种基于卷积神经网络的僵尸网络检测系统及方法

Publications (1)

Publication Number Publication Date
CN110995713A true CN110995713A (zh) 2020-04-10

Family

ID=70090821

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911239779.1A Pending CN110995713A (zh) 2019-12-06 2019-12-06 一种基于卷积神经网络的僵尸网络检测系统及方法

Country Status (1)

Country Link
CN (1) CN110995713A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756757A (zh) * 2020-06-28 2020-10-09 南方电网科学研究院有限责任公司 一种僵尸网络检测方法和装置
CN111914244A (zh) * 2020-07-31 2020-11-10 深圳力维智联技术有限公司 数据处理方法、装置及计算机可读存储介质
CN113242233A (zh) * 2021-05-08 2021-08-10 北京交通大学 一种多分类的僵尸网络检测装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180152466A1 (en) * 2016-11-30 2018-05-31 Cisco Technology, Inc. Estimating feature confidence for online anomaly detection
CN108108622A (zh) * 2017-12-13 2018-06-01 上海交通大学 基于深度卷积网络和控制流图的漏洞检测系统
CN110012035A (zh) * 2019-05-17 2019-07-12 广东工业大学 网络流量识别方法、系统、装置及计算机可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180152466A1 (en) * 2016-11-30 2018-05-31 Cisco Technology, Inc. Estimating feature confidence for online anomaly detection
CN108108622A (zh) * 2017-12-13 2018-06-01 上海交通大学 基于深度卷积网络和控制流图的漏洞检测系统
CN110012035A (zh) * 2019-05-17 2019-07-12 广东工业大学 网络流量识别方法、系统、装置及计算机可读存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JUNYI LIU ET AL: "Detection of IoT Botnet Based on Deep Learning", 《2019 CHINESE CONTROL CONFERENCE (CCC)》 *
寇广等: "深度学习在僵尸云检测中的应用研究", 《通信学报》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756757A (zh) * 2020-06-28 2020-10-09 南方电网科学研究院有限责任公司 一种僵尸网络检测方法和装置
CN111914244A (zh) * 2020-07-31 2020-11-10 深圳力维智联技术有限公司 数据处理方法、装置及计算机可读存储介质
CN113242233A (zh) * 2021-05-08 2021-08-10 北京交通大学 一种多分类的僵尸网络检测装置

Similar Documents

Publication Publication Date Title
CN112398779B (zh) 一种网络流量数据分析方法及系统
CN107483455B (zh) 一种基于流的网络节点异常检测方法和系统
CN109729090B (zh) 一种基于wedms聚类的慢速拒绝服务攻击检测方法
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN110995713A (zh) 一种基于卷积神经网络的僵尸网络检测系统及方法
CN112651435B (zh) 一种基于自学习的电力网络探针流量异常的检测方法
CN108809989B (zh) 一种僵尸网络的检测方法及装置
CN111556016B (zh) 一种基于自动编码器的网络流量异常行为识别方法
CN109284988A (zh) 数据分析系统及方法
CN114124482B (zh) 基于lof和孤立森林的访问流量异常检测方法及设备
CN112434298B (zh) 一种基于自编码器集成的网络威胁检测系统
CN111866196B (zh) 一种域名流量特征提取方法、装置、设备及可读存储介质
CN110995643B (zh) 一种基于邮件数据分析的异常用户识别方法
CN110868414B (zh) 一种基于多投票技术的工控网络入侵检测方法及系统
CN113645182B (zh) 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN112287753A (zh) 一种基于机器学习提升人脸识别精度的系统及其算法
CN110837872A (zh) 一种工控网络入侵检测方法及系统
CN115580445A (zh) 一种未知攻击入侵检测方法、装置和计算机可读存储介质
CN111526144A (zh) 基于DVAE-Catboost的异常流量检测方法与系统
CN111367908A (zh) 一种基于安全评估机制的增量式入侵检测方法及系统
CN113705604A (zh) 僵尸网络流量分类检测方法、装置、电子设备及存储介质
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
CN116150688A (zh) 智能家居中轻量级的物联网设备识别方法与装置
CN111600877A (zh) 一种基于MF-Ada算法的LDoS攻击检测方法
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200410

RJ01 Rejection of invention patent application after publication