CN110995713A

CN110995713A - 一种基于卷积神经网络的僵尸网络检测系统及方法

Info

Publication number: CN110995713A
Application number: CN201911239779.1A
Authority: CN
Inventors: 刘世岳; 刘俊奕; 陈振
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2019-12-06
Filing date: 2019-12-06
Publication date: 2020-04-10

Abstract

本发明涉及一种基于卷积神经网络的僵尸网络检测系统及方法，所述检测系统包括：网络流特征提取模块，用于根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的包头信息得到一维特征，所述网络数据包为多个，所述设定属性包括：源IP地址、源MAC‑IP地址对、源目的IP地址对和源目的套接字对；网络流特征预处理模块，用于对所述一维特征进行标准化和多元变量关联，得到二维特征；僵尸网络检测模块，用于利用预先训练好的卷积神经网络对所述二维特征进行识别，判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。通过本发明的上述系统能够提高对僵尸网络检测的精确度。

Description

一种基于卷积神经网络的僵尸网络检测系统及方法

技术领域

本发明涉及计算机网络安全技术领域，特别是涉及一种基于卷积神经网络的僵尸网络检测系统及方法。

背景技术

僵尸网络就是通过入侵网络空间内若干终端构建的可被攻击者远程控制的可协同计算机集群，经过多年的发展已成为当前互联网最严重的安全问题之一。互联网的飞速发展使它已高度融入到人类社会生活的方方面面，每一次网络安全事件的发生都会对社会造成极大的影响，因此网络安全不仅是整个互联网正常工作的基础，也是社会良性发展的保障。随着僵尸网络的快速演变和威胁程度的增加，迫切需要对其展开相应的研究工作。僵尸网络的检测是所有后续研究的基础，具有较高的研究价值和优先级。

现有僵尸网络检测技术存在如下问题：

①传统的僵尸网络检测方法通常需要对僵尸网络进行深入分析研究，总结其特性和运行规律，然后设计算法进行检测。这些方法依赖于僵尸网络的一些已知特性，对新型和变种僵尸网络的检测效果较差。

②使用经典机器学习算法的僵尸网络检测方法通常基于对网络流的直观理解进行人工特征提取，特征的好坏会直接影响检测效果，对于复杂网络数据，人工提取的特征往往不能满足需求。且对于复杂的特征集合，经典机器学习算法的特征表达能力不足，导致最终检测效果较差。

综上，在当前僵尸网络产生新变种的速度越来越快，网络背景流量越来越复杂这一条件下，人工提取特征日趋困难，经典机器学习算法表现不佳，现有的僵尸网络检测技术无法取得较好的检测效果。

发明内容

本发明的目的是提供一种基于卷积神经网络的僵尸网络检测系统及方法，提高对僵尸网络检测的精确度。

为实现上述目的，本发明提供了如下方案：

一种基于卷积神经网络的僵尸网络检测系统，所述检测系统包括：

网络流特征提取模块，用于根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的包头信息得到一维特征，所述网络数据包为多个，所述设定属性包括：源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对；

网络流特征预处理模块，用于对所述一维特征进行标准化和多元变量关联，得到二维特征；

僵尸网络检测模块，用于利用预先训练好的卷积神经网络对所述二维特征进行识别，判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。

可选的，所述检测系统还包括：数据获取模块，用于获取设定时间内待测网络各节点的网络数据，所述网络数据包括多个网络数据包。

可选的，所述网络流特征提取模块包括：

网络数据包处理单元，用于从各所述网络数据包的包头中提取包头数据，所述包头数据包括：源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小；

网络流分析单元，用于根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据，记为网络流；

网络流统计值计算单元，用于根据所述网络流中网络数据包的数量、获取时间和设定数值，采用增量衰减统计算法得到网络流统计值，所述网络流统计值为多个；

网络流特征组合单元，用于将所述网络流统计值组合成一个一维向量，得到一维特征。

可选的，所述网络流特征预处理模块包括：

特征标准化单元，用于利用Z-score算法对所述一维特征进行标准化，得到标准一维特征；

多元变量关联单元，用于利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联，得到二维特征。

可选的，所述预先训练好的卷积神经网络为八层卷积神经网络。

一种基于卷积神经网络的僵尸网络检测方法，所述检测方法包括：

根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的包头信息得到一维特征，所述网络数据包为多个，所述设定属性包括：源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对；

对所述一维特征进行标准化和多元变量关联，得到二维特征；

利用预先训练好的卷积神经网络对所述二维特征进行识别，判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。

可选的，所述检测方法还包括：获取设定时间内待测网络各节点的网络数据，所述网络数据包括多个网络数据包。

可选的，所述根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的统计属性得到网络流的一维特征，具体包括：

从各所述网络数据包的包头中提取包头数据，所述包头数据包括：源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小；

根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据，记为网络流；

根据所述网络流中网络数据包的数量、获取时间和设定数值，采用增量衰减统计算法得到网络流统计值，所述网络流统计值为多个；

将所述网络流统计值组合成一个一维向量，得到一维特征。

可选的，所述对所述网络流的一维特征进行标准化和多元变量关联，得到网络流的二维特征，具体包括：

利用Z-score算法对所述一维特征进行标准化，得到标准一维特征；

利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联，得到二维特征。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明涉及一种基于卷积神经网络的僵尸网络检测系统及方法，所述检测系统包括：网络流特征提取模块，用于根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的包头信息得到一维特征，所述网络数据包为多个，所述设定属性包括：源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对；网络流特征预处理模块，用于对所述一维特征进行标准化和多元变量关联，得到二维特征；僵尸网络检测模块，用于利用预先训练好的卷积神经网络对所述二维特征进行识别，判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。通过本发明的上述系统能够提高对僵尸网络检测的精确度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一种基于卷积神经网络的僵尸网络检测系统的结构示意图；

图2为本发明实施例网络流特征提取模块的流程示意图；

图3为本发明实施例网络流特征预处理模块的流程示意图；

图4为本发明实施例利用某物联网设备产生的流量进行特征提取和特征预处理后得到的二维特征的可视化图；

图5为本发明实施例卷积神经网络结构示意图；

图6为本发明实施例一种基于卷积神经网络的僵尸网络检测方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种基于卷积神经网络的僵尸网络检测系统，提高对僵尸网络检测的精确度。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明实施例一种基于卷积神经网络的僵尸网络检测系统的结构示意图，参见图1，一种基于卷积神经网络的僵尸网络检测系统，所述检测系统包括：

网络流特征提取模块20，用于根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的包头信息得到一维特征，所述网络数据包为多个，所述设定属性包括：源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对；

网络流特征预处理模块40，用于对所述一维特征进行标准化和多元变量关联，得到二维特征；

僵尸网络检测模块60，用于利用预先训练好的卷积神经网络对所述二维特征进行识别，判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。

作为一种实施方式，本发明所述检测系统还包括：数据获取模块10，用于获取设定时间内待测网络各节点的网络数据，所述网络数据包括多个网络数据包。

下面对各模块进行详细介绍：

图2为本发明实施例网络流特征提取模块的流程示意图，参见图2，所述网络流特征提取模块20包括：

网络数据包处理单元21，用于从各所述网络数据包的包头中提取包头数据，所述包头数据包括：源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小；

网络流分析单元22，用于根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据，记为网络流；

网络流统计值计算单元23，用于根据所述网络流中网络数据包的数量、获取时间和设定数值，采用增量衰减统计算法得到网络流统计值，所述网络流统计值为多个；

网络流特征组合单元24，用于将所述网络流统计值组合成一个一维向量，得到一维特征。

具体的，网络数据包处理单元21用于从网络数据包的包头中提取8个数据，包括：源IP地址(src IP)、目的IP地址(dst IP)、源端口(src port)、目的端口(dst port)、源MAC地址(src MAC)、目的MAC地址(dst MAC)、时间戳(t)、包大小(v)。

进一步地，用上述数据按照源IP地址(src IP)、源MAC-IP地址对(src MAC-IP)、源目的IP地址对(src/dst IP)、源目的套接字对(src/dst IP:port)组合成四个分类信息。

假设从某网络数据包的包头中提取的8个数据如下表1所示：

表1

数据名称	数据值	数据类型
			源IP地址	192.168.1.1	string
目的IP地址	192.168.1.2	string
			源端口	10	string
目的端口	20	string
			源MAC地址	AA:AA:AA:AA:AA:AA	string
目的MAC地址	BB:BB:BB:BB:BB:BB	string
			时间戳	99.000000000	float
包大小	500	int

进一步地，上述数据组合成的四个分类信息如下表2所示：

表2

分类信息	分类信息内容	数据类型
			源IP地址	192.168.1.1	string
源MAC-IP地址对	192.168.1.1-AA:AA:AA:AA:AA:AA	string
			源目的IP地址对	192.168.1.1/192.168.1.2	string
源目的套接字对	192.168.1.1:10/192.168.1.2:20	string

网络流分析单元22用于根据上述四个分类信息，即按照设定的属性将具有相同分类信息内容的网络数据包分为同一类，并将同一类网络数据包记为网络流i。令

为网络流i的无界数据序列，其中

表示该网络流中第n个网络数据包的某项数值(包数量、包大小或时间间隔)。网络流i的数量、数值、时间数据存储在一个数组

中：

其中，λ＞0为衰减因子，记γ为衰减系数，则有：

γ＝2^-λt (2)

其中，t表示两次捕获网络数据包的时间间隔，衰减因子与时间窗口有一定的对应关系，如下表3所示：

表3

经多次试验，本发明实施例中选取最佳衰减因子λ＝0.01。

式(1)中ω表示最近捕获的网络数据包的数量；S、SS分别表示目前为止捕获的网络数据包某项数值的和与平方和；SR_ij表示残差积之和，计算方法为：

SR_ij＝∑r_ir_j (3)

其中，r_i和r_j分别表示网络流i和j的残差，计算方法为(以r_i为例，r_j有相同形式)：

其中，

的计算方法为：

式(1)中T_last是数组

最后一次更新的时间戳。

令

中所有元素的初始值为0，在T_cur时刻用数据

和流j的残差r_j更新

的方法如下表4所示：

表4

网络流统计值计算单元23用于利用数组

计算网络流i的统计值，进一步地，统计值包括：

权值ω，在

中已给出。

期望

计算方法在式(5)中已给出。

方差

计算方法为：

进一步地，网络流统计值计算单元23利用数组

和相关网络流的数组集合

计算网络流i和相关网络流{1，...，n}的统计值。上述相关流是指，如果是使用源目的IP地址对这一分类信息进行分类的网络数据包，若具有相同的IP地址(不区分方向)，则说明所述网络数据包所在的网络流具有相关性；如果是使用源目的套接字对这一分类信息进行分类的网络数据包，若具有相同的套接字(不区分方向)，则说明所述网络数据包所在的网络流具有相关性。

进一步地，所述统计值包括：

幅值

计算方法为：

半径

计算方法为：

近似协方差

计算方法为：

近似相关系数

计算方法为：

综上，网络流统计值计算单元23利用分类信息和历史网络数据包数量、数值、时间数据计算网络流统计值，如下表5所示：

表5

网络流特征组合单元24将上述网络流统计值组合成长度为23的特征向量，所述特征向量即网络流特征提取模块20输出的一维特征，如下表6所示：

表6

图3为本发明实施例网络流特征预处理模块的流程示意图，参见图3，所述网络流特征预处理模块40包括：

特征标准化单元41，用于利用Z-score算法对所述一维特征进行标准化，得到标准一维特征；

多元变量关联单元42，用于利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联，得到二维特征。

具体的，通过上述网络流特征提取模块20在给定衰减因子对应的时间窗口内，得到一维特征样本集合记为：

S_v＝[s₁，s₂，...，s_n]^T (11)

本发明实施例中取n＝10000，式(11)中第i个样本用特征向量表示为：

其中，

表示该样本中第j维特征，m＝23，则一维特征样本集合S_v可以表示成矩阵形式为：

特征标准化单元41利用Z-score算法对上述一维特征样本集合S_v进行特征归一化的流程如下表7所示，输出为标准化后的一维特征样本集合，即输出标准一维特征。

表7

对于上述标准化后的一维特征样本集合S_v，多元变量关联单元42将第i个样本s_i视为m维空间内的一点

将

投影到kl轴组成的二维欧氏子空间

投影过程可以描述为：

其中，1≤k，，l≤m且k≠l，ε_k和ε_l具有如下形式(以ε_k为例，ε_l有相同形式)：

ε_k＝[e_k，1，e_k，2，...，e_k，m] (15)

其中：

可得：

上的平面投影点

再分别向k轴和l轴投影，这两个轴投影点和原点O构成的三角形区域

面积

定义为：

则

可以看成样本s_i的第k，l个特征

知

的关联值，最终得到s_i的多元变量关联矩阵为：

对于样本数量为n的标准化后的一维特征样本集合S_v，最终可以得到基于三角面积映射的多元变量关联形式为：

上述基于三角面积映射的特征多元关联算法流程如下表8所示：

表8

所述僵尸网络检测模块60具体流程为：

优选的，所述预先训练好的卷积神经网络为八层卷积神经网络。

本实施例以某物联网智能设备为实验对象，先让设备正常工作一段时间；进一步地，植入某僵尸程序感染设备，依次下发5种攻击指令，包括：端口扫描、ACK flood、SYNflood、UDP flood和UDPplain flood；进一步地，捕获整个运行阶段的进出流量，用上述网络流特征提取模块20提取流量的一维特征，并用上述网络流特征预处理模块40将一维特征转换为二维特征；进一步地，将上述不同流量的二维特征灰度图像化，得到可视化结果如图4所示。明显地，正常流量和攻击流量的图像之间具有视觉上的较大差异，说明本发明提供的特征提取和预处理方法具有较好的特征描述能力。

上述网络流特征预处理模块40输出的二维特征作为僵尸网络检测模块60的输入，被送入如图5所示的卷积神经网络进行模型训练或分类检测。进行模型训练时，准备一批训练数据，卷积神经网络学习这些数据并更新各层的参数，训练结束后，得到一个具有僵尸网络检测能力的卷积神经网络模型并进行存储。进行分类检测时，输入检测数据，调用上述训练完成并存储好的卷积神经网络对数据进行识别和分类，输出的分类结果为形如[p₁，p₂]的概率分布向量，向量第一个元素p₁对应标签0，表示该网络数据包为良性流量；第二个元素p₂对应标签1，表示该网络数据包为僵尸网络产生的恶意流量。概率超过0.5的元素对应的标签即为最终的检测结果。

本实施例使用如下评价指标评估针对某僵尸网络数据集的检测效果：

检测率：

误报率：

漏报率：

查准率：

准确率：

其中，TP、TN、FP、FN分别表示实际为正例且被预测为正例、实际为负例且被预测为负例、实际为负例但被预测为正例、实际为正例但被预测为负例。上述正例指来自僵尸网络的恶意流量，负例指良性流量。

实验表明，本发明实施例最终达到了96.28％的检测率，2.19％的误报率，3.72％的漏报率，98.57％的查准率，97.61％的准确率。

图6为本发明实施例一种基于卷积神经网络的僵尸网络检测方法的流程图，参见图6，一种基于卷积神经网络的僵尸网络检测方法，所述检测方法包括：

步骤601：根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的包头信息得到一维特征，所述网络数据包为多个，所述设定属性包括：源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对；

步骤602：对所述一维特征进行标准化和多元变量关联，得到二维特征；

步骤603：利用预先训练好的卷积神经网络对所述二维特征进行识别，判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。

作为一种实施方式，本发明所述检测方法还包括：在步骤601之前，获取设定时间内待测网络各节点的网络数据，所述网络数据包括多个网络数据包。

所述步骤601，具体包括：

将所述网络流统计值组合成一个一维向量，得到一维特征。

所述步骤602具体包括：

作为一种实施方式，本发明所述预先训练好的卷积神经网络为八层卷积神经网络。

本发明通过计算网络数据包的统计属性得到网络流的一维特征，相比于人工提取特征的方法，能更好地描述网络流行为。进一步地，通过特征预处理，将上述一维特征转换为二维特征，增强了不同维度特征之间的关联性，并使特征具有图像属性。进一步的，利用深度学习中的卷积神经网络在图像识别和分类方面的优越性，通过对僵尸网络数据集进行学习，获得了在复杂背景流量中检测多种僵尸网络流量的能力。

与现有技术相比，本发明提供的特征提取方法能更好地描述网络流行为。进一步地，通过特征预处理，增强了不同维度特征之间的关联性，并使特征具有图像属性。进一步的，利用深度学习中的卷积神经网络在图像识别和分类方面的优越性，通过对僵尸网络数据集进行学习，获得了在复杂背景流量中检测多种僵尸网络流量的能力，且具有更好的检测效果。

实现上述实施例的全部或部分步骤可以通过设备上的特定硬件或者安装于设备上的软件程序或固件来完成，前述的程软件程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤：而前述的存储介质包括：ROM(RandomOnly Memory，只读存储器)、RAM(Random Access Memory，随机存储器)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的方法而言，由于其与实施例公开的系统相对应，所以描述的比较简单，相关之处参见系统部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims

1.一种基于卷积神经网络的僵尸网络检测系统，其特征在于，所述检测系统包括：

2.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统，其特征在于，所述检测系统还包括：数据获取模块，用于获取设定时间内待测网络各节点的网络数据，所述网络数据包括多个网络数据包。

3.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统，其特征在于，所述网络流特征提取模块包括：

4.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统，其特征在于，所述网络流特征预处理模块包括：

5.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统，其特征在于，所述预先训练好的卷积神经网络为八层卷积神经网络。

6.一种基于卷积神经网络的僵尸网络检测方法，其特征在于，所述检测方法包括：

7.根据权利要求6所述的基于卷积神经网络的僵尸网络检测系方法，其特征在于，所述检测方法还包括：获取设定时间内待测网络各节点的网络数据，所述网络数据包括多个网络数据包。

8.根据权利要求6所述的基于卷积神经网络的僵尸网络检测方法，其特征在于，所述根据网络数据包的包头信息将网络数据包按设定属性划为四类，并根据各类的统计属性得到网络流的一维特征，具体包括：

将所述网络流统计值组合成一个一维向量，得到一维特征。

9.根据权利要求6所述的基于卷积神经网络的僵尸网络检测方法，其特征在于，所述对所述网络流的一维特征进行标准化和多元变量关联，得到网络流的二维特征，具体包括：

10.根据权利要求6所述的基于卷积神经网络的僵尸网络检测方法，其特征在于，所述预先训练好的卷积神经网络为八层卷积神经网络。