CN112257783A - 僵尸网络流量的分类方法、装置和电子设备 - Google Patents
僵尸网络流量的分类方法、装置和电子设备 Download PDFInfo
- Publication number
- CN112257783A CN112257783A CN202011141589.9A CN202011141589A CN112257783A CN 112257783 A CN112257783 A CN 112257783A CN 202011141589 A CN202011141589 A CN 202011141589A CN 112257783 A CN112257783 A CN 112257783A
- Authority
- CN
- China
- Prior art keywords
- botnet
- traffic
- sample
- classification
- botnet traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000015654 memory Effects 0.000 claims abstract description 38
- 238000013145 classification model Methods 0.000 claims abstract description 33
- 238000012549 training Methods 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 13
- 244000035744 Hura crepitans Species 0.000 claims description 6
- 230000004913 activation Effects 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 238000009395 breeding Methods 0.000 claims description 3
- 230000001488 breeding effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 10
- 230000007787 long-term memory Effects 0.000 description 6
- 230000006403 short-term memory Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000005284 excitation Effects 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了僵尸网络流量的分类方法、装置和电子设备,该分类方法包括:提供样本僵尸网络流量;对所述样本僵尸网络流量提取多个预设特征,根据所述样本僵尸网络的多个预设特征组成关键句;根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型;通过所述僵尸网络流量分类模型对目标僵尸网络流量进行分类,输出所述目标僵尸网络流量的分类结果。本发明采用多分类模型,可以将其流量按照其所属家族进行分类。本发明基于数据包级别的流量分类,从而大大提高分类的正确率。
Description
技术领域
本发明实施例涉及计算机网络技术领域,具体涉及僵尸网络流量的分类方法、装置和电子设备。
背景技术
僵尸网络流量,即攻击者控制的多个恶意样本在与C&C服务器通信过程中产生的网络流量。
传统僵尸网络方面的研究主要是识别网络中僵尸网络流量,以便和正常网络流量区分开来。因此,该项研究是一个二分类问题。而实际上,为了更加深入了解不同僵尸网络家族之间的恶意行为,需要对僵尸网络流量进行多分类处理,从而掌握不同僵尸网络家族之间不同网络行为。此外,在工业界中,一些开发厂商主要依靠人工所提取的规则特征来对检测待检测流量中是否存在僵尸网络流量,该方法需要投入大量的分析人员来维护并更新一个特征规则库,然而检测结果的正确率并不能完全令人满意。同时,一些研究者主要通过分析从公网中所提取出的Netflow数据来检测是否存在僵尸网络流量。然而,基于Netflow的检测方法仅仅提取了部分网络流量的特征,而忽略了僵尸网络流量中有效载荷的特征,这样导致大大降低了检测的准确度。
发明内容
本发明实施例的目的在于提供僵尸网络流量的分类方法、装置和电子设备,用以解决现有僵尸网络流量检测准确度低的问题。
为实现上述目的,本发明实施例主要提供如下技术方案:
第一方面,本发明实施例提供了一种僵尸网络流量的分类方法,包括:
提供样本僵尸网络流量,所述样本僵尸网络流量具有分类标记;
对所述样本僵尸网络流量提取多个预设特征,根据所述样本僵尸网络的多个预设特征组成关键句;
根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型;
通过所述僵尸网络流量分类模型对目标僵尸网络流量进行分类,输出所述目标僵尸网络流量的分类结果。
根据本发明的一个实施例,所述提供样本僵尸网络流量,包括:
通过沙箱养殖与僵尸网络相关的恶意样本,并留存所述恶意样本对应的网络流量;
接收对所述恶意样本的分类标记,得到所述样本僵尸网络流量。
根据本发明的一个实施例,所述对所述样本僵尸网络流量提取多个预设特征,根据所述样本僵尸网络的多个预设特征组成关键句,包括:
对所述样本僵尸网络流量进行预处理,得到所述样本僵尸网络流量的目标字段的信息;
提取所述样本僵尸网络流量的载荷特征;
基于所述样本僵尸网络流量的目标字段的信息,将所述样本僵尸网络流量的载荷特征按照流量包中的字段顺序组成所述关键句。
根据本发明的一个实施例,所述根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型,包括:
建立所述长短时记忆网络的标准网络细胞单元,并使用Sigmoid函数作为所述长短时记忆网络中的激活函数;
将所述关键句作为所述僵尸网络流量分类模型的输入,进行模型训练得到所述僵尸网络流量分类模型。
第二方面,本发明实施例还提供一种僵尸网络流量的分类装置,包括:
提供模块,用于提供样本僵尸网络流量,所述样本僵尸网络流量具有分类标记;
控制处理模块,用于对所述样本僵尸网络流量提取多个预设特征,根据所述样本僵尸网络的多个预设特征组成关键句;所述控制处理模块还用于根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型;所述控制处理模块还用于通过所述僵尸网络流量分类模型对目标僵尸网络流量进行分类,得到所述目标僵尸网络流量的分类结果;
输出模块,用于输出所述目标僵尸网络流量的分类结果。
根据本发明的一个实施例,所述提供模块具体用于通过沙箱养殖与僵尸网络相关的恶意样本,并留存所述恶意样本对应的网络流量;接收对所述恶意样本的分类标记,得到所述样本僵尸网络流量。
根据本发明的一个实施例,所述控制处理模块具体用于对所述样本僵尸网络流量进行预处理,得到所述样本僵尸网络流量的目标字段的信息;提取所述样本僵尸网络流量的载荷特征;基于所述样本僵尸网络流量的目标字段的信息,将所述样本僵尸网络流量的载荷特征按照流量包中的字段顺序组成所述关键句。
根据本发明的一个实施例,所述控制处理模块还用于建立所述长短时记忆网络的标准网络细胞单元,并使用Sigmoid函数作为所述长短时记忆网络中的激活函数;将所述关键句作为所述僵尸网络流量分类模型的输入,进行模型训练得到所述僵尸网络流量分类模型。
第三方面,本发明实施例还提供一种电子设备,包括:至少一个处理器和至少一个存储器;所述存储器用于存储一个或多个程序指令;所述处理器,用于运行一个或多个程序指令,用以执行如第一方面所述的僵尸网络流量的分类方法。
第四方面,本发明实施例还提供一种计算机可读存储介质,包含一个或多个程序指令,所述一个或多个程序指令用于被执行如第一方面所述的僵尸网络流量的分类方法。
本发明实施例提供的技术方案至少具有如下优点:
本发明实施例提供的僵尸网络流量的分类方法、装置和电子设备,采用多分类模型,可以将其流量按照其所属家族进行分类。本发明基于数据包级别的流量分类,从而大大提高分类的正确率。
附图说明
图1为本发明实施例的僵尸网络流量的分类方法的流程图。
图2为本发明实施例中长短期记忆网络单元结构的示意图。
图3为本发明实施例的长短期记忆网络单元结构中遗忘门的示意图。
图4和图5为本发明实施例的长短期记忆网络单元结构中输入门的示意图。
图6为本发明实施例的长短期记忆网络单元结构中输出门的示意图。
图7为本发明实施例的僵尸网络流量的分类装置的结构框图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效。
在本发明的描述中,需要理解的是,术语“多个”表示两个或两个以上。此外,术语“第一”、“第二”和“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”和“连接”应做广义理解,例如可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
图1为本发明实施例的僵尸网络流量的分类方法的流程图。如图1所示,本发明实施例的僵尸网络流量的分类方法,包括:
S1:提供样本僵尸网络流量。其中,样本僵尸网络流量具有分类标记。
在本发明的一个实施例中,步骤S1包括:通过沙箱养殖与僵尸网络相关的恶意样本,并留存恶意样本对应的网络流量;接收对恶意样本的分类标记(即在数据库中记录该流量包所对应的僵尸网络类别),得到样本僵尸网络流量。
S2:对样本僵尸网络流量提取多个预设特征,根据样本僵尸网络的多个预设特征组成关键句。
在本发明的一个实施例中,步骤S2包括:
S2-1:对样本僵尸网络流量进行预处理,得到样本僵尸网络流量的目标字段的信息,例如基于pcap解析库(libpcap或winpcap)解析样本僵尸网络流量中的IP地址,端口地址,标记位等信息。
S2-2:提取样本僵尸网络流量的载荷特征。在本实施例中,将基于内容分割的分片哈希算法(模糊哈希算法)应用于提取流量包的载荷特征,即运用该算法计算流量包的模糊hash值。
S2-3:基于样本僵尸网络流量的目标字段的信息,将样本僵尸网络流量的载荷特征按照流量包中的字段顺序组成关键句。在本实施例中,关键句包括:IP协议版本、IP协议分片标识、目的IP、源IP、IP信息和IP分片偏移信息。
S3:根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型。
在本发明的一个实施例中,步骤S4包括:
S4-1:建立长短时记忆网络的标准网络细胞单元,并使用Sigmoid函数作为长短时记忆网络中的激活函数。
图2为本发明实施例中长短期记忆网络单元结构的示意图。如图2所示,长短期记忆网络单元结构包括了遗忘门、输入门和输出门。其中,遗忘门负责决定保留上一时刻的单元状态到当前时刻的单元状态;输入门负责决定保留多少当前时刻的输入到当前时刻的单元状态;输出门负责决定当前时刻的单元状态有多少输出。
图3为本发明实施例的长短期记忆网络单元结构中遗忘门的示意图。如图3所示,遗忘门是决定从细胞状态中丢弃什么东西,它首先连接[ht-1,xt],经过第一Sigmoid激励函数得到一个在0-1之间的数字给每个细胞状态Ct-1里的数字,其中1表示“完全保留”;而0表示“完全舍弃”。
图4和图5为本发明实施例的长短期记忆网络单元结构中输入门的示意图。如图4和图5所示,输入门是决定将新的信息放在细胞状态里。首先经过一个tanh层,得到当前信息的表示;同时经过第二Sigmoid层来计算出新的信息中那些是重要的,那些是不重要的,然后与tanh层的输出进行相乘再加入到细胞状态中。这个过程就是将当前的新信息加权到细胞状态中。经过这些运算就可以得到当前时刻的细胞状态Ct。
图6为本发明实施例的长短期记忆网络单元结构中输出门的示意图。如图6所示,输出门则是决定本时刻的输出状态。先将当前时刻的细胞状态Ct,经过一个tanh层激励,再由[xt,ht-1]经过第三Sigmoid层得到更新的权值,两者进行相乘得到。其结果就是当前细胞状态经过tanh激励后加权得到当前时刻的状态。
S4-2:将关键句作为僵尸网络流量分类模型的输入,进行模型训练得到僵尸网络流量分类模型。
S4:通过僵尸网络流量分类模型对目标僵尸网络流量进行分类,由Softmax分类输出输出目标僵尸网络流量的分类结果。
具体地,在完成僵尸网络流量分类模型的构建后,需要对目标僵尸网络流量进行分类,其处理过程包括:目标僵尸网络流量的特征提取;特征输入,将特征输入到僵尸网络流量分类模型中;分类结果输出,输出该僵尸网络流量属于哪一类家族。
本发明实施例提供的僵尸网络流量的分类方法,采用多分类模型,可以将其流量按照其所属家族进行分类。本发明基于数据包级别的流量分类,从而大大提高分类的正确率。
图7为本发明实施例的僵尸网络流量的分类装置的结构框图。如图7所示,本发明实施例的僵尸网络流量的分类装置,包括:提供模块100、控制处理模块200和输出模块300。
其中,提供模块100用于提供样本僵尸网络流量,样本僵尸网络流量具有分类标记。控制处理模块200用于对样本僵尸网络流量提取多个预设特征,根据样本僵尸网络的多个预设特征组成关键句。控制处理模块200还用于根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型。控制处理模块200还用于通过僵尸网络流量分类模型对目标僵尸网络流量进行分类,得到目标僵尸网络流量的分类结果。输出模块300用于输出目标僵尸网络流量的分类结果。
在本发明的一个实施例中,提供模块100具体用于通过沙箱养殖与僵尸网络相关的恶意样本,并留存恶意样本对应的网络流量;接收对恶意样本的分类标记,得到样本僵尸网络流量。
在本发明的一个实施例中,控制处理模块200具体用于对样本僵尸网络流量进行预处理,得到样本僵尸网络流量的目标字段的信息;提取样本僵尸网络流量的载荷特征;基于样本僵尸网络流量的目标字段的信息,将样本僵尸网络流量的载荷特征按照流量包中的字段顺序组成关键句。
在本发明的一个实施例中,控制处理模块200还用于建立长短时记忆网络的标准网络细胞单元,并使用Sigmoid函数作为长短时记忆网络中的激活函数;将关键句作为僵尸网络流量分类模型的输入,进行模型训练得到僵尸网络流量分类模型。
需要说明的是,本发明实施例的僵尸网络流量的分类装置的具体实施方式与本发明实施例的僵尸网络流量的分类方法的具体实施方式类似,具体参见僵尸网络流量的分类方法部分的描述,为了减少冗余,不做赘述。
另外,本发明实施例的僵尸网络流量的分类装置的其它构成以及作用对于本领域的技术人员而言都是已知的,为了减少冗余,不做赘述。
本发明实施例还提供一种电子设备,包括:至少一个处理器和至少一个存储器;所述存储器用于存储一个或多个程序指令;所述处理器,用于运行一个或多个程序指令,用以执行如第一方面所述的僵尸网络流量的分类方法。
本发明所公开的实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行上述的僵尸网络流量的分类方法。
在本发明实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synch Link DRAM,简称SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (10)
1.一种僵尸网络流量的分类方法,其特征在于,包括:
提供样本僵尸网络流量,所述样本僵尸网络流量具有分类标记;
对所述样本僵尸网络流量提取多个预设特征,根据所述样本僵尸网络的多个预设特征组成关键句;
根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型;
通过所述僵尸网络流量分类模型对目标僵尸网络流量进行分类,输出所述目标僵尸网络流量的分类结果。
2.根据权利要求1所述的僵尸网络流量的分类方法,其特征在于,所述提供样本僵尸网络流量,包括:
通过沙箱养殖与僵尸网络相关的恶意样本,并留存所述恶意样本对应的网络流量;
接收对所述恶意样本的分类标记,得到所述样本僵尸网络流量。
3.根据权利要求1所述的僵尸网络流量的分类方法,其特征在于,所述对所述样本僵尸网络流量提取多个预设特征,根据所述样本僵尸网络的多个预设特征组成关键句,包括:
对所述样本僵尸网络流量进行预处理,得到所述样本僵尸网络流量的目标字段的信息;
提取所述样本僵尸网络流量的载荷特征;
基于所述样本僵尸网络流量的目标字段的信息,将所述样本僵尸网络流量的载荷特征按照流量包中的字段顺序组成所述关键句。
4.根据权利要求3所述的僵尸网络流量的分类方法,其特征在于,所述根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型,包括:
建立所述长短时记忆网络的标准网络细胞单元,并使用Sigmoid函数作为所述长短时记忆网络中的激活函数;
将所述关键句作为所述僵尸网络流量分类模型的输入,进行模型训练得到所述僵尸网络流量分类模型。
5.一种僵尸网络流量的分类装置,其特征在于,包括:
提供模块,用于提供样本僵尸网络流量,所述样本僵尸网络流量具有分类标记;
控制处理模块,用于对所述样本僵尸网络流量提取多个预设特征,根据所述样本僵尸网络的多个预设特征组成关键句;所述控制处理模块还用于根据具有关键句且具有分类标记的样本僵尸网络流量进行训练,得到基于长短时记忆网络的僵尸网络流量分类模型;所述控制处理模块还用于通过所述僵尸网络流量分类模型对目标僵尸网络流量进行分类,得到所述目标僵尸网络流量的分类结果;
输出模块,用于输出所述目标僵尸网络流量的分类结果。
6.根据权利要求5所述的僵尸网络流量的分类装置,其特征在于,所述提供模块具体用于通过沙箱养殖与僵尸网络相关的恶意样本,并留存所述恶意样本对应的网络流量;接收对所述恶意样本的分类标记,得到所述样本僵尸网络流量。
7.根据权利要求5所述的僵尸网络流量的分类装置,其特征在于,所述控制处理模块具体用于对所述样本僵尸网络流量进行预处理,得到所述样本僵尸网络流量的目标字段的信息;提取所述样本僵尸网络流量的载荷特征;基于所述样本僵尸网络流量的目标字段的信息,将所述样本僵尸网络流量的载荷特征按照流量包中的字段顺序组成所述关键句。
8.根据权利要求7所述的僵尸网络流量的分类装置,其特征在于,所述控制处理模块还用于建立所述长短时记忆网络的标准网络细胞单元,并使用Sigmoid函数作为所述长短时记忆网络中的激活函数;将所述关键句作为所述僵尸网络流量分类模型的输入,进行模型训练得到所述僵尸网络流量分类模型。
9.一种电子设备,其特征在于,所述电子设备包括:至少一个处理器和至少一个存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行如权利要求1-4任一项所述的僵尸网络流量的分类方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于执行如权利要求1-4任一项所述的僵尸网络流量的分类方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011141589.9A CN112257783A (zh) | 2020-10-22 | 2020-10-22 | 僵尸网络流量的分类方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011141589.9A CN112257783A (zh) | 2020-10-22 | 2020-10-22 | 僵尸网络流量的分类方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112257783A true CN112257783A (zh) | 2021-01-22 |
Family
ID=74263336
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011141589.9A Pending CN112257783A (zh) | 2020-10-22 | 2020-10-22 | 僵尸网络流量的分类方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112257783A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113190835A (zh) * | 2021-02-04 | 2021-07-30 | 恒安嘉新(北京)科技股份公司 | 一种应用程序违法检测方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108768917A (zh) * | 2017-08-23 | 2018-11-06 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
| CN111031051A (zh) * | 2019-12-17 | 2020-04-17 | 清华大学 | 一种网络流量异常检测方法及装置、介质 |
| CN111181922A (zh) * | 2019-12-06 | 2020-05-19 | 北京中睿天下信息技术有限公司 | 一种钓鱼链接检测方法及系统 |
-
2020
- 2020-10-22 CN CN202011141589.9A patent/CN112257783A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
| CN108768917A (zh) * | 2017-08-23 | 2018-11-06 | 长安通信科技有限责任公司 | 一种基于网络日志的僵尸网络检测方法及系统 |
| CN111181922A (zh) * | 2019-12-06 | 2020-05-19 | 北京中睿天下信息技术有限公司 | 一种钓鱼链接检测方法及系统 |
| CN111031051A (zh) * | 2019-12-17 | 2020-04-17 | 清华大学 | 一种网络流量异常检测方法及装置、介质 |
Non-Patent Citations (3)
| Title |
|---|
| YONGJIAN ZENG: ""An Analysis of Deep learnning for Botnet Detection"", Retrieved from the Internet <URL:《GitHub - 827983519/Botnet-detection: Botnet detection using deep learning》> * |
| 我一个搬砖人: ""Botnet-detection"", pages 1 - 12, Retrieved from the Internet <URL:《https://blog.csdn.net/qq_29848559/article/details/113054271》> * |
| 裴昌幸: "《现代通信系统与网络测量》", 30 April 2008, 北京:人民邮电出版社, pages: 210 - 212 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113190835A (zh) * | 2021-02-04 | 2021-07-30 | 恒安嘉新(北京)科技股份公司 | 一种应用程序违法检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109450842B (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
| CN109510815B (zh) | 一种基于有监督学习的多级钓鱼网站检测方法及检测系统 | |
| CN108449342B (zh) | 恶意请求检测方法及装置 | |
| CN109391602B (zh) | 一种僵尸主机检测方法 | |
| CN112235264B (zh) | 一种基于深度迁移学习的网络流量识别方法及装置 | |
| CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
| CN110351301A (zh) | 一种http请求双层递进式异常检测方法 | |
| CN111835763B (zh) | 一种dns隧道流量检测方法、装置及电子设备 | |
| CN111523588A (zh) | 基于改进的lstm对apt攻击恶意软件流量进行分类的方法 | |
| CN115396204A (zh) | 一种基于序列预测的工控网络流量异常检测方法及装置 | |
| US10320823B2 (en) | Discovering yet unknown malicious entities using relational data | |
| CN117892102B (zh) | 基于主动学习的入侵行为检测方法、系统、设备及介质 | |
| CN110602030A (zh) | 网络入侵阻断方法、服务器及计算机可读介质 | |
| KR102526935B1 (ko) | 네트워크 침입 탐지 시스템 및 네트워크 침입 탐지 방법 | |
| CN112257783A (zh) | 僵尸网络流量的分类方法、装置和电子设备 | |
| CN113746804B (zh) | Dns隐蔽信道检测方法、装置、设备及存储介质 | |
| CN115017441A (zh) | 一种资产分类方法、装置及电子设备和存储介质 | |
| CN114372536A (zh) | 未知网络流量数据识别方法、装置、计算机设备和存储介质 | |
| Rumez et al. | Anomaly detection for automotive diagnostic applications based on N-grams | |
| CN111291078B (zh) | 一种域名匹配检测方法及装置 | |
| Altuncu et al. | Deep learning based DNS tunneling detection and blocking system | |
| CN115955457B (zh) | 恶意域名的检测方法、装置和电子设备 | |
| CN111224919B (zh) | 一种ddos识别方法、装置、电子设备及介质 | |
| CN115022049B (zh) | 一种基于计算马氏距离的分布外网络流量数据检测方法、电子设备及存储介质 | |
| CN112242973A (zh) | DDoS攻击检测方法、装置、计算设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |