CN112383518A - 一种僵尸网络检测方法及装置 - Google Patents
一种僵尸网络检测方法及装置 Download PDFInfo
- Publication number
- CN112383518A CN112383518A CN202011196506.6A CN202011196506A CN112383518A CN 112383518 A CN112383518 A CN 112383518A CN 202011196506 A CN202011196506 A CN 202011196506A CN 112383518 A CN112383518 A CN 112383518A
- Authority
- CN
- China
- Prior art keywords
- layer
- network
- data stream
- botnet
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 121
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 38
- 238000011176 pooling Methods 0.000 claims description 41
- 238000000034 method Methods 0.000 claims description 15
- 238000000605 extraction Methods 0.000 claims description 14
- 238000007781 pre-processing Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 210000002569 neuron Anatomy 0.000 claims description 6
- 230000002123 temporal effect Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 7
- 238000013528 artificial neural network Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101100208720 Homo sapiens USP5 gene Proteins 0.000 description 1
- 102100021017 Ubiquitin carboxyl-terminal hydrolase 5 Human genes 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000004027 cell Anatomy 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Evolutionary Biology (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Image Analysis (AREA)
Abstract
本发明公开一种僵尸网络检测方法及装置、电子设备、存储介质,通过对待检测网络的数据流进行预处理,将预处理后的数据流分别输入至预先训练好的CNN卷积神经网络和双向长短记忆网络,通过CNN卷积神经网络提取获得数据流的空间维度特征,以及通过双向长短记忆网络提取获得时间维度特征,最后将空间维度特征和时间维度特征输入至分类层,以使分类层根据空间维度特征和时间维度特征计算得到待检测网络为僵尸网络的概率值,根据概率值判断出待检测网络是否为僵尸网络,从而能够提高僵尸网络的检测准确率。
Description
技术领域
本发明涉及深度学习神经网络技术领域,更具体地,涉及一种僵尸网络检测方法及装置、电子设备、存储介质。
背景技术
僵尸网络就是通过入侵网络空间内若干终端构建的可被攻击者远程控制的可协同计算机集群,经过多年的发展已成为当前互联网最严重的安全问题之一。其中,被控制的终端称为僵尸主机(bot),控制者(botmaster)可以通过命令与控制(Command andControl,C&C)信道对僵尸主机进行一对多的操控。作为一种大规模攻击平台,攻击者可以利用僵尸网络发起分布式拒绝服务(Distributed Denial of Service,DDoS)、垃圾邮件、钓鱼攻击、恶意软件分发、加密勒索、虚拟货币挖掘等大规模攻击活动,对互联网造成了极大的安全威胁。
于是机器学习技术目前在僵尸网络检测领域得到了广泛应用,如朴素贝叶斯、支持向量机、随机森林等。在近些年的研究成果中,Sherif Saad等人在2011Ninth AnnualInternational Conference on Privacy,Security and Trust会议中提出使用机器学习的方法来进行检测:Detecting P2P Botnets through Network Behavior Analysis andMachine Learning,此方法虽然高效,但是必须依赖人工选取的特征,对于设计者有着较高要求的背景知识,而这些特征也为攻击者逃避模型检测提供了可乘之机。
因此,现有技术采取深度学习神经网络来进行僵尸网络检测,如Jos vanRoosmalen等人在Symposium on Applied Computing会议上的论文:Applying DeepLearning on Packet Flows for Botnet Detection(2018,4,1629-1636)所提出的。深度学习神经网络是通过多层神经网络结构与大量参数的调节,可以自动对样本的重要特征进行逐层抽象和提取,不需要进行大量的人工特征选取。但在实践中发现,由于网络复杂度较高,存在准确率低的问题。
发明内容
本发明为克服上述现有技术所述的缺陷,提供一种僵尸网络检测方法及装置、电子设备、存储介质,能够提高僵尸网络的检测准确率。
为解决上述技术问题,本发明的技术方案如下:
本发明第一方面公开一种僵尸网络检测方法,包括以下步骤:
对待检测网络的数据流进行预处理;
将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征;以及,将所述预处理后的数据流输入至预先训练好的双向长短记忆网络,以获得时间维度特征;
将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值;所述分类层分别连接于所述CNN卷积神经网络和所述双向长短记忆网络;
根据所述概率值判断出所述待检测网络是否为僵尸网络。
进一步地,所述CNN卷积神经网络包括依次连接的CNN卷积层、池化层、第一全连接层和输出层;所述将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征,包括:
将预处理后的数据流输入至预先训练好的CNN卷积神经网络,通过所述CNN卷积层对数据流进行卷积操作,以提取出数据流的特征,然后将所述数据流的特征输入至所述池化层进行池化操作,将池化操作后获得的空间维度特征经所述第一全连接层至所述输出层进行输出。
进一步地,所述CNN卷积层包括32个卷积核,每个所述卷积核的大小为10×10,卷积步长为1;所述池化层包括最大池化层或者平均池化层。
进一步地,所述的双向长短记忆网络包括依次连接的第一LSTM层、第二全连接层和第二LSTM层;所述第一LSTM层包括50个LSTM单元,所述第二全连接层包括128个神经元,所述第二LSTM层包括10个LSTM单元。
进一步地,所述将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值之前,所述方法还包括:
将所述空间维度特征和所述时间维度特征分别输入至Dropout层,以使所述Dropout层以预设条件对所述空间维度特征进行选择以获得第一输出结果,以及,使所述Dropout层以所述预设条件对所述时间维度特征进行选择以获得第二输出结果;所述Dropout层分别连接于所述CNN卷积神经网络、所述双向长短记忆网络和分类层;
以及,所述将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值,包括:
将所述第一输出结果和所述第二输出结果输入至所述分类层,以使所述分类层根据所述第一输出结果和所述第二输出结果计算得到所述待检测网络为僵尸网络的概率值。
本发明第二方面公开一种僵尸网络检测装置,包括:
预处理单元,用于对待检测网络的数据流进行预处理;
第一特征提取单元,用于将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征;
第二特征提取单元,用于将所述预处理后的数据流输入至预先训练好的双向长短记忆网络,以获得时间维度特征;
分类单元,用于将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值;所述分类层分别连接于所述CNN卷积神经网络和所述双向长短记忆网络;
判断单元,用于根据所述概率值判断出所述待检测网络是否为僵尸网络。
进一步地,所述CNN卷积神经网络包括依次连接的CNN卷积层、池化层、第一全连接层和输出层;所述第一特征提取单元,具体用于将预处理后的数据流输入至预先训练好的CNN卷积神经网络,通过所述CNN卷积层对数据流进行卷积操作,以提取出数据流的特征,然后将所述数据流的特征输入至所述池化层进行池化操作,将池化操作后获得的空间维度特征经所述第一全连接层至所述输出层进行输出。
进一步地,所述CNN卷积层包括32个卷积核,每个所述卷积核的大小为10×10,卷积步长为1;所述池化层包括最大池化层或者平均池化层。
进一步地,所述双向长短记忆网络包括依次连接的第一LSTM层、第二全连接层和第二LSTM层;所述第一LSTM层包括50个LSTM单元,所述第二全连接层包括128个神经元,所述第二LSTM层包括10个LSTM单元。
进一步地,所述装置还包括泛化单元,用于在所述分类单元将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值之前,将所述空间维度特征和所述时间维度特征分别输入至Dropout层,以使所述Dropout层以预设条件对所述空间维度特征进行选择以获得第一输出结果,以及,使所述Dropout层以所述预设条件对所述时间维度特征进行选择以获得第二输出结果;所述Dropout层分别连接于所述CNN卷积神经网络、所述双向长短记忆网络和分类层;
以及,所述分类单元,具体用于将所述第一输出结果和所述第二输出结果输入至所述分类层,以使所述分类层根据所述第一输出结果和所述第二输出结果计算得到所述待检测网络为僵尸网络的概率值。
本发明实施例第三方面公开一种电子设备,包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,用于执行本发明实施例第一方面公开的一种僵尸网络检测方法。
本发明实施例第四方面公开一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,其中,所述计算机程序使得计算机执行本发明实施例第一方面公开的一种僵尸网络检测方法。所述计算机可读存储介质包括ROM/RAM、磁盘或光盘等。
本发明实施例第五方面公开一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行第一方面的任意一种方法的部分或全部步骤。
与现有技术相比,本发明技术方案的有益效果是:本发明公开一种僵尸网络检测方法及装置、电子设备、存储介质,通过对待检测网络的数据流进行预处理,将预处理后的数据流分别输入至预先训练好的CNN卷积神经网络和双向长短记忆网络,通过CNN卷积神经网络提取获得数据流的空间维度特征,以及通过双向长短记忆网络提取获得时间维度特征,最后将空间维度特征和时间维度特征输入至分类层,以使分类层根据空间维度特征和时间维度特征计算得到待检测网络为僵尸网络的概率值,根据概率值判断出待检测网络是否为僵尸网络,从而能够基于多层监督学习,利用CNN卷积神经网络对数据流进行空间特征的识别,以及利用双向长短记忆网络获取输入各单元之间的依赖关系,更深层地挖掘数据流在时间序列上的特征,进而提高僵尸网络的检测准确率。同时,相比传统的模式识别方法,具有更好的自适应性和容错能力,应用范围更加广泛。
附图说明
图1是本发明实施例公开的一种僵尸网络检测方法的流程图。
图2是本发明实施例公开的一种CNN-BiLSTM模型的网络架构示意图。
图3是本发明实施例公开的一种僵尸网络检测装置的结构示意图。
图4是本发明实施例公开的一种电子设备的结构示意图。
其中:301、预处理单元;302、第一特征提取单元;303、第二特征提取单元;304、分类单元;305、判断单元;401、存储器;402、处理器。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
请参阅图1,图1是本发明实施例公开的一种僵尸网络检测方法的流程图。如图1所示,该方法包括:
S1:对待检测网络的数据流进行预处理。
其中,数据流具体为僵尸网络流量。
可选地,在执行步骤S2之前,可以先获取获取公开数据集,对公开数据集的数据进行预处理,得到训练数据集和测试数据集。
其中,可以从网上获取相关的公开数据集,比如ISOT 2010数据集,该数据集混合了蜜网法国分部(French chapter of Honeynet)、匈牙利的爱立信研究所(EricssonResearch in Hungray)等多个项目的公开数据,包括Storm和Zeus这2种P2P僵尸网络以及HTTP、P2P应用(例如bittorrent)、游戏等多种非恶意流量。接着采用pkt2flow工具将存储格式为pcap的公开数据集的数据进行分组转化为数据流,得到训练数据集和测试数据集。
然后,分别搭建CNN卷积神经网络和双向长短记忆网络(又称BiLSTM网络),并利用训练数据集中的数据流分别对CNN卷积神经网络和双向长短记忆网络进行训练,以及利用测试数据集中的数据流分别对CNN卷积神经网络和双向长短记忆网络进行测试,获得训练好的CNN卷积神经网络和双向长短记忆网络。
S2:将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征;以及,将预处理后的数据流输入至预先训练好的双向长短记忆网络,以获得时间维度特征。
其中,CNN卷积神经网络和双向长短记忆网络具体可以是CNN-BiLSTM模型中互相并列的两个子网络,如图2所示,该CNN-BiLSTM模型可以包括CNN卷积神经网络、BiLSTM网络、Dropout层和分类层。可选地,CNN-BiLSTM模型所包括的CNN卷积神经网络、BiLSTM网络可以是互相并列的关系,并且CNN卷积神经网络和BiLSTM网络各自连接有一个Dropout层,最后共同连接一个分类层。
步骤S2包括:将预处理后的数据流输入至预先训练好的CNN-BiLSTM模型,通过CNN-BiLSTM模型的CNN卷积神经网络提取获得数据流的空间维度特征,以及,通过CNN-BiLSTM模型的双向长短记忆网络提取获得数据流的时间维度特征。
可选地,CNN卷积神经网络可以包括依次连接的CNN卷积层、池化层、第一全连接层和输出层;那么,在CNN卷积神经网络中,首先可以通过CNN卷积层对数据流进行卷积操作,以提取出数据流的特征,然后将数据流的特征输入至池化层进行池化操作(又称为欠采样或下采样),主要用于特征降维、压缩数据和参数的数量,减小过拟合,同时提高模型的容错性。池化层具体可以是最大池化(Max Pooling)层或者平均池化(Average Pooling)层;最后将池化操作后获得的空间维度特征经过第一全连接层至输出层进行输出。其中,CNN卷积层可包括32个卷积核(又称过滤器),每个卷积核的大小为10×10,卷积步长为1。
可选地,双向长短记忆网络的基础构件可以采用LSTM层,包括第一LSTM层、第二全连接层和第二LSTM层;其中,第一LSTM层可包括50个LSTM单元,第二全连接层可包括128个神经元,第二LSTM层可包括10个LSTM单元。
其中,LSTM层是在门控(gated RNN,RNN)网络层的基础上进行改进的变体。RNN的每一个细胞的隐藏向量ht是由输入向量qt和前一个细胞的隐藏向量ht-1共同决定的,具体的计算过程为ht=ΦO,其中,O是非线性激活函数,一般是tanh函数或sigmoid函数;w和b是可训练的参数。但是简单的RNN网络在反向传播中存在梯度爆炸或者梯度消失问题,从而限制了网络学习期依赖的能力。为了解决长期依赖问题,基于门控RNN的LSTM被提出,LSTM引入了3个门控单元,分别是遗忘门ft、输入门it、和输出门Ot,计算公式依次为:
其中,σ为sigmoid函数。
传统的LSTM网络从前向后编码句子,只掌握了从前到后的上下文信息,没有掌握从后到前的上下文信息,所以无法表示输入的“上下文”之间的关系,而将前向LSTM网络和后向LSTM网络组成双向LSTM网络(即BiLSTM网络)后,可以双向学习上下文信息,从而能够提高特征提取的准确性,进而提高僵尸网络的检测准确率。
S3:将空间维度特征和时间维度特征输入至分类层,以使分类层根据空间维度特征和时间维度特征计算得到待检测网络为僵尸网络的概率值。其中,分类层分别连接于CNN卷积神经网络和双向长短记忆网络。
可选地,CNN-BiLSTM模型还包括Dropout层,Dropout层分别连接于CNN卷积神经网络、双向长短记忆网络和分类层;在执行步骤S3之前,还可以将空间维度特征和时间维度特征分别输入至Dropout层,以使Dropout层以预设条件对空间维度特征进行选择以获得第一输出结果,以及,使Dropout层以预设条件对时间维度特征进行选择以获得第二输出结果;相应地,步骤S3包括:将第一输出结果和第二输出结果输入至分类层以使分类层根据第一输出结果和第二输出结果计算得到待检测网络为僵尸网络的概率值。
其中,Dropout层可以作为训练深度神经网络的一种trick供选择,其可以在每个训练批次中,预设如让一半的特征检测器(即隐层节点)的值为0,以忽略一半的特征检测器的条件,对空间维度特征和时间维度特征分别进行选择筛减,这种方式可以减少特征检测器间的相互作用,防止某些检测器需要依赖其它检测器才能发挥作用,可以明显地减少过拟合现象。
相比而言,没有Dropout的网络计算公式如下:
式中,l表示的是隐藏层的索引,z(l)表示的是输入向量层,y(l)表示的是输入向量,w(l)和b(l)是对应层的权重和偏置,f可以表示为任意一个激活函数;
而采用Dropout的网络计算公式如下:
式中,r(l)是单独的向量,作为伯努利随机变量,它的每个变量的概率P为1,Bernoulli函数是为了生成概率r向量,也就是随机生成一个0、1的向量,
表示经过减少神经元处理之后的输出。
可见,实施该实施方式,可以通过Dropout层概率性地忽略部分特征提取器,进而减少过拟合现象,避免模型的过拟合,进而减小CNN-BiLSTM模型的神经单元规模,使得CNN-BiLSTM模型具有更好的泛化能力。
S4:根据概率值判断出待检测网络是否为僵尸网络。其中,概率值高于一定阈值的则可以判定为僵尸网络,概率值低于一定阈值的判定不是为僵尸网络。
步骤S3中,可以将空间维度特征和时间维度特征输入至Softmax分类层,并通过以下公式(10)计算出待检测网络为僵尸网络的概率值yi作为Softmax分类层的输出结果,然后步骤S4中可以根据概率值yi判断出待检测网络是否为僵尸网络:
其中,z是Dropout层的第一输出结果和第二输出结果,C表示维度。
可选地,当概率值高于指定阈值时,判定待检测网络为僵尸网络;当概率值低于指定阈值时,判定待检测网络不是僵尸网络;或者,当概率值低于指定阈值时,判定待检测网络为僵尸网络;当概率值高于指定阈值时,判定待检测网络不是僵尸网络。总之,根据概率值可以判断出待检测网络是或不是僵尸网络。
本实施例提供一种僵尸网络检测方法,通过对待检测网络的数据流进行预处理,将预处理后的数据流分别输入至预先训练好的CNN卷积神经网络和双向长短记忆网络,通过CNN卷积神经网络提取获得数据流的空间维度特征,以及通过双向长短记忆网络提取获得时间维度特征,最后将空间维度特征和时间维度特征输入至分类层,以使分类层根据空间维度特征和时间维度特征计算得到待检测网络为僵尸网络的概率值,根据概率值判断出待检测网络是否为僵尸网络,从而能够基于多层监督学习,利用CNN卷积神经网络对数据流进行空间特征的识别,以及利用双向长短记忆网络获取输入各单元之间的依赖关系,更深层地挖掘数据流在时间序列上的特征,进而提高僵尸网络的检测准确率。同时,相比传统的模式识别方法,具有更好的自适应性和容错能力,应用范围更加广泛。
实施例2
请参阅图3,图3是本发明实施例公开的一种僵尸网络检测装置的结构示意图。如图3所示,该装置包括预处理单元301、第一特征提取单元302、第二特征提取单元303、分类单元304和判断单元305,其中:
预处理单元301,用于对待检测网络的数据流进行预处理;
第一特征提取单元302,用于将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征;
第二特征提取单元303,用于将预处理后的数据流输入至预先训练好的双向长短记忆网络,以获得时间维度特征;
分类单元304,用于将空间维度特征和时间维度特征输入至分类层,以使分类层根据空间维度特征和时间维度特征计算得到待检测网络为僵尸网络的概率值;分类层分别连接于CNN卷积神经网络和双向长短记忆网络;
判断单元305,用于根据概率值判断出待检测网络是否为僵尸网络。
可选地,CNN卷积神经网络包括依次连接的CNN卷积层、池化层、第一全连接层和输出层;第一特征提取单元302,具体用于将预处理后的数据流输入至预先训练好的CNN卷积神经网络,通过CNN卷积层对数据流进行卷积操作,以提取出数据流的特征,然后将数据流的特征输入至池化层进行池化操作,将池化操作后获得的空间维度特征经第一全连接层至输出层进行输出。
可选地,CNN卷积层包括32个卷积核,每个卷积核的大小为10×10,卷积步长为1;池化层包括最大池化层或者平均池化层。
可选地,双向长短记忆网络包括依次连接的第一LSTM层、第二全连接层和第二LSTM层;第一LSTM层包括50个LSTM单元,第二全连接层包括128个神经元,第二LSTM层包括10个LSTM单元。
可选地,装置还可以包括未图示的泛化单元,用于在分类单元将空间维度特征和时间维度特征输入至分类层,以使分类层根据空间维度特征和时间维度特征计算得到待检测网络为僵尸网络的概率值之前,将空间维度特征和时间维度特征分别输入至Dropout层,以使Dropout层以预设条件对空间维度特征进行选择以获得第一输出结果,以及,使Dropout层以预设条件对时间维度特征进行选择以获得第二输出结果;Dropout层分别连接于CNN卷积神经网络、双向长短记忆网络和分类层;
以及,分类单元304,具体用于将第一输出结果和第二输出结果输入至分类层,以使分类层根据第一输出结果和第二输出结果计算得到待检测网络为僵尸网络的概率值。
本实施例提供一种僵尸网络检测装置,通过对待检测网络的数据流进行预处理,将预处理后的数据流分别输入至预先训练好的CNN卷积神经网络和双向长短记忆网络,通过CNN卷积神经网络提取获得数据流的空间维度特征,以及通过双向长短记忆网络提取获得时间维度特征,最后将空间维度特征和时间维度特征输入至分类层,以使分类层根据空间维度特征和时间维度特征计算得到待检测网络为僵尸网络的概率值,根据概率值判断出待检测网络是否为僵尸网络,从而能够基于多层监督学习,利用CNN卷积神经网络对数据流进行空间特征的识别,以及利用双向长短记忆网络获取输入各单元之间的依赖关系,更深层地挖掘数据流在时间序列上的特征,进而提高僵尸网络的检测准确率。同时,相比传统的模式识别方法,具有更好的自适应性和容错能力,应用范围更加广泛。
实施例3
请参阅图4,图4是本发明实施例公开的一种电子设备的结构示意图。如图4所示,该电子设备包括:
存储有可执行程序代码的存储器401;
与存储器401耦合的处理器402;
其中,处理器402调用存储器401中存储的可执行程序代码,执行上述各实施例中描述的僵尸网络检测方法。
需要说明的是,图4所示的电子设备还可以包括电源、输入按键、扬声器、麦克风、屏幕、RF电路、Wi-Fi模块、蓝牙模块、传感器等未显示的组件,本实施例不作赘述。还可以包括扬声器模组、摄像模组、显示屏、光投射模组、电池模组、无线通信模组(如移动通信模块、WIFI模块、蓝牙模块等)、传感器模组(如接近传感器、压力传感器等)、输入模组(如麦克风、按键)以及用户接口模组(如充电接口、对外供电接口、卡槽、有线耳机接口等)等未显示的部件。
本申请实施例公开一种计算机可读存储介质,其存储计算机程序,其中,该计算机程序使得计算机执行上述各实施例中描述的僵尸网络检测方法。
本申请实施例还公开一种计算机程序产品,其中,当计算机程序产品在计算机上运行时,使得计算机执行如以上各方法实施例中的方法的部分或全部步骤。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种僵尸网络检测方法,其特征在于,包括以下步骤:
对待检测网络的数据流进行预处理;
将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征;以及,将所述预处理后的数据流输入至预先训练好的双向长短记忆网络,以获得时间维度特征;
将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值;所述分类层分别连接于所述CNN卷积神经网络和所述双向长短记忆网络;
根据所述概率值判断出所述待检测网络是否为僵尸网络。
2.根据权利要求1所述的一种僵尸网络检测方法,其特征在于,所述CNN卷积神经网络包括依次连接的CNN卷积层、池化层、第一全连接层和输出层;所述将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征,包括:
将预处理后的数据流输入至预先训练好的CNN卷积神经网络,通过所述CNN卷积层对数据流进行卷积操作,以提取出数据流的特征,然后将所述数据流的特征输入至所述池化层进行池化操作,将池化操作后获得的空间维度特征经所述第一全连接层至所述输出层进行输出。
3.根据权利要求2所述的一种僵尸网络检测方法,其特征在于,所述CNN卷积层包括32个卷积核,每个所述卷积核的大小为10×10,卷积步长为1;所述池化层包括最大池化层或者平均池化层。
4.根据权利要求1至3任一项所述的一种僵尸网络检测方法,其特征在于,所述双向长短记忆网络包括依次连接的第一LSTM层、第二全连接层和第二LSTM层;所述第一LSTM层包括50个LSTM单元,所述第二全连接层包括128个神经元,所述第二LSTM层包括10个LSTM单元。
5.根据权利要求1所述的一种僵尸网络检测方法,其特征在于,所述将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值之前,所述方法还包括:
将所述空间维度特征和所述时间维度特征分别输入至Dropout层,以使所述Dropout层以预设条件对所述空间维度特征进行选择以获得第一输出结果,以及,使所述Dropout层以所述预设条件对所述时间维度特征进行选择以获得第二输出结果;所述Dropout层分别连接于所述CNN卷积神经网络、所述双向长短记忆网络和分类层;
以及,所述将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值,包括:
将所述第一输出结果和所述第二输出结果输入至所述分类层,以使所述分类层根据所述第一输出结果和所述第二输出结果计算得到所述待检测网络为僵尸网络的概率值。
6.一种僵尸网络检测装置,其特征在于,包括:
预处理单元,用于对待检测网络的数据流进行预处理;
第一特征提取单元,用于将预处理后的数据流输入至预先训练好的CNN卷积神经网络,以获得数据流的空间维度特征;
第二特征提取单元,用于将所述预处理后的数据流输入至预先训练好的双向长短记忆网络,以获得时间维度特征;
分类单元,用于将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值;所述分类层分别连接于所述CNN卷积神经网络和所述双向长短记忆网络;
判断单元,用于根据所述概率值判断出所述待检测网络是否为僵尸网络。
7.根据权利要求6所述的一种僵尸网络检测装置,其特征在于,所述CNN卷积神经网络包括依次连接的CNN卷积层、池化层、第一全连接层和输出层;所述第一特征提取单元,具体用于将预处理后的数据流输入至预先训练好的CNN卷积神经网络,通过所述CNN卷积层对数据流进行卷积操作,以提取出数据流的特征,然后将所述数据流的特征输入至所述池化层进行池化操作,将池化操作后获得的空间维度特征经所述第一全连接层至所述输出层进行输出。
8.根据权利要求6所述的一种僵尸网络检测装置,其特征在于,还包括泛化单元,用于在所述分类单元将所述空间维度特征和所述时间维度特征输入至分类层,以使所述分类层根据所述空间维度特征和所述时间维度特征计算得到所述待检测网络为僵尸网络的概率值之前,将所述空间维度特征和所述时间维度特征分别输入至Dropout层,以使所述Dropout层以预设条件对所述空间维度特征进行选择以获得第一输出结果,以及,使所述Dropout层以所述预设条件对所述时间维度特征进行选择以获得第二输出结果;所述Dropout层分别连接于所述CNN卷积神经网络、所述双向长短记忆网络和分类层;
以及,所述分类单元,具体用于将所述第一输出结果和所述第二输出结果输入至所述分类层,以使所述分类层根据所述第一输出结果和所述第二输出结果计算得到所述待检测网络为僵尸网络的概率值。
9.一种电子设备,其特征在于,包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,用于执行权利要求1至5任一项所述的一种僵尸网络检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序,其中,所述计算机程序使得计算机执行权利要求1至5任一项所述的一种僵尸网络检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011196506.6A CN112383518A (zh) | 2020-10-30 | 2020-10-30 | 一种僵尸网络检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011196506.6A CN112383518A (zh) | 2020-10-30 | 2020-10-30 | 一种僵尸网络检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112383518A true CN112383518A (zh) | 2021-02-19 |
Family
ID=74577175
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011196506.6A Pending CN112383518A (zh) | 2020-10-30 | 2020-10-30 | 一种僵尸网络检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112383518A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037729A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于深度学习的钓鱼网页层次化检测方法及系统 |
| CN114338199A (zh) * | 2021-12-30 | 2022-04-12 | 广东工业大学 | 一种基于注意力机制的恶意流量检测方法和系统 |
| CN115473748A (zh) * | 2022-11-14 | 2022-12-13 | 国际关系学院 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
| CN115549780A (zh) * | 2022-08-30 | 2022-12-30 | 北京邮电大学 | 光通信网络性能参数监测方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111027058A (zh) * | 2019-11-12 | 2020-04-17 | 深圳供电局有限公司 | 一种电力系统检测数据攻击的方法、计算机设备和存储介质 |
-
2020
- 2020-10-30 CN CN202011196506.6A patent/CN112383518A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111027058A (zh) * | 2019-11-12 | 2020-04-17 | 深圳供电局有限公司 | 一种电力系统检测数据攻击的方法、计算机设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 罗扶华等: "基于深度学习的僵尸网络检测技术研究", 《通信技术》 * |
| 谭越等: "基于ResNet和BiLSTM的僵尸网络检测方法", 《通信技术》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037729A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于深度学习的钓鱼网页层次化检测方法及系统 |
| CN114338199A (zh) * | 2021-12-30 | 2022-04-12 | 广东工业大学 | 一种基于注意力机制的恶意流量检测方法和系统 |
| CN114338199B (zh) * | 2021-12-30 | 2024-01-09 | 广东工业大学 | 一种基于注意力机制的恶意流量检测方法和系统 |
| CN115549780A (zh) * | 2022-08-30 | 2022-12-30 | 北京邮电大学 | 光通信网络性能参数监测方法及装置 |
| CN115473748A (zh) * | 2022-11-14 | 2022-12-13 | 国际关系学院 | 基于BiLSTM-ELM的DDoS攻击分类检测方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112383518A (zh) | 一种僵尸网络检测方法及装置 | |
| Zhao et al. | A novel intrusion detection method based on lightweight neural network for internet of things | |
| Clements et al. | Rallying adversarial techniques against deep learning for network security | |
| Xiao et al. | Secure mobile crowdsensing based on deep learning | |
| CN111885035B (zh) | 一种网络异常检测方法、系统、终端以及存储介质 | |
| CN111461089A (zh) | 一种人脸检测的方法、人脸检测模型的训练方法及装置 | |
| Liu et al. | Intrusion detection system after data augmentation schemes based on the VAE and CVAE | |
| Peng et al. | Network intrusion detection based on deep learning | |
| CN107729927B (zh) | 一种基于lstm神经网络的手机应用分类方法 | |
| CN113094707B (zh) | 一种基于异质图网络的横向移动攻击检测方法及系统 | |
| Sharma et al. | An efficient hybrid deep learning model for denial of service detection in cyber physical systems | |
| CN114697096A (zh) | 基于空时特征和注意力机制的入侵检测方法 | |
| CN112995150A (zh) | 一种基于cnn-lstm融合的僵尸网络检测方法 | |
| Lan et al. | MEMBER: A multi-task learning model with hybrid deep features for network intrusion detection | |
| CN115086029A (zh) | 一种基于双通道时空特征融合的网络入侵检测方法 | |
| CN107292345A (zh) | 隐私情境检测方法 | |
| CN111091102B (zh) | 一种视频分析装置、服务器、系统及保护身份隐私的方法 | |
| CN112261063A (zh) | 结合深度分层网络的网络恶意流量检测方法 | |
| Dong et al. | BotDetector: An extreme learning machine‐based Internet of Things botnet detection model | |
| CN112163493A (zh) | 一种视频虚假人脸检测方法及电子装置 | |
| Liu et al. | A network intrusion detection method based on CNN and CBAM | |
| Haghighat et al. | SAWANT: smart window based anomaly detection using netflow traffic | |
| Papadopoulos | Thornewill von Essen | |
| CN116471048A (zh) | 一种实时高效的物联网DDoS攻击检测方法及系统 | |
| Yang et al. | IoT botnet detection with feature reconstruction and interval optimization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210219 |
|
| RJ01 | Rejection of invention patent application after publication |