CN113705604A - 僵尸网络流量分类检测方法、装置、电子设备及存储介质 - Google Patents

Abstract

本发明提供了一种僵尸网络流量分类检测方法、装置、电子设备及存储介质，包括：获取僵尸网络流量数据集；将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别。本发明能够实现对恶意流量的检测与分类，在准确率和运算效率两方面均具有显著的提高。

Description

僵尸网络流量分类检测方法、装置、电子设备及存储介质

技术领域

本发明涉及流量分类检测技术领域，尤其涉及一种僵尸网络流量分类检测方法、装置、电子设备及存储介质。

背景技术

僵尸网络流量检测，通常也被称为恶意流量攻击事件检测，是指在网络空间数据通信交互中检测出不符合正常流量特征的处理过程。先前关于恶意流量检测的研究，通常将流量异常划分为三种类别：内容特征异常、数据流统计特征异常和网络连接行为异常。内容特征异常包括恶意流量协议段中特有的值以及负载中含有的特殊字段序列。例如在P2P应用，在大多数应用场景下，字段有着明显迥异的特征；DirectConnet应用中会携带有“$Sen/$Get/$Fit”内容特征字串；eDonkey应用数据流量报文中会携带有“0xe319010000\”以及直播软件流量报文中会携带有“SIP/user-agent:Tencent-VQQ”等特征字段；数据流量统计特征和网络连接行为特征都是通过对采集的数据进行统计分析得到的，可称为统计特征，数据流统计特征可以从网络层，传输层和应用层提取，其提取过程一般是先计算流量统计值，再从这些统计值中提取恶意流量特征。一些恶意软件也会存在特有的网络连接行为特征。例如受僵尸网络感染的主机会随机扫描互联网IP地址并产生大量的失败连接流量通信记录。

在恶意网络流量的检测方面，通常可以分为主动检测和被动检测两大类。主动检测是向网络中发送探测数据包来判断是否有产生恶意流量的僵尸主机。被动检测是被动地采集网络流量，并对网络流量进行分析处理，进而检测出僵尸网络。主动检测的方法检测效率较高，能及时发现网络中是否存在僵尸主机流量。但主动检测方式有明显的的不足：发送探测数据包会给网络增加额外的流量，并且容易被攻击者发现从而逃避检测。被动检测技术通常是在待测网络的核心交换机上采集网络流量，然后对采集的流量进行分析处理，进而检测出僵尸网络，被动检测技术不会产生额外的流量，不易被攻击者发现。被动检测技术宏观上可以划分为基于特征码的检测方法和基于异常的检测方法。具体到相应的技术发展领域可以划分为(1)基于人工规则的流量检测方法，这类方法侧重于设计准确、有效的流量匹配规则，从而提升算法性能。(2)基于机器学习的流量检测方法，结合网络流量特征对网络态势进行分析，通过机器学习算法判断是否出现有别于正常流量的攻击行为流量。这一类识别算法中，目前研究较多的是基于统计和基于行为的方法。(3)通过构建多层次的神经网络结构，通过每一层不同的运算操作逐渐提取输入数据的特征并进行组合，从而生成较高层次的抽象特征用于模型的判决。上述三个方面的流量检测手段，虽然在各自领域可以达到检测识别恶意流量的目的，但是均存在处理效率较慢的问题。

发明内容

针对现有技术中存在的问题，本发明实施例提供一种僵尸网络流量分类检测方法、装置、电子设备及存储介质。

第一方面，本发明实施例提供一种僵尸网络流量分类检测方法，包括：

获取僵尸网络流量数据集；

将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；

将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

进一步地，所述将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵，具体包括：

将所述僵尸网络流量数据集进行载荷全提取预处理，得到n个单通道二维灰度图像矩阵；其中，所述单通道二维灰度图像矩阵中的数值表示网络流量特征，n为正整数。

进一步地，所述载荷全提取预处理包括对所述僵尸网络流量数据集进行数据流切割，切割后再进行关键数据提取；基于提取结果进行流量可视化和标签独热编码。

进一步地，所述预设的可分离卷积神经网络模型是基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建的卷积神经网络模型。

进一步地，还包括：

将单通道二维灰度图像矩阵样本输入基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建的卷积神经网络模型确定网络超参，并进行训练测试；其中，所述训练测试包括：基于所述单通道二维灰度图像矩阵样本中的训练集确定网络结构；基于与所述单通道二维灰度图像矩阵样本中的训练集对应的检测结果调整所述网络结构。

进一步地，还包括：在进行训练测试时引入正则化项和注意力机制。

第二方面，本发明实施例提供了一种僵尸网络流量分类检测装置，包括：

获取模块，用于获取僵尸网络流量数据集；

预处理模块，用于将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；

确定模块，用于将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

进一步地，所述预处理模块，具体用于：

将所述僵尸网络流量数据集进行载荷全提取预处理，得到n个单通道二维灰度图像矩阵；其中，所述单通道二维灰度图像矩阵中的数值表示网络流量特征，n为正整数。

第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上第一方面所述的僵尸网络流量分类检测方法的步骤。

第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上第一方面所述的僵尸网络流量分类检测方法的步骤。

由上述技术方案可知，本发明实施例提供的僵尸网络流量分类检测方法、装置、电子设备及存储介质，通过获取僵尸网络流量数据集；将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别。本发明能够实现对恶意流量的检测与分类，在准确率和运算效率两方面均具有显著的提高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的僵尸网络流量分类检测方法的流程示意图；

图2为本发明一实施例提供的载荷全提取预处理的示意图；

图3为本发明一实施例提供的深度可分离卷积操作的示意图；

图4为本发明一实施例提供的基于可分离卷积神经网络模型的僵尸网络流量分类检测的示意图；

图5为本发明一实施例提供的网络训练及测试的示意图；

图6为本发明一实施例提供的网络结构的示意图；

图7为本发明一实施例提供的僵尸网络流量分类检测装置的结构示意图；

图8为本发明一实施例提供的电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。下面将通过具体的实施例对本发明提供的僵尸网络流量分类检测方法进行详细解释和说明。

图1为本发明一实施例提供的僵尸网络流量分类检测方法的流程示意图；如图1所示，该方法包括：

步骤101：获取僵尸网络流量数据集。

步骤102：将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵。

步骤103：将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

在本实施例中，需要说明的是，本发明将恶意流量分类检测问题归化成一个结构优化问题，首先基于深度可分离卷积的原理机制，构建轻量级卷积神经网络，对样本数据进行训练，测试以及网络参数反馈调整；基于对训练集，测试集结果的对比，进行网络结构优化，确定预设的可分离卷积神经网络模型；其次，获取僵尸网络流量数据集，并将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；再次，利用预设的可分离卷积神经网络模型进行检测，最终实现可以对流量进行分类检测的目标，判断当前流量是否为恶意流量及其所属类别。举例来说：首先对僵尸网络流量数据集，基于载荷全提取技术对原始数据集进行预处理，将原始流量转化为适配于神经网络输入的单通道二维灰度图像矩阵；其次基于深度可分离卷积的原理机制，构建轻量级卷积神经网络，对预处理完成的数据进行训练，测试以及网络参数反馈调整；最后，基于对训练集，测试集结果的对比，进行网络结构优化，最终实现可以对流量进行分类检测的目标，判断当前流量是否为恶意流量及其所属类别。

由上面技术方案可知，本发明实施例提供的僵尸网络流量分类检测方法，通过获取僵尸网络流量数据集；将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别。本发明能够实现对恶意流量的检测与分类，在准确率和运算效率两方面均具有显著的提高。

在上述实施例的基础上，在本实施例中，所述将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵，具体包括：

将所述僵尸网络流量数据集进行载荷全提取预处理，得到n个单通道二维灰度图像矩阵；其中，所述单通道二维灰度图像矩阵中的数值表示网络流量特征，n为正整数。

在本实施例中，可以理解的是，对输入的原始数据流量集(即获取到的僵尸网络流量数据集)进行载荷全提取预处理，得到多个单通道二维图像矩阵，图像矩阵中的数值即代表着原始流量特征。其中，载荷全提取预处理可以包括：数据流切割、关键数据提取、流量可视化及标签独热编码中的一种或多种。

由上面技术方案可知，本发明实施例提供的僵尸网络流量分类检测方法，通过进行载荷全提取预处理有利于提升分类检测速度。

在上述实施例的基础上，在本实施例中，所述载荷全提取预处理包括对所述僵尸网络流量数据集进行数据流切割，切割后再进行关键数据提取；基于提取结果进行流量可视化和标签独热编码。

在本实施例中，参见图2，数据流切割是指将僵尸网络流量数据集分割为多组数据流(数据流1、数据流2...数据流n)，如将流量数据中源地址为192.168.122.56，发送端口为8599，目的地址为65.97.53.45，接收端口为23，传输协议为TCP的流量记录划分为数据流1(源地址与目的地址可以互换)；将流量数据中源地址为192.168.12.56，源端口为8599，目的地址为49.105.253.29，目的端口为23，传输协议为TCP的流量记录划分为数据流2(源地址与目的地址可互换)...以此类推划分多个pcap数据文件中的流量交互记录；完成切割后再进行关键数据提取，如针对基于IRC协议的Neris类型的僵尸网络，通过对其流量交互报文加以分析后可知，其流量交互过程中存在着特定的字符串“ACACACAC”，对于这一部分关键数据，我们通过本方法的关键数据提取步骤，将这一部分载荷内容加以截取，为后续的流量字节可视化步骤作准备；完成关键数据提取后进行流量可视化和标签独热编码，如基于选取的五种恶意流量Mirai，IRCBoT，Hajime，Muhstik以及Hide_and_Seek和一类正常交互的物联网设备流量，共计六种类型的流量作为本实施例的实验数据集，基于独热编码原理，将上述数据集标签指定如下：Mirai：[1,0,0,0,0,0]，Hajime：[0,1,0,0,0,0]，IRCBoT：[0,0,1,0,0,0]，Muhstik：[0,0,0,1,0,0]，Hide_and_Seek：[0,0,0,0,1,0]，正常流量：[0,0,0,0,0,1]，基于上述设计，完成标签独热编码的过程。

由上面技术方案可知，本发明实施例提供的僵尸网络流量分类检测方法，通过数据流切割、关键数据提取、流量可视化及标签独热编码四个数据处理步骤有利于进一步提升分类检测速度。

在上述实施例的基础上，在本实施例中，所述预设的可分离卷积神经网络模型是基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建的卷积神经网络模型。

在本实施例中，需要说明的是，参见图3，图3中：Channel：指的是图像通道；Filters*3：Filters指的是卷积核，Filters*3是指使用三个卷积核；Maps*3：Maps指的是生成的中间过程图像，Maps*3指的是对应卷积核的数量生成了三个中间图像(矩阵)；Filters*4：Filters指的是卷积核，Filters*4是指使用四个卷积核；Maps*4：Maps指的是生成的中间过程图像，Maps*4指的是对应卷积核的数量生成了四个中间图像(矩阵)；Depthwise conv：指的是深度卷积；Pointwise conv：指的是逐点(像素)卷积；图3为深度可分离卷积操作的示意图，可以理解的是，深度可分离卷积操作可以分解为Depthwise Conv和Pointwise Conv两部分的计算过程。

为了更好的理解本实施例，参见图4，图4描述了预处理产生的单通道二维图像矩阵，通过可分离卷积神经网络模块(即预设的可分离卷积神经网络模型)检测，分类判断，最终输出当前数据流图像是否属于恶意流量以及其所属恶意类别的处理过程。

由上面技术方案可知，本发明实施例提供的僵尸网络流量分类检测方法，采用基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建的卷积神经网络模型对恶意流量的攻击事件进行分类检测，能够有更好的区分性，且具备检测快速高效，网络参数量少的效果，利用可分离卷积操作的优越性更好的进行特征选择和学习，在一定程度上提升了检测效率。

在上述实施例的基础上，在本实施例中，还包括：

将单通道二维灰度图像矩阵样本输入基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建的卷积神经网络模型确定网络超参，并进行训练测试；其中，所述训练测试包括：基于所述单通道二维灰度图像矩阵样本中的训练集确定网络结构；基于与所述单通道二维灰度图像矩阵样本中的训练集对应的检测结果调整所述网络结构。

在本实施例中，举例来说，基于深度可分离卷积对恶意的僵尸网络流量进行分类(即利用预设的可分离卷积神经网络模型进行分类检测)，整个流程包括三大步骤：

第一步：数据预处理

对输入的原始数据流量集进行载荷全提取预处理，得到多个单通道二维图像矩阵，图像矩阵中的数值即代表着原始流量特征；

第二步：基于可分离卷积模块搭建神经网络

基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建轻量级卷积神经网络，将预处理好的图像矩阵输入网络进行迭代训练，确定网络超参。

第三步：训练、测试优化神经网络结构

基于训练集确定的网络结构，将测试集输入网络，对比实验结果，调整网络结构，引入正则化项以及注意力机制，使分类效果更加准确。

在本实施例中，需要说明的是，参见图5和图6，本发明实施例提供的僵尸网络流量分类检测方法包括数据预处理和可分离卷积神经网络搭建、训练和测试两大步骤，数据预处理阶段利用载荷全提取，流量可视化等预处理手段，将原始数据集转化为可输入的数据格式；训练测试阶段利用训练数据集调配网络超参，通道权重等一系列参数配置，利用测试数据集进行流量异常分类检测，并基于训练结果和测试结果对网络结构进行优化，引入注意力机制权衡通道权重值，使分类效果更加准确(参见图5)；在训练阶段，先对输入数据集流量进行预处理，将原始数据流量转化为灰度图像，用以提取流量特征。预处理过程包括数据流切割，关键数据提取，流量可视化，以及标签独热编码。对于获取的图像矩阵特征，根据深度可分离卷积模块搭建轻量级深度学习神经网络对图像特征进行自学习和分类，其网络结构参见图6。

由上面技术方案可知，本发明实施例提供的僵尸网络流量分类检测方法，利用深度可分离卷积的计算原理，对预处理完成的流量图像，进行分类检测，当神经网络模型输出结果为恶意流量类别时判决为恶意僵尸网络，从而实现快速精确的流量异常分类检测。

在上述实施例的基础上，在本实施例中，还包括：在进行训练测试时引入正则化项和注意力机制。

在本实施例中，需要说明的是，本实施例的神经网络结构模型中使用的正则化项是指：Dropout正则化方法，设置ε＝0.6，以40％的概率丢弃神经元，其核心思想是在神经网络模型的训练过程中，随机放弃一些神经元，使得模型的泛化能力更强。

在本实施例中，需要说明的是，本实施例中的注意力机制是指基于Squeeze-and-Excitaion子结构的注意力模型，该机制的核心思想是根据网络的损失来学习并调整特征通道的权重，使每种数据特征对网络预测的贡献与它的实际影响一致，以提高有效特征的参与程度。

由上面技术方案可知，本发明实施例提供的僵尸网络流量分类检测方法，通过网络结构的优化引入注意力机制，能够科学地选择对最终分类检测任务最优的通道权重值，进一步提高了恶意流量分类检测的准确率。

为了更好的理解本发明，下面结合实施例进一步阐述本发明的内容，但本发明不仅仅局限于下面的实施例。

以物联网僵尸网络恶意流量数据集IOT-23为原始数据流量集，利用深度可分离卷积神经网络对僵尸网络流量进行特征自学习，并自调整神经网络权重及参数，最终实现对恶意流量的检测与分类目标。流量分类检测准确率可以达到98.5％，多分类检测精准率为97.77％，多分类检测召回率可以达到97.75％，以及多分类F1-Score可以达到97.74％。与传统深度学习算法，以及传统机器学习算法相比，运算时间缩短了10％-15％左右，因此，本发明在准确率和运算效率两方面均具有显著提高和明显优势。

具体地，本发明实施例针对传统僵尸网络恶意流量检测方法未能快速高效分类检测这一问题，发明了一种基于深度可分离卷积进行恶意流量分类检测的方法(即僵尸网络流量分类检测方法)和模型，利用深度可分离卷积的计算原理，对预处理完成的流量图像，进行分类检测，当神经网络模型输出结果为恶意流量类别时判决为恶意僵尸网络，从而实现快速精确的流量异常分类检测。

本发明所采用的恶意流量分类检测方法分为训练和测试两大步骤，训练阶段利用现有的训练集数据训练可分离卷积神经网络的相应超参，检测阶段则利用初步确定超参权重的网络对测试集数据进行恶意流量检测，其流程图如图5所示。

在训练阶段，本实施例选取50000条由Mirai，Hajime，Hide_and_Seek，IRCBoT，Muhstik五种恶意流量数据集处理完成的训练样本作为训练集，训练算法如下：

1)初始化：设定迭代轮数epochs：5，设定每一次参与训练的样本规格数batch_size：32，且将流量数据预处理成灰度图特征样本；

2)网络超参学习：

A、根据当前的训练特征样本，利用RMSprop优化算法对网络参数权重训练。

B、结合多轮迭代训练过程中，网络训练的分类输出结果，基于交叉熵损失函数“categorical_crossentropy”进行网络优化调整。

3)返回结果：训练确定的深度可分离卷积网络参数权重。

检测阶段，依据上述实验数据集，本实施例设计的可分离卷积网络模型选取10000条由上述恶意流量和正常流量混合组成的测试集，并根据训练阶段确定的网络参数权重逐个计算每一类型流量的判别概率得分，当当前类型流量以介于[0,1]之间最高的得分值被预测为正确标签类型时则正常，否则判断为异常。

应用阶段，本实施例设计的恶意流量检测模型在物联网僵尸网络恶意流量数据集IOT-23上，流量分类检测准确率可以达到98.5％，多分类检测精准率为97.77％，多分类检测召回率可以达到97.75％，以及多分类F1-Score可以达到97.74％。与传统深度学习算法，以及传统机器学习算法相比，运算时间缩短了10％-15％左右，因此，本实施例在准确率和运算效率两方面均具有显著提高和明显优势。

图7为本发明一实施例提供的僵尸网络流量分类检测装置的结构示意图，如图7所示，该装置包括：获取模块201、预处理模块202和确定模块203，其中：

其中，获取模块201，用于获取僵尸网络流量数据集；

预处理模块202，用于将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；

确定模块203，用于将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

本发明实施例提供的僵尸网络流量分类检测装置具体可以用于执行上述实施例的僵尸网络流量分类检测方法，其技术原理和有益效果类似，具体可参见上述实施例，此处不再赘述。

基于相同的发明构思，本发明实施例提供一种电子设备，参见图8，电子设备具体包括如下内容：处理器301、通信接口303、存储器302和通信总线304；

其中，处理器301、通信接口303、存储器302通过通信总线304完成相互间的通信；通信接口303用于实现各建模软件及智能制造装备模块库等相关设备之间的信息传输；处理器301用于调用存储器302中的计算机程序，处理器执行计算机程序时实现上述各方法实施例所提供的方法，例如，处理器执行计算机程序时实现下述步骤：获取僵尸网络流量数据集；将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

基于相同的发明构思，本发明又一实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法实施例提供的方法，例如，获取僵尸网络流量数据集；将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分的方法。

此外，在本发明中，诸如“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

此外，在本发明中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

此外，在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种僵尸网络流量分类检测方法，其特征在于，包括：

获取僵尸网络流量数据集；

将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；

将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

2.根据权利要求1所述的僵尸网络流量分类检测方法，其特征在于，所述将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵，具体包括：

将所述僵尸网络流量数据集进行载荷全提取预处理，得到n个单通道二维灰度图像矩阵；其中，所述单通道二维灰度图像矩阵中的数值表示网络流量特征，n为正整数。

3.根据权利要求2所述的僵尸网络流量分类检测方法，其特征在于，所述载荷全提取预处理包括对所述僵尸网络流量数据集进行数据流切割，切割后再进行关键数据提取；基于提取结果进行流量可视化和标签独热编码。

4.根据权利要求1所述的僵尸网络流量分类检测方法，其特征在于，所述预设的可分离卷积神经网络模型是基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建的卷积神经网络模型。

5.根据权利要求4所述的僵尸网络流量分类检测方法，其特征在于，还包括：

将单通道二维灰度图像矩阵样本输入基于深度可分离的Depthwise卷积块和Pointwise卷积块搭建的卷积神经网络模型确定网络超参，并进行训练测试；其中，所述训练测试包括：基于所述单通道二维灰度图像矩阵样本中的训练集确定网络结构；基于与所述单通道二维灰度图像矩阵样本中的训练集对应的检测结果调整所述网络结构。

6.根据权利要求5所述的僵尸网络流量分类检测方法，其特征在于，还包括：在进行训练测试时引入正则化项和注意力机制。

7.一种僵尸网络流量分类检测装置，其特征在于，包括：

获取模块，用于获取僵尸网络流量数据集；

预处理模块，用于将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；

确定模块，用于将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别。

8.根据权利要求7所述的僵尸网络流量分类检测装置，其特征在于，所述预处理模块，具体用于：

将所述僵尸网络流量数据集进行载荷全提取预处理，得到n个单通道二维灰度图像矩阵；其中，所述单通道二维灰度图像矩阵中的数值表示网络流量特征，n为正整数。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1～6任一项所述的僵尸网络流量分类检测方法。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1～6任一项所述的僵尸网络流量分类检测方法。

Images