[發明專利]一種基于深度學習的加密惡意流量的檢測系統和方法在審
| 申請號: | 201811244932.5 | 申請日: | 2018-10-24 |
| 公開(公告)號: | CN109104441A | 公開(公告)日: | 2018-12-28 |
| 發明(設計)人: | 鄒福泰;許文亮;馬志遠;高逸飛;李林森 | 申請(專利權)人: | 上海交通大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 上海旭誠知識產權代理有限公司 31220 | 代理人: | 鄭立 |
| 地址: | 200240 *** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意流量 加密 檢測系統 流量分析 日志文件 聚合 計算機網絡安全 存儲模塊 分析模塊 流量內容 特征提取 顯示模塊 流量圖 解密 網站 分析 反饋 學習 制作 | ||
1.一種基于深度學習的加密惡意流量的檢測系統,其特征在于,包括
網站提交模塊:用以在自建服務器上接受用戶所上傳的流量PCAP包;
流量分析及存儲模塊:使用流量分析軟件對所述網站提交模塊的所述流量PCAP包進行分析,將分析結果存為日志文件;
核心分析模塊:對所述流量分析及存儲模塊的日志文件進行數據預處理,然后使用識別模型進行識別,最終組合模型結果,產生最終識別結果;
反饋顯示模塊:收到所述核心分析模塊產生的最終識別結果,判斷是否檢測到惡意流量,如果檢測為非惡意流量,告知用戶該流量包不存在惡意流量;如果檢測為惡意流量,提取出惡意流量的域名信息,并根據白名單再次過濾,得到最終流量的信息,并顯示給用戶。
2.如權利要求1所述的基于深度學習的加密惡意流量的檢測系統,其特征在于,所述流量分析軟件為BRO。
3.如權利要求1或2所述的基于深度學習的加密惡意流量的檢測系統,其特征在于,所述流量分析及存儲模塊包括事件引擎,所述事件引擎將傳入的數據包流減少為一系列更高級別的事件,并保存為日志文件。
4.如權利要求3所述的基于深度學習的加密惡意流量的檢測系統,其特征在于,所述流量分析及存儲模塊還包括腳本解釋器,腳本解釋器執行事件處理程序處理從事件引擎得到的事件。
5.如權利要求1所述的基于深度學習的加密惡意流量的檢測系統,其特征在于,所述預處理包括特征分析、流量圖分析,以及域名分析;所述識別模型包括xgboost模型、word2vec+LSTM模型、CNN模型。
6.如權利要求1所述的基于深度學習的加密惡意流量的檢測系統,其特征在于,所述最終流量的信息包括IP地址以及域名。
7.一種基于深度學習的加密惡意流量的檢測方法,其特征在于,所述方法包括以下步驟:
101、基于已有的加密流量數據,通過流量分析軟件進行分析,獲得日志文件,通過一些字段進行連接,獲得一系列的聚合數據;
102、從所述聚合數據中提取一系列的特征數據;
103、利用xgboost算法,對所述特征數據進行訓練,獲得第一模型;
104、對于每條流量聚合,對于所有的域名,利用word2vec訓練出一個詞向量轉換模型,然后轉換成詞向量矩陣;
105、將域名轉換成詞向量矩陣后,用LSTM進行訓練,獲得第二模型;
106、利用數據包的payload中的特征,構建流量圖,獲得第三模型;
107、將所述第一模型、所述第二模型、所述第三模型,以不同比例進行加權,獲得最終的惡意流量概率;
108、當有用戶上傳PCAP包時,利用BRO軟件對其進行分析,提取其中的特征,根據第一模型、第二模型、第三模型的組合模型對加密流量包進行判斷,將結果返回用戶。
8.如權利要求7所述的基于深度學習的加密惡意流量的檢測方法,其特征在于,所述流量分析軟件為BRO。
9.如權利要求7所述的基于深度學習的加密惡意流量的檢測方法,其特征在于,所述特征數據包括連接的持續時間,平均每個傳入、傳出包的字節數,普通連接和SSL連接的相對比例,證書的有效均值。
10.如權利要求7所述的基于深度學習的加密惡意流量的檢測方法,其特征在于,所述步驟106中的特征包括源IP發送字節數,目的IP發送的字節數,源IP發送的數據包個數,目的IP發送的數據包個數,源IP發送IP層字節數,目的IP發送IP層字節數。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海交通大學,未經上海交通大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811244932.5/1.html,轉載請聲明來源鉆瓜專利網。
