[發(fā)明專利]一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng)和方法在審
| 申請(qǐng)?zhí)枺?/td> | 201811244932.5 | 申請(qǐng)日: | 2018-10-24 |
| 公開(公告)號(hào): | CN109104441A | 公開(公告)日: | 2018-12-28 |
| 發(fā)明(設(shè)計(jì))人: | 鄒福泰;許文亮;馬志遠(yuǎn);高逸飛;李林森 | 申請(qǐng)(專利權(quán))人: | 上海交通大學(xué) |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 上海旭誠知識(shí)產(chǎn)權(quán)代理有限公司 31220 | 代理人: | 鄭立 |
| 地址: | 200240 *** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 惡意流量 加密 檢測系統(tǒng) 流量分析 日志文件 聚合 計(jì)算機(jī)網(wǎng)絡(luò)安全 存儲(chǔ)模塊 分析模塊 流量內(nèi)容 特征提取 顯示模塊 流量圖 解密 網(wǎng)站 分析 反饋 學(xué)習(xí) 制作 | ||
1.一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng),其特征在于,包括
網(wǎng)站提交模塊:用以在自建服務(wù)器上接受用戶所上傳的流量PCAP包;
流量分析及存儲(chǔ)模塊:使用流量分析軟件對(duì)所述網(wǎng)站提交模塊的所述流量PCAP包進(jìn)行分析,將分析結(jié)果存為日志文件;
核心分析模塊:對(duì)所述流量分析及存儲(chǔ)模塊的日志文件進(jìn)行數(shù)據(jù)預(yù)處理,然后使用識(shí)別模型進(jìn)行識(shí)別,最終組合模型結(jié)果,產(chǎn)生最終識(shí)別結(jié)果;
反饋顯示模塊:收到所述核心分析模塊產(chǎn)生的最終識(shí)別結(jié)果,判斷是否檢測到惡意流量,如果檢測為非惡意流量,告知用戶該流量包不存在惡意流量;如果檢測為惡意流量,提取出惡意流量的域名信息,并根據(jù)白名單再次過濾,得到最終流量的信息,并顯示給用戶。
2.如權(quán)利要求1所述的基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng),其特征在于,所述流量分析軟件為BRO。
3.如權(quán)利要求1或2所述的基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng),其特征在于,所述流量分析及存儲(chǔ)模塊包括事件引擎,所述事件引擎將傳入的數(shù)據(jù)包流減少為一系列更高級(jí)別的事件,并保存為日志文件。
4.如權(quán)利要求3所述的基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng),其特征在于,所述流量分析及存儲(chǔ)模塊還包括腳本解釋器,腳本解釋器執(zhí)行事件處理程序處理從事件引擎得到的事件。
5.如權(quán)利要求1所述的基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng),其特征在于,所述預(yù)處理包括特征分析、流量圖分析,以及域名分析;所述識(shí)別模型包括xgboost模型、word2vec+LSTM模型、CNN模型。
6.如權(quán)利要求1所述的基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng),其特征在于,所述最終流量的信息包括IP地址以及域名。
7.一種基于深度學(xué)習(xí)的加密惡意流量的檢測方法,其特征在于,所述方法包括以下步驟:
101、基于已有的加密流量數(shù)據(jù),通過流量分析軟件進(jìn)行分析,獲得日志文件,通過一些字段進(jìn)行連接,獲得一系列的聚合數(shù)據(jù);
102、從所述聚合數(shù)據(jù)中提取一系列的特征數(shù)據(jù);
103、利用xgboost算法,對(duì)所述特征數(shù)據(jù)進(jìn)行訓(xùn)練,獲得第一模型;
104、對(duì)于每條流量聚合,對(duì)于所有的域名,利用word2vec訓(xùn)練出一個(gè)詞向量轉(zhuǎn)換模型,然后轉(zhuǎn)換成詞向量矩陣;
105、將域名轉(zhuǎn)換成詞向量矩陣后,用LSTM進(jìn)行訓(xùn)練,獲得第二模型;
106、利用數(shù)據(jù)包的payload中的特征,構(gòu)建流量圖,獲得第三模型;
107、將所述第一模型、所述第二模型、所述第三模型,以不同比例進(jìn)行加權(quán),獲得最終的惡意流量概率;
108、當(dāng)有用戶上傳PCAP包時(shí),利用BRO軟件對(duì)其進(jìn)行分析,提取其中的特征,根據(jù)第一模型、第二模型、第三模型的組合模型對(duì)加密流量包進(jìn)行判斷,將結(jié)果返回用戶。
8.如權(quán)利要求7所述的基于深度學(xué)習(xí)的加密惡意流量的檢測方法,其特征在于,所述流量分析軟件為BRO。
9.如權(quán)利要求7所述的基于深度學(xué)習(xí)的加密惡意流量的檢測方法,其特征在于,所述特征數(shù)據(jù)包括連接的持續(xù)時(shí)間,平均每個(gè)傳入、傳出包的字節(jié)數(shù),普通連接和SSL連接的相對(duì)比例,證書的有效均值。
10.如權(quán)利要求7所述的基于深度學(xué)習(xí)的加密惡意流量的檢測方法,其特征在于,所述步驟106中的特征包括源IP發(fā)送字節(jié)數(shù),目的IP發(fā)送的字節(jié)數(shù),源IP發(fā)送的數(shù)據(jù)包個(gè)數(shù),目的IP發(fā)送的數(shù)據(jù)包個(gè)數(shù),源IP發(fā)送IP層字節(jié)數(shù),目的IP發(fā)送IP層字節(jié)數(shù)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海交通大學(xué),未經(jīng)上海交通大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811244932.5/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種惡意網(wǎng)絡(luò)流量詞庫的建立方法及建立系統(tǒng)
- 一種DNS惡意攻擊流量的發(fā)現(xiàn)方法及系統(tǒng)
- 惡意免流量服務(wù)器的發(fā)現(xiàn)方法和系統(tǒng)
- 一種惡意外連流量檢測方法及裝置
- 流量分析的方法、系統(tǒng)和裝置
- 惡意流量的識(shí)別方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 基于VGG神經(jīng)網(wǎng)絡(luò)的惡意流量檢測方法、裝置、設(shè)備及介質(zhì)
- 基于機(jī)器學(xué)習(xí)的https惡意加密流量檢測方法、系統(tǒng)及存儲(chǔ)介質(zhì)
- 基于HTTP的惡意流量分類方法及相關(guān)設(shè)備
- 加密裝置、加密系統(tǒng)、加密方法以及加密程序
- 移動(dòng)終端和方法
- 再加密方法、再加密系統(tǒng)以及再加密裝置
- 加密終端遠(yuǎn)程管理的方法、加密終端及管理器
- 數(shù)據(jù)加密的方法及裝置
- 流媒體數(shù)據(jù)加密、解密方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)
- 加密裝置、加密系統(tǒng)和數(shù)據(jù)的加密方法
- 文件加密、解密方法、裝置、設(shè)備和存儲(chǔ)介質(zhì)
- 一種車聯(lián)網(wǎng)數(shù)據(jù)加密方法及系統(tǒng)
- 一種服務(wù)數(shù)據(jù)共享云平臺(tái)的數(shù)據(jù)加密方法及系統(tǒng)
- 網(wǎng)絡(luò)流量分析方法和設(shè)備
- 網(wǎng)絡(luò)流量分析系統(tǒng)的網(wǎng)絡(luò)流量展示方法和系統(tǒng)
- 網(wǎng)絡(luò)流量智能分析系統(tǒng)
- 一種在網(wǎng)絡(luò)流量分析中數(shù)據(jù)倉庫及綜合布線測試技術(shù)的測試方法
- 一種流量分析能力的差異的確定方法及設(shè)備
- 一種計(jì)算機(jī)流量分析方法
- 一種智能變電站異常流量分析裝置
- 一種網(wǎng)絡(luò)攻擊檢測方法、裝置及電子設(shè)備
- 基于日志的流量消耗分析方法及系統(tǒng)
- 一種基于Telemetry流量采集技術(shù)的流量可視化系統(tǒng)和方法
