[發(fā)明專利]一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng)和方法在審
| 申請?zhí)枺?/td> | 201811244932.5 | 申請日: | 2018-10-24 |
| 公開(公告)號: | CN109104441A | 公開(公告)日: | 2018-12-28 |
| 發(fā)明(設(shè)計)人: | 鄒福泰;許文亮;馬志遠;高逸飛;李林森 | 申請(專利權(quán))人: | 上海交通大學(xué) |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 上海旭誠知識產(chǎn)權(quán)代理有限公司 31220 | 代理人: | 鄭立 |
| 地址: | 200240 *** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 惡意流量 加密 檢測系統(tǒng) 流量分析 日志文件 聚合 計算機網(wǎng)絡(luò)安全 存儲模塊 分析模塊 流量內(nèi)容 特征提取 顯示模塊 流量圖 解密 網(wǎng)站 分析 反饋 學(xué)習(xí) 制作 | ||
本發(fā)明公開了一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng)和方法,涉及計算機網(wǎng)絡(luò)安全領(lǐng)域,包括網(wǎng)站提交模塊,流量分析及存儲模塊,核心分析模塊,反饋顯示模塊。流量分析軟件對PCAP包進行分析得到日志文件,然后對這些日志文件根據(jù)IP地址進行聚合;對于聚合出的一條流進行特征提取、流量圖制作,以及域名的提取;使用xgboost、word2vec+LSTM、CNN產(chǎn)生識別模型,進行組合后實現(xiàn)最終判斷。本發(fā)明在不需要知道解密后流量內(nèi)容的情況下,就能對流量的惡意與否進行判斷,從而對加密惡意流量進行分析。
技術(shù)領(lǐng)域
本發(fā)明涉及計算機網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng)和方法。
背景技術(shù)
SSL安全套接層協(xié)議提供應(yīng)用層和傳輸層之間的數(shù)據(jù)安全性機制,在客戶端和服務(wù)器之間建立安全通道,對數(shù)據(jù)進行加密和隱藏,確保數(shù)據(jù)在傳輸過程中不被改變[1]。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法和密鑰的協(xié)商,在此之后所傳送的數(shù)據(jù)都會被加密,從而保證通信的私密性。
HTTPS加密惡意流量就是在流量傳輸時使用了SSL加密協(xié)議,躲避普通的流量分析技術(shù),為加密流量檢測帶來新的挑戰(zhàn)。而現(xiàn)有的惡意流量檢測技術(shù)大都要對流量有效載荷內(nèi)容進行分析,那么對于加密的流量需要先解密再進行分析,但很多時候都沒有足夠的條件可以對加密惡意流量進行解密,這種方法的實際應(yīng)用價值不高。所以近年來逐漸出現(xiàn)了基于機器學(xué)習(xí)的分析方法。
因此,本領(lǐng)域的技術(shù)人員致力于開發(fā)一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng)和方法。
發(fā)明內(nèi)容
有鑒于現(xiàn)有技術(shù)的上述缺陷,本發(fā)明所要解決的技術(shù)問題是在不需要知道解密后流量內(nèi)容的情況下,對流量的惡意與否進行判斷。
為實現(xiàn)上述目的,本發(fā)明提供了一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng)和方法。在不需要知道解密后流量內(nèi)容的情況下,就能對流量的惡意與否進行判斷,使用流量分析軟件對PCAP(Process Characterization Analysis Package,過程特性分析軟件包)包進行分析得到日志文件,然后對這些日志文件根據(jù)IP地址進行聚合。對于聚合出的一條流,進行特征提取、流量圖制作,以及域名的提取,使用xgboost、word2vec+LSTM、CNN產(chǎn)生共三種識別模型,進行組合后實現(xiàn)最終判斷,得出最后的結(jié)果。本發(fā)明不僅判斷PCAP包是否還有惡意流量,還會從中判斷出惡意的IP地址及其域名(如果存在)。
xgboost實現(xiàn)的是一種通用的Tree Boosting算法,此算法的一個代表為梯度提升決策樹。這是一種增強算法,構(gòu)建T棵回歸樹,當(dāng)構(gòu)建第t棵樹時,對前t-1棵樹訓(xùn)練樣本分類回歸產(chǎn)生的殘差進行擬合。每次擬合產(chǎn)生新樹時,遍歷可能的樹,選擇使目標(biāo)函數(shù)最小的樹。
LSTM(Long Short-Term Memory,長短時記憶網(wǎng)絡(luò))最早由Sepp Hochreiter和Jürgen Schmidhuber于1997年提出,是RNN(Recurrent neural Network,循環(huán)神經(jīng)網(wǎng)絡(luò))的一種特殊類型,可以學(xué)習(xí)長期依賴信息。LSTM通過增加輸入門限,遺忘門限和輸出門限,使得自循環(huán)的權(quán)重是變化的,這樣一來在模型參數(shù)固定的情況下,不同時刻的積分尺度可以動態(tài)改變,從而避免了梯度消失或者梯度膨脹的問題。
卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,CNN)是一種前饋神經(jīng)網(wǎng)絡(luò),它的人工神經(jīng)元可以響應(yīng)一部分覆蓋范圍內(nèi)的周圍單元。CNN的基本結(jié)構(gòu)一般由輸入層、卷積層(convolutional layer)、池化層(pooling layer,也稱為下采樣層)、全連接層及輸出層構(gòu)成。
在本發(fā)明的較佳實施方式中,提供了一種基于深度學(xué)習(xí)的加密惡意流量的檢測系統(tǒng)包括以下模塊:
1)網(wǎng)站提交模塊:用以在自建服務(wù)器上接受用戶所上傳的流量PCAP包;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海交通大學(xué),未經(jīng)上海交通大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811244932.5/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種惡意網(wǎng)絡(luò)流量詞庫的建立方法及建立系統(tǒng)
- 一種DNS惡意攻擊流量的發(fā)現(xiàn)方法及系統(tǒng)
- 惡意免流量服務(wù)器的發(fā)現(xiàn)方法和系統(tǒng)
- 一種惡意外連流量檢測方法及裝置
- 流量分析的方法、系統(tǒng)和裝置
- 惡意流量的識別方法、裝置、計算機設(shè)備及存儲介質(zhì)
- 基于VGG神經(jīng)網(wǎng)絡(luò)的惡意流量檢測方法、裝置、設(shè)備及介質(zhì)
- 基于機器學(xué)習(xí)的https惡意加密流量檢測方法、系統(tǒng)及存儲介質(zhì)
- 基于HTTP的惡意流量分類方法及相關(guān)設(shè)備
- 加密裝置、加密系統(tǒng)、加密方法以及加密程序
- 移動終端和方法
- 再加密方法、再加密系統(tǒng)以及再加密裝置
- 加密終端遠程管理的方法、加密終端及管理器
- 數(shù)據(jù)加密的方法及裝置
- 流媒體數(shù)據(jù)加密、解密方法、裝置、電子設(shè)備及存儲介質(zhì)
- 加密裝置、加密系統(tǒng)和數(shù)據(jù)的加密方法
- 文件加密、解密方法、裝置、設(shè)備和存儲介質(zhì)
- 一種車聯(lián)網(wǎng)數(shù)據(jù)加密方法及系統(tǒng)
- 一種服務(wù)數(shù)據(jù)共享云平臺的數(shù)據(jù)加密方法及系統(tǒng)
- 網(wǎng)絡(luò)流量分析方法和設(shè)備
- 網(wǎng)絡(luò)流量分析系統(tǒng)的網(wǎng)絡(luò)流量展示方法和系統(tǒng)
- 網(wǎng)絡(luò)流量智能分析系統(tǒng)
- 一種在網(wǎng)絡(luò)流量分析中數(shù)據(jù)倉庫及綜合布線測試技術(shù)的測試方法
- 一種流量分析能力的差異的確定方法及設(shè)備
- 一種計算機流量分析方法
- 一種智能變電站異常流量分析裝置
- 一種網(wǎng)絡(luò)攻擊檢測方法、裝置及電子設(shè)備
- 基于日志的流量消耗分析方法及系統(tǒng)
- 一種基于Telemetry流量采集技術(shù)的流量可視化系統(tǒng)和方法
