一種異常流量檢測裝置及其異常流量檢測方法。異常流量檢測裝置解析一時間區間所擷取的多個封包，以獲得各封包的多個流量特征，并基于降維算法，自該等流量特征中選取出至少一關鍵流量特征。異常流量檢測裝置將各封包的至少一關鍵流量特征作為一雙向生成式對抗網絡的輸入，以訓練雙向生成式對抗網絡，而生成用于檢測異常流量的一流量辨識模型。

技術領域

本發明是關于一種異常流量檢測裝置及其異常流量檢測方法。具體而言，異常流量檢測裝置基于降維算法獲得封包的至少一關鍵流量特征，并訓練雙向生成式對抗網絡，以生成用于檢測異常流量的一流量辨識模型。

背景技術

隨著科技的發展，網絡通信的各種應用已充斥于人們的生活中，且人們對于網絡通信的需求亦日益增加。因此，網絡通信的安全性也隨之日益重要。目前關于網絡安全的多個研究議題其中之一在于，黑客會通過命令與控制服務器(command-and-control server；C2server)向被僵尸病毒感染的電腦下達指令并加以控制，以攻擊特定受害者電腦(例如：企業的服務器)，其攻擊方式例如：垃圾信件(SPAM)攻擊、點擊詐欺(Click Fraud；CF)攻擊、端口掃描(Port Scan；PS)攻擊、分布式阻斷服務(Distributed Denial-of-Service；DDoS)攻擊及快速變動(Fast Flux；FF)攻擊等。

此外，C2服務器通常會采用因特網中繼聊天(Internet Relay Chat；IRC)協議、超文本傳輸協議(HyperText Transfer Protocol；HTTP)或點對點(Point-to-Point；P2P)網絡架構，向被僵尸病毒感染的電腦下達指令。目前的防御檢測系統大多采用專家規則或機器學習的方式來檢測異常流量。然而，由于異常流量的樣本于現實中不易取得，而存在樣本數不足且多樣性不足的問題，故目前的防御檢測系統仍無法有效地檢測出異常流量。

有鑒于此，如何提供一種異常流量檢測機制，其能有效地檢測出異常流量，為業界及學術界亟需解決的一技術問題。

發明內容

本發明的目的在于提供一種異常流量檢測機制，其能有效地檢測出異常流量。具體而言，本發明的異常流量檢測機制可通過解析封包以獲得多個特征，并藉由降維算法，分析該等特征以選出關鍵的特征，進而通過深度學習算法增加樣本的多樣性，以強化檢測異常流量的能力。因此，本發明的異常流量檢測機制可解決因為異常流量的樣本數不足且多樣性不足的問題，故能有效地檢測出異常流量。

為達上述目的，本發明公開一種異常流量檢測裝置，其包含一存儲器、一網絡接口及一處理器。該處理器電性連接該存儲器及該網絡接口，且用以執行以下操作：通過該網絡接口，擷取一第一時間區間自一內部網絡傳送至一外部網絡的多個第一輸出封包(outgoing packet)；解析該等第一輸出封包，以產生多個輸出流量數據，其中各該輸出流量數據具有多個輸出特征；基于一降維算法，計算該等輸出流量數據，以自該等輸出特征中選取出至少一關鍵輸出特征，并產生對應至該等輸出流量數據的多個輸出訓練數據；將該等輸出訓練數據作為一雙向生成式對抗網絡的多個第一輸入樣本，并根據該等第一輸入樣本訓練該雙向生成式對抗網絡，以生成一輸出流量辨識模型；通過該網絡接口，擷取一第二時間區間自該內部網絡傳送至該外部網絡的多個第二輸出封包；解析該等第二輸出封包，以產生多個待辨識輸出流量數據，其中各該待辨識輸出流量數據具有該至少一關鍵輸出特征；以及將各該待辨識輸出流量數據輸入至該輸出流量辨識模型，以判斷該等第二輸出封包是否產生一異常輸出流量。