[發明專利]基于集成學習的僵尸網絡惡意流量分類方法及系統有效
| 申請號: | 202010122760.5 | 申請日: | 2020-02-27 |
| 公開(公告)號: | CN111340191B | 公開(公告)日: | 2023-02-21 |
| 發明(設計)人: | 陳羽中;張毓東 | 申請(專利權)人: | 福州大學 |
| 主分類號: | G06N3/0464 | 分類號: | G06N3/0464;G06N3/047;G06N3/084;G06N20/20;H04L9/40 |
| 代理公司: | 福州元創專利商標代理有限公司 35100 | 代理人: | 丘鴻超;蔡學俊 |
| 地址: | 350108 福建省福州市*** | 國省代碼: | 福建;35 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 集成 學習 僵尸 網絡 惡意 流量 分類 方法 系統 | ||
1.一種基于集成學習的僵尸網絡惡意流量分類方法,其特征在于,包括以下步驟:
步驟A:將已標注類別的惡意流量數據轉換為帶類別標簽的IDX圖像數據,建立惡意流量訓練集R;
步驟B:構造包含三個深度殘差卷積神經網絡的初級分類器,構造softmax邏輯回歸模型作為次級分類器;
步驟C:將訓練集R分為R0和R1兩部分,使用R0訓練初級分類器,提取惡意流量特征向量,并將提取的特征向量添加到R0中,以增強該部分訓練集;
步驟D:將增強后的訓練集與R1合并,用其訓練次級分類器;
步驟E:將待判定類別的惡意流量數據轉換為IDX圖像格式,輸入到訓練好的次級分類器,輸出判定結果;
所述步驟A具體包括以下步驟:
步驟A1:從已標注類別的惡意流量數據中清除沒有應用層數據的數據報文;
步驟A2:對步驟A1處理后的惡意流量數據進行劃分,將屬于同一TCP會話的惡意流量數據劃分為一組,將惡意流量數據中的網絡層、傳輸層、應用層報文信息保存到一個二進制文件中;
步驟A3:將步驟A2得到的二進制文件截斷或補0x00到固定長度M個字節,以保留TCP會話中能夠反映流量類別特征的網絡層首部、傳輸層首部、應用層首部信息以及部分應用層數據,去除不能反映流量類別特征的其他應用層數據;以字節為單位,將每個字節轉換為灰度值,輸出大小為m×m的灰度圖像文件,M=m2;
步驟A4:將步驟A3得到的灰度圖像文件轉換為IDX圖像文件;
步驟A5:遍歷已標注類別的惡意流量數據,得到訓練集R;
其中R={(xi,yi)|i=1,2,...,N},N為訓練集R中的惡意流量樣本數,xi為一個IDX圖像文件,yi為對應的惡意流量類別標簽;yi∈C={1,2,...,K},C表示惡意流量類別標簽集合,yi=c,1≤c≤K,表示xi為第c種惡意流量類別。
2.根據權利要求1所述的基于集成學習的僵尸網絡惡意流量分類方法,其特征在于,所述惡意流量類別為包括Cridex、Geodo、Htbot、Miuref、Neris、Nsisay、Shifu、Virut和Zeus的僵尸網絡惡意流量。
3.根據權利要求1所述的基于集成學習的僵尸網絡惡意流量分類方法,其特征在于,所述步驟B中,所述三個深度殘差卷積神經網絡分別為ResNet1、ResNet2和ResNet3;每個深度殘差卷積神經網絡包括五個殘差單元和兩個全連接層;其中,每個殘差單元按照輸入樣本的數據流向依次包括1個卷積層、1個批量正則化層、1個線性激活層和2個卷積層。
4.根據權利要求3所述的基于集成學習的僵尸網絡惡意流量分類方法,其特征在于,所述步驟C具體包括以下步驟:
步驟C1:將數據集R隨機分為R0和R1兩個訓練子集,再將R0隨機拆分成三個訓練子集和
步驟C2:分別使用和三個訓練子集對三個深度殘差卷積神經網絡ResNet1、ResNet2和ResNet3進行訓練;
步驟C3:利用步驟C2訓練好的三個深度殘差卷積神經網絡ResNet1、ResNet2和ResNet3分別對R0中的每個IDX圖像樣本進行惡意流量特征向量提取,然后對ResNet1、ResNet2和ResNet3獲得的特征向量求平均,輸出與各IDX圖像樣本對應的特征向量,并將各特征向量覆蓋到對應的IDX圖像樣本的二進制文件末尾,保持文件字節數不變;遍歷R0中的每個IDX圖像樣本后,得到特征增強后的訓練子集
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于福州大學,未經福州大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010122760.5/1.html,轉載請聲明來源鉆瓜專利網。
