本發明涉及一種基于集成學習的僵尸網絡惡意流量分類方法及系統，該方法包括：步驟A：將已標注類別的惡意流量數據轉換為帶類別標簽的IDX圖像數據，建立惡意流量訓練集R；步驟B：構造包含三個深度殘差卷積神經網絡的初級分類器，構造softmax邏輯回歸模型作為次級分類器；步驟C：將訓練集R分為R₀和R₁兩部分，使用R₀訓練初級分類器，提取惡意流量特征向量，并將提取的特征向量添加到R₀中，增強該部分訓練集；步驟D：將增強后的訓練集與R₁合并，用其訓練次級分類器；步驟E：將待判定類別的惡意流量數據轉換為IDX圖像格式，輸入到訓練好的次級分類器，輸出判定結果。該方法及系統有利于快速、準確地識別惡意流量類別。

技術領域

本發明屬于網絡安全領域，具體涉及一種基于集成學習的僵尸網絡惡意流量分類方法及系統。

背景技術

惡意流量特征提取一直是網絡安全領域的難點問題。惡意軟件可利用偽裝、加密、欺騙、零日漏洞等技術實現行為的深度隱藏且它們可以頻繁地變種,這些致使互聯網中大量的僵尸網絡惡意流量未被發現。由于僵尸主機產生的流量與正常主機產生的網絡流量在特征上與有很大差異，通過對網絡流量分類識別僵尸網絡惡意流量也是檢測僵尸網絡的主要方向。因此對僵尸網絡惡意流量分類投入研究有很重要的意義。

目前有很多種網絡流量異常檢測方法，如基于統計、聚類、分類、信息熵等等。其中，將網絡流量歸類至特定的類型是其中很重要的一個方向，從而區分正常和僵尸網絡惡意流量，并識別僵尸網絡惡意流量類型。網絡流量異常檢測作為一種有效的網絡防護手段，能夠檢測未知攻擊行為，并為網絡態勢感知提供重要支持，按照使用技術的不同，目前一般的網絡流量分類方法可以分為四類：基于端口識別的方法，基于深層包檢測的方法，基于統計的方法，以及基于行為的方法。迄今為止，國內外學者基于這四類方向已經提出了很多不同類型的檢測方法。但是，目前大多數網絡流量分類方法都是基于傳統的機器學習方式，分類性能非常依賴于流量特征的設計。

發明內容

本發明的目的在于提供一種基于集成學習的僵尸網絡惡意流量分類方法及系統，該方法及系統有利于快速、準確地識別惡意流量類別。

為實現上述目的，本發明采用的技術方案是：一種基于集成學習的僵尸網絡惡意流量分類方法，包括以下步驟：

步驟A：將已標注類別的惡意流量數據轉換為帶類別標簽的IDX圖像數據，建立惡意流量訓練集R；

步驟B：構造包含三個深度殘差卷積神經網絡的初級分類器，構造softmax邏輯回歸模型作為次級分類器；

步驟C：將訓練集R分為R₀和R₁兩部分，使用R₀訓練初級分類器，提取惡意流量特征向量，并將提取的特征向量添加到R₀中，以增強該部分訓練集；

步驟D：將增強后的訓練集與R₁合并，用其訓練次級分類器；

步驟E：將待判定類別的惡意流量數據轉換為IDX圖像格式，輸入到訓練好的次級分類器，輸出判定結果。

進一步地，所述步驟A具體包括以下步驟：

步驟A1：從已標注類別的惡意流量數據中清除沒有應用層數據的數據報文；

步驟A2：對步驟A1處理后的惡意流量數據進行劃分，將屬于同一TCP會話的惡意流量數據劃分為一組，將惡意流量數據中的網絡層、傳輸層、應用層報文信息保存到一個二進制文件中；