本發明公開了一種基于改進的LSTM對APT攻擊惡意軟件流量進行分類的方法，屬于網絡安全領域，解決現有技術難以對APT攻擊惡意軟件流量進行分類的問題。本發明收集APT攻擊常用惡意軟件流量數據與正常流量數據；提取APT攻擊常用惡意軟件流量數據與正常流量數據中各協議的靜態特征信息；對靜態特征信息進行標準化處理，得到統一量綱后的各協議的靜態特征信息；通過改進的LSTM網絡結構，對統一量綱后的各協議的靜態特征信息進行時序特征的提取；采用深度學習的方式對提取的時序性信息進行分類處理，分類處理后訓練分類器得到模型M；基于模型M，對待檢測的流量數據進行檢測分類。本發明用于計算機通信和移動網絡中APT攻擊惡意軟件流量的檢測及分類。

技術領域

一種基于改進的LSTM對APT攻擊惡意軟件流量進行分類的方法及存儲介質，用于計算機通信和移動網絡中APT攻擊惡意軟件流量的檢測及分類，屬于網絡安全領域。

背景技術

近年來，隨著計算機通信和移動網絡的迅速普及和發展，基于惡意軟件網絡攻擊已經逐漸成為了信息安全技術領域的一種新攻擊模式。特別是，高級長期持續網絡威脅(APT)網絡攻擊正在給我們帶來重大的經濟和社會安全問題。而APT攻擊過程中的惡意軟件/載荷為了竊取數據、下載新的惡意軟件等往往會進行惡意的通信行為。并且在對APT攻擊分析的過程中，找到惡意信息的所屬組織、地區是非常重要的。

惡意軟件流量由于其所屬惡意軟件不同，采用的通信習慣、通信方式往往都具有各自的特性。特別是在APT攻擊中，每個APT攻擊組織往往都會開發屬于自己的一套攻擊框架與惡意工具集。傳統分析方式雖然也有對惡意軟件流量的檢測方法，但是往往是采用靜態特征加機器學習的方式直接對數據進行分類處理。并且是簡單的二分類處理，即只是區分出正常軟件流量與惡意軟件流量，而對惡意軟件流量屬于那個惡意軟件沒有進行分析。隨著攻擊者攻擊方式的發展，惡意軟件的惡意流量數據與正常流量數據區分性越來越小，直接在數據包中得到的惡意流量數據的靜態特征信息往往會模擬正常數據通訊行為，比如數據包大小、通訊端口號、通訊頻率等都越來越接近正常數據，采用靜態特征對數據區分越來越困難。并且這種方式很難對惡意軟件流量所屬進行分類，在進行分析時難以確定攻擊源、攻擊者，不利于打擊違法犯罪人員，或不能找出攻擊源，便不能與以往攻擊進行關聯分析，找出同一攻擊源之間的相似性。

發明內容

針對上述研究的問題，本發明的目的在于提供一種基于改進的LSTM對APT攻擊惡意軟件流量進行分類的方法及存儲介質，解決現有技術難以識別APT攻擊惡意軟件流量，并且難以對APT攻擊惡意軟件流量進行分類的問題。

為了達到上述目的，本發明采用如下技術方案：

一種基于改進的LSTM對APT攻擊惡意軟件流量進行分類的方法，包括以下步驟：

步驟1：基于計算機硬件，收集APT攻擊常用惡意軟件流量數據與正常流量數據，其中，APT攻擊常用惡意軟件流量數據包括通過網絡收集的異常流量或/和通過惡意軟件收集的惡意流量信息，正常流量數據是指正常訪問網絡的網絡流量數量；

步驟2：提取APT攻擊常用惡意軟件流量數據或/和正常流量數據中各協議的當前靜態特征信息；

步驟3：對當前靜態特征信息進行標準化處理，得到統一量綱后的各協議的靜態特征信息；

步驟4：通過改進的LSTM網絡結構，對統一量綱后的各協議的靜態特征信息進行時序特征的提取；

步驟5：采用深度學習的方式對提取的大量的各協議的時序性信息進行分類處理，基于各協議分類處理后訓練各分類器得到相應的模型M，其中，時序性信息即指時序特征；

步驟6：基于各模型M，對待檢測的流量數據進行檢測分類。

進一步，所述步驟2中各協議靜態特征信息包括IP協議的靜態特征信息、ICMP協議的靜態特征信息、UDP協議的靜態特征信息、TCP協議的靜態特征信息、DNS協議的靜態特征信息；