本發明公開了一種僵尸網絡檢測方法和裝置，用于解決現有技術進行僵尸網絡檢測的正確率較低的問題。本發明包括：獲取預設網絡的多個數據包，將所述多個數據包組合成數據流；提取所述數據流的多個特征數據，對每個特征數據進行預處理，得到預處理特征數據；基于預設長短記憶網絡提取所述預處理特征數據，生成數據流特征向量；基于所述長短記憶網絡提取所述多個數據包之間的序列關系，并根據所述序列關系生成網絡流向量；將所述網絡流向量輸入預設分類器中得到分類結果，并根據所述分類結果確定所述預設網絡是否為僵尸網絡。本發明基于長短記憶網絡進行特征數據提取的僵尸網絡檢測方法，可有效提高僵尸網絡檢測正確率。

技術領域

本發明涉及僵尸網絡檢測技術領域，尤其涉及一種僵尸網絡檢測方法和裝置。

背景技術

僵尸網絡(Botnet)是感染了相同惡意軟件的一群計算機(僵尸主機)構成的計算機網絡，其受黑客控制，集傳統病毒、木馬、蠕蟲為一體進行常規的系統駐留、信息竊取、遠程操控，同時也具備了蠕蟲網絡傳播特性。僵尸網絡常常用來發動大規模的網絡攻擊破壞活動，當前幾乎所有的分布式拒絕服務攻擊都來自僵尸網絡，80％到95％的垃圾郵件是由僵尸網絡發起的，點擊欺詐、敏感信息竊取、釣魚網站、加密勒索等也主要利用僵尸網絡謀取經濟收益，僵尸網絡仍是目前互聯網上黑客最青睞的作案工具。近年來，僵尸網絡利用先進理念和技術來增加其檢測難度，如何準確識別僵尸網絡，特別是未知的、潛伏期內的僵尸網絡，仍然是學術界和產業界研究的難點和熱點。

發明內容

本發明提供了一種僵尸網絡檢測方法和裝置，用于解決現有技術進行僵尸網絡檢測的正確率較低的問題。

本發明提供的一種僵尸網絡檢測方法，包括：

獲取預設網絡的多個數據包，將所述多個數據包組合成數據流；

提取所述數據流的多個特征數據，對每個特征數據進行預處理，得到預處理特征數據；

基于預設長短記憶網絡提取所述數據流的所述預處理特征數據，生成數據流特征向量；

基于所述長短記憶網絡提取所述多個數據包之間的序列關系，并根據所述數據流特征向量和所述序列關系生成網絡流向量；

將所述網絡流向量輸入預設分類器中得到分類結果，并根據所述分類結果確定所述預設網絡是否為僵尸網絡。

可選地，所述基于預設長短記憶網絡提取所述數據流的所述預處理特征數據，生成數據流特征向量的步驟，包括：

基于預設長短記憶網絡提取所述數據流的所述預處理特征數據，生成每個數據包對應的數據包特征向量；

獲取所述數據流中數據包的時序信息；

基于所述時序信息，采用所述多個數據包分別對應的數據包特征向量，生成數據流特征向量。

可選地，所述基于所述長短記憶網絡提取所述多個數據包之間的序列關系，并根據所述數據流特征向量和所述序列關系生成網絡流向量的步驟，包括：

基于所述長短記憶網絡提取所述多個數據包之間的序列關系，基于所述序列關系確定末位數據包特征向量，并根據所述數據流特征向量和所述末位數據包特征向量生成網絡流向量。

可選地，所述對每個特征數據進行預處理，得到預處理特征數據的步驟，包括：

計算所述多個特征數據的標準差和平均值，采用所述標準差和所述平均值計算得到所述多個特征數據中每個特征數據對應的預處理特征數據。

可選地，所述將所述多個數據包組合成數據流的步驟，包括：

獲取每個數據包的IP信息、端口信息和協議號，將所述IP信息、所述端口信息和所述協議號相同的數據包組合成數據流。

本發明提供的一種僵尸網絡檢測裝置，包括：