本發明提供了一種對抗惡意流量變化的特征轉換方法，將樣本特征映射到新的特征空間中，即使攻擊行為的流量特征發生變化，通過轉換后仍然具有相似性，轉換后的特征向量對流量特征具有異變容忍能力，使用新特征向量作為分類模型的輸入。本發明利用直方圖刻畫流量特征的變化并實現容錯，達到高效準確識別惡意流量及其變體的效果，克服了后續單純用從訓練集習得的知識去應用分類器會出現性能不足、準確率低的問題。

技術領域

本發明涉及網絡安全領域，尤其是一種對抗惡意流量變化的方法，使得惡意流量檢測能夠容忍流量規模、次序等特征的變換，從而提高網絡的安全防護能力。

背景技術

未來的天地一體化網絡是由多種異構網絡組成的混合網絡，網絡的安全性將面臨著嚴峻的挑戰。由于空間鏈路和地面網絡的開放性，空間鏈路的數據可以被地面站截獲，同時敵方地面站可以采用重播攻擊和拒絕服務攻擊等手段對空間飛行器進行直接攻擊以達到信息獲取、飛行器破壞等目的；非法用戶同樣可以通過攻擊地面網絡來截獲數據以及通過地面網絡對空間飛行器進行間接攻擊。通信網絡越復雜，攻擊者越容易有可乘之機。

在未來天地一體化網絡的環境下，惡意流量攻擊可能是一類嚴重威脅。例如，攻擊者可能通過劫持宿主衛星或高空長航時無人機來隱藏惡意身份，取代宿主與目標進行通信，進而非法獲取內容；更嚴重的是，攻擊者還可能通過改變通信流特征來逃避安全檢測，即產生惡意流量變體。因此，為防患于未然而建立一個能夠檢測惡意流量及其變體攻擊的流量檢測系統，對未來天地一體化網絡是非常重要的。

傳統的惡意軟件檢測技術主要有簽名匹配和動態行為分析，簽名匹配只能通過簽名集檢測已知的惡意行為，對新型惡意攻擊無能為力；動態行為分析需要消耗大量資源和時間，網絡數據分布的高計算量和連續變化使分析動態行為變得困難。過去網絡攻擊是以一種簡單而隨機的方式來組織，然而現在的攻擊是系統而長期進行的，具有更新變化快、攻擊性強的特點。基于以上原因，利用機器學習技術，基于數據流特征對惡意攻擊進行檢測成為近年研究的熱點。將大量流量數據輸入到訓練模型中，對其進行惡性或良性分類，最終得到一個預測模型，機器學習用于惡意流量檢測，不僅具有較好的準確性和處理能力，還能夠識別已知或未知的惡意攻擊。

在各種將機器學習用于惡意流量檢測的工作中，BJ Radford等人提出使用遞歸神經網絡(Recurrent Neural Network，RNN)中的長短期記憶模型(Long-Short TermMemory，LSTM)來識別異常模式，這是一種單純的無監督異常檢測模型，存在誤警率過高的問題；此外，有研究人員提出采用模糊聚類分析(Fuzzy Cluster Analysis,FCA)來分類惡意網絡流量，但準確性受到群集的數量和劃分的限制；W Yassin等人將k-means和決策樹相結合來探測惡意攻擊，該方法沒有考慮處理時間的問題，空天環境下新型攻擊層出不窮，需要快速響應惡意攻擊以便及時止損，該方法不適用于迅速檢測。

與以上機器學習算法相比，支持向量機(Support Vector Machine，SVM)由于其在處理高維數據集和避免局部優化問題上的優越性而廣泛用于惡意流量檢測。SVM基于最大間隔分割數據，訓練出一個分割超平面作為分類的決策邊界，相比其他機器學習算法，其泛化錯誤率低，具有良好的學習和泛化能力。SVM利用內積核函數代替向高維空間的非線性映射，計算的復雜性只取決于支持向量的數目，而不是樣本空間的維數，在處理高維數據集上具有較大優勢；除此之外，SVM本身是個凸優化問題。因此，局部最優解一定是全局最優解，避免了陷入局部最優化的問題。

但是，大多數現有研究關注特定環境下的惡意攻擊，而未來的天地一體化網絡環境中惡意流量由于異構網絡環境的動態性使得網絡流量的規模、次序等特征變化頻繁，攻擊者也會故意改變流量特征以逃避檢測，導致用于訓練分類器的數據和真正應用環境下的流量數據存在巨大差異。

為此，亟需針對流量識別的數據提取、數據處理、特征表示、分類器訓練與測試等四個步驟的特征表示環節，建立一種有效的特征描述方法，以支撐檢測模型對各種已知惡意流量及其變體的高效檢測。