本發明實施例涉及網絡安全技術領域，公開了一種基于卷積神經網絡的惡意加密流量檢測方法及裝置。其中一種基于卷積神經網絡的惡意加密流量檢測方法，所述檢測方法包括：確定檢測特征；以五元組為單位提取檢測特征，將所述檢測特征規范化為二維數據矩陣；將所述二維數據矩陣輸入訓練好的卷積神經網絡；所述卷積神經網絡包括特征權重確定模塊、特征選擇模塊、特征判別模塊和激活函數模塊；根據所述激活函數模塊的輸出確定所述五元組對應的數據是否為惡意加密流量。本發明提供的實施方式能夠提升惡意加密流量的識別效率。

技術領域

本發明涉及網絡安全技術領域，具體地涉及一種基于卷積神經網絡的惡意加密流量檢測方法、一種基于卷積神經網絡的惡意加密流量檢測裝置以及一種電子設備。

背景技術

為了保證數據更安全的在網絡中進行傳輸，越來越多的網絡流量開始使用HTTPS進行加密，然而惡意軟件也會利用加密技術進行惡意活動，在現網的加密流量中檢測出惡意加密流量信息具有重大的理論和現實意義。

由于在現實場景網絡中的加密數據數據量很大，以及存在數據不穩定的因素，所以保證惡意加密流量檢測的準確率和效率成為亟需要關注的問題，本文基于大量特征提取及處理工作和模型調優來提升檢測的準確率，以及將模型應用在分布式平臺以提升其數據處理效率。

對于惡意加密流量，其誤報率和漏報率較高，準確率較低，在安全行業中，漏報和誤報對后續的問題處理都有著很大的影響。并且在數據量較大的情況下，檢測效率較低，使得檢測有延遲。

發明內容

本發明實施例的目的是提供一種基于卷積神經網絡的惡意加密流量檢測方法、一種基于卷積神經網絡的惡意加密流量檢測裝置以及一種電子設備。

為了實現上述目的，本發明第一方面提供一種基于卷積神經網絡的惡意加密流量檢測方法，所述檢測方法包括：確定檢測特征；以五元組為單位提取檢測特征，將提取的檢測特征規范化為二維數據矩陣；將所述二維數據矩陣輸入訓練好的卷積神經網絡；所述卷積神經網絡包括特征權重確定模塊、特征選擇模塊、特征判別模塊和激活函數模塊；根據所述激活函數模塊的輸出確定所述五元組對應的數據是否為惡意加密流量。

優選的，所述確定檢測特征，包括：選擇TLS協議過程中的特征報文；選擇所述特征報文中的參數特征；所述參數特征包括加密套件特征，擴展特征，域名特征、證書特征，公鑰特征、統計特征和計算特征中的至少一者。

優選的，以五元組為單位提取檢測特征，將所述檢測特征規范化為二維數據矩陣，包括：將提取的每一組檢測特征為列，并進行列方向的歸一化。

優選的，所述特征權重確定模塊包括：長度為所述二維數據矩陣列數的第一全連接層，以及位于所述全連接層后的softmax激活函數；所述特征選擇模塊被配置為：將所述特征權重確定模塊輸出的權重和輸入的二維數據矩陣的相對應的列分別相乘，得到經過特征選擇后的輸出；所述特征判別模塊包括：數個卷積池化塊、一維的池化層、激活函數、扁平層和第二全連接層；所述卷積池化塊中包括卷積核大小為x的一維卷積，卷積核數量為n；所述卷積池化塊的個數根據所述特征選擇模塊輸出的數據長度設置；所述扁平層用于將所述卷積池化塊的輸出進行扁平化后，輸入所述第二全連接層；所述激活函數模塊包括sigmoid激活函數。

優選的，訓練好的卷積神經網絡，通過以下步驟得到：構建包括所述特征權重確定模塊、特征選擇模塊、特征判別模塊和激活函數模塊的卷積神經網絡；設置所述卷積神經網絡的訓練輪數X；將訓練集輸入所述卷積神經網絡中進行訓練，將預測錯誤的數據進行保存，并用驗證集驗證所述卷積神經網絡的檢測準確性；將預測錯誤的數據加在所述訓練集上，重新進行訓練，并在訓練之后用驗證集驗證檢測準確性；重復上述過程，直到訓練輪數達到所述訓練輪數X；采用所述訓練輪數中檢測準確性最高的卷積神經網絡，作為所述訓練好的卷積神經網絡。