本發明涉及一種基于并聯神經網絡的僵尸網絡流量檢測方法，該方法步驟為：根據數據包傳輸五元組源IP、目的IP、源端口、目的端口、傳輸協議將原始網絡流量pcap文件劃分為多個網絡流；對每個網絡流進行預處理轉化成兩種神經網絡的輸入格式；利用卷積神經網絡提取網絡流灰度圖的空間特征，輸出10維特征向量；利用門控循環單元網絡提取網絡流序列的時序特征，輸出10維向量；利用串行特征融合方案將兩種神經網絡提取的特征進行拼接，輸出20維特征；通過softmax分類器，進行模型訓練，并輸出僵尸流量檢測模型；最后將捕獲的目標網絡的流量數據經預處理后，輸入模型完成僵尸網絡流量的檢測。本發明具有準確度高、可以有效檢測出僵尸網絡流量。

技術領域

本發明屬于網絡安全技術領域，涉及一種基于并聯神經網絡的僵尸網絡流量檢測方法。

背景技術

僵尸網絡是指由于計算機存在安全漏洞而被網絡攻擊者通過感染木馬或僵尸程序控制的計算機集群，其重要的特點就是攻擊者能夠通過一對多的命令與控制信道操縱被控主機執行相同的惡意命令，如同時控制主機對某目標網站發動DDOS攻擊或向某一服務器發送大量垃圾郵件等。近年來，物聯網技術不斷發展，物聯網產業規模不斷擴大，隨著而來的是物聯網設備海量部署，為僵尸網絡活動滋生提供了有利條件，在今后一段時間內僵尸網絡依然會是網絡安全威脅的重要來源，利用僵尸網絡發動大規模、破壞性攻擊事件也將時有發生。研究僵尸網絡檢測技術對保護個人財產及隱私、保護公司合法權益、保護國家網絡空間安全等具有十分重要的意義。僵尸網絡檢測技術也成為近年來的研究熱點，對現有文獻檢索發現，相關文獻如下：

喬森等人在《軟件,2015,36(03):83-88.》上發表了題為“基于snort僵尸網絡檢測系統的設計與實現”的文章。該文章提出以snort為核心模塊，通過對網絡流量的抓取、分析，以及后端數據庫和前端頁面的相關設計，實現了一個入侵檢測系統。該方法是基于規則對網絡流量進行精確匹配，準確度高，但建立規則的前提是對現有僵尸網絡有一定研究，對于一些未知的僵尸網絡(使用新型的協議和僵尸程序等)卻束手無策。

R.U.Khan等人在《2019Cybersecurity?and?Cyberforensics?Conference(CCC),2019:136-142.》上發表了題為“A?Hybrid?Technique?To?Detect?Botnets,Based?on?P2PTraffic?Similarity”的文章。該文章基于數據流特征和流相似度提取會話特征，并使用決策樹算法完成P2P僵尸網絡檢測。該方法基于傳統機器學習算法，存在依賴人工設計和提取特征、多針對指定類型僵尸網絡、多使用簡單的分類算法等問題。

Torres?P等人在《2016IEEE?Biennial?Congress?of?Argentina,2016:1-6.》上發表了題為“An?Analysis?of?Recurrent?Neural?Networks?for?Botnet?DetectionBehaviour”的文章。該文章采用LSTM網絡提取流量序列特征完成僵尸網絡的檢測。該文章首先提取網絡流的三維特征，然后將特征用符號代替，并利用LSTM間接提取符號序列間的特征，進而完成僵尸網絡檢測。該方法存在依賴人工設計和提取特征、未使用原始數據間接提取特征、提取特征維度單一等問題。

牛偉納等人在《電子與信息學報,2020,42(08):1872-1880.》上發表了題為“基于流量時空特征的fast-flux僵尸網絡檢測方法”的文章。該文章基于DenseNet和LSTM提取時空特征實現了fast-flux僵尸網絡檢測。該方法網絡結構過于簡單，導致信息丟失且只針對特定類型僵尸網絡。

綜上，由相關研究可知，目前僵尸網絡檢測方法存在難以識別加密流量、需建立精確的匹配規則庫和特征閾值、無法檢測未知僵尸網絡、依賴人工設計和提取特征、未使用原始數據間接提取特征、提取特征維度單一等問題。

發明內容