本發(fā)明提出一種基于多模態(tài)深度學(xué)習(xí)的加密惡意流量檢測方法及系統(tǒng)，其中包括以下步驟：對加密流量數(shù)據(jù)進行數(shù)據(jù)分割，得到加密流量數(shù)據(jù)的握手階段數(shù)據(jù)包、數(shù)據(jù)包長度序列和數(shù)據(jù)包到達的時間間隔序列；從加密流量數(shù)據(jù)的握手階段數(shù)據(jù)包中提取握手信息特征向量；從加密流量數(shù)據(jù)的數(shù)據(jù)包長度序列中提取包長信息序列特征向量；從加密流量數(shù)據(jù)的數(shù)據(jù)包到達的時間間隔序列中提取包到達信息序列特征向量；將握手信息特征向量、包長信息序列特征向量、包到達信息序列特征向量進行拼接融合，得到多模態(tài)特征向量，將多模態(tài)特征向量輸入深度學(xué)習(xí)網(wǎng)絡(luò)模型中，得到加密流量數(shù)據(jù)的分類結(jié)果；其中分類結(jié)果包括加密惡意流量所屬惡意軟件家族類別和非加密惡意流量。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，更具體地，涉及一種基于多模態(tài)深度學(xué)習(xí)的加密惡意流量檢測方法及系統(tǒng)。

背景技術(shù)

惡意流量是攻擊者設(shè)計并編寫的惡意軟件在運行過程中產(chǎn)生的通信流量。由于惡意軟件可以造成許多不同類型的損害，比如竊取個人信息、奪取宿主計算機控制權(quán)等，所以在復(fù)雜的網(wǎng)絡(luò)環(huán)境中及時檢測出惡意流量成為網(wǎng)絡(luò)空間安全中一項十分重要的挑戰(zhàn)。由于加密流量在握手協(xié)商階段采用明文數(shù)據(jù)包通信，并且協(xié)商過程中包含大量涉及加密通信的參數(shù)，比如客戶端提供的加密套件、加密通信采用的加密算法等標志，研究者對于握手階段產(chǎn)生的明文信息進行數(shù)據(jù)挖掘，發(fā)現(xiàn)對于惡意軟件所產(chǎn)生的加密惡意流量，在SSL/TLS握手階段的特征與正常用戶上網(wǎng)產(chǎn)生的加密流量具有顯著的區(qū)分度。原因是惡意軟件在通過SSL/TLS加密套件對通信內(nèi)容實施加密時，通常不傾向于和正常用戶一樣采用較新和較安全的加密套件，因為惡意軟件加密通信流量的目的主要在于防止防火墻對明文內(nèi)容進行惡意軟件指紋的匹配，而不是防止第三方的黑客攻擊。

針對這一點，許多研究者設(shè)計了包含SSL/TLS握手特征在內(nèi)的加密流量特征，再利用邏輯回歸、隨機森林或SVM等機器學(xué)習(xí)模型實施加密惡意流量的檢測。然而這種方法需要特定領(lǐng)域?qū)＜胰藶榈木脑O(shè)計加密流量特征，存在工作復(fù)雜而且效率低下的問題。另有研究者提出基于深度學(xué)習(xí)網(wǎng)絡(luò)的惡意加密流量識別，將加密流量作為輸入，然后通過使用端到端的深度學(xué)習(xí)網(wǎng)絡(luò)模型提取加密流量特征并識別惡意加密流量，比如采用CNN網(wǎng)絡(luò)、LSTM網(wǎng)絡(luò)等，在加密惡意流量檢測任務(wù)中有良好的表現(xiàn)。但是在加密惡意流量識別方法的設(shè)計或加密惡意流量識別系統(tǒng)的構(gòu)造的設(shè)計上，通常沒有針對加密流量中不同模態(tài)的輸入數(shù)據(jù)設(shè)計更為適配的網(wǎng)絡(luò)模型，無法提取可以反應(yīng)加密流量整體多方面的特征。

發(fā)明內(nèi)容

本發(fā)明為克服上述現(xiàn)有技術(shù)所述的需要設(shè)計特定加密流量特征，且單一深度學(xué)習(xí)模型無法提取能夠反應(yīng)加密流量整體多方面特征的缺陷，提供一種基于多模態(tài)深度學(xué)習(xí)的加密惡意流量檢測方法，以及一種基于多模態(tài)深度學(xué)習(xí)的加密惡意流量檢測系統(tǒng)。

為解決上述技術(shù)問題，本發(fā)明的技術(shù)方案如下：

一種基于多模態(tài)深度學(xué)習(xí)的加密惡意流量檢測方法，包括以下步驟：

對加密流量數(shù)據(jù)進行數(shù)據(jù)分割，得到加密流量數(shù)據(jù)的握手階段數(shù)據(jù)包、數(shù)據(jù)包長度序列和數(shù)據(jù)包到達的時間間隔序列；

從加密流量數(shù)據(jù)的握手階段數(shù)據(jù)包中提取握手信息特征向量；

從加密流量數(shù)據(jù)的數(shù)據(jù)包長度序列中提取包長信息序列特征向量；

從加密流量數(shù)據(jù)的數(shù)據(jù)包到達的時間間隔序列中提取包到達信息序列特征向量；

將所述握手信息特征向量、包長信息序列特征向量、包到達信息序列特征向量進行拼接融合，得到多模態(tài)特征向量，將所述多模態(tài)特征向量輸入深度學(xué)習(xí)網(wǎng)絡(luò)模型中，得到加密流量數(shù)據(jù)的分類結(jié)果；所述分類結(jié)果包括加密惡意流量所屬惡意軟件家族類別和非加密惡意流量。