[发明专利]基于频数CNN的多态蠕虫检测方法

说明书

基于频数CNN的多态蠕虫检测方法，步骤为：首先，对有效载荷数据进行数值化处理，将每个字符转化为对应的ASCII值，其次通过统计有效载荷数据中每个字符出现的次数来处理有效载荷数据，可以捕获蠕虫有效载荷数据的字符分布特征。通过上述方法，本发明提供了一种能够提高多态蠕虫检测的准确率，以便于CNN能够从中学习到丰富的特征的基于频数CNN的多态蠕虫检测方法。

技术领域

本发明涉及一种多态蠕虫检测方法，尤其是一种基于频数CNN的多态蠕虫检测方法。

背景技术

随着CNN在图像处理领域中深入研究，其在图片识别中取得非常好的分类效果。为了捕获多态蠕虫攻击载荷的关键信息，我们选择使用CNN进行多态蠕虫检测。当发生蠕虫攻击时，攻击者会对攻击载荷进行转化和混淆来提高攻击的隐蔽性，因此安全研究人员通常无法直接通过网络数据包的有效载荷来判断其是攻击载荷。

发明内容

本发明提出了一种基于频数CNN的多态蠕虫检测方法，解决了现有技术中存在的通过现有手段，无法直接通过网络数据包的有效载荷来判断其是攻击载荷的技术问题。

为了实现上述目的，本发明创造采用的技术方案为：基于频数CNN的多态蠕虫检测方法，其特征在于，步骤如下：

1)将有效载荷数据转化为一维向量；

2)采用频数处理方法，学习到有效载荷数据的特征：

2.1)定义：

p＝{p₁,…,p_i,…,p_n},i∈{1,n}代表一条有效载荷数据，n为数据的长度；

q＝{q₁,…,q_i,…,q_n},i∈{1,n}代表将有效载荷p数值化之后的ASCII序列；

向量data[j],j∈{0,255}表示预处理之后的数据，其中，j表示每个字符对应的ASCII值；

2.2)对有效载荷数据进行数值化处理，将每个字符转化为对应的ASCII值，公式如下：

{p₁,…,p_i,…,p_n}→{q₁,…,q_i,…,q_n} (1)

2.3)频数处理：通过统计有效载荷数据中每个字符出现的次数来处理有效载荷数据，捕获蠕虫有效载荷数据的字符分布特征，具体处理为：

采用所述的多态蠕虫检测方法进行三层卷积的CNN网络模型检测时，将预处理后的有效载荷数据输入到CNN网络中进行训练，卷积层通过卷积运算来提取特征，池化层对提取的特征图进行下采样操作，以减少模型训练的计算量，全连接层将提取的特征组合成为一个向量，通过SoftMax层进行分类，输出有效载荷数据所属的类别。

本发明创造的有益效果为：本发明通过上述方法，对有效载荷数据进行了处理和转化，提高了多态蠕虫检测的准确率，便于CNN能够从中学习到丰富的特征；将有效载荷数据转化为一维向量，能够缩小有效载荷数据的存储空间，减少训练过程的计算量，同时加快CNN网络模型的训练，也有利于CNN进行训练学习。

附图说明

图1：CNN网络模型示意图。

具体实施方式

基于频数CNN的多态蠕虫检测方法，步骤如下：

1)将有效载荷数据转化为一维向量；

2)采用频数处理方法，学习到有效载荷数据的特征：