[发明专利]一种基于冗余检测架构的加密恶意流量识别方法及系统

说明书

本发明公开一种基于冗余检测架构的加密恶意流量识别方法，包括：通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型；将多个所述稀疏自编码器冗余检测模型组成冗余检测模型池，从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池；利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型，作为冗余检测架构；通过所述冗余检测架构对加密流量中的加密恶意流量进行识别，对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决，判定加密恶意流量所属类别。本发明还公开一种基于冗余检测架构的加密恶意流量识别系统。本发明可降低计算成本，有利于保护合法用户的隐私性。

技术领域

本发明属于互联网加密流量识别技术领域，尤其涉及一种基于冗余检测架构的加密恶意流量识别方法及系统。

背景技术

随着网络服务器激增和网络架构愈发庞大，当前网络环境变得越来越复杂。网络中的流量数量呈指数增长，其中大量恶意流量也被不法用户进行了加密。根据思科所发布网络安全报告书，截止到2017年10月份，加密流量已经占据网络流量的一半，其中包括合法流量和恶意流量，且一年内检测到的加密恶意流量增长了三倍左右。加密恶意流量暴增的主要原因是网络攻击用户有意逃避网络安全检测和控制，利用恶意软件对通信流量加密。传统恶意流量检测方法(如应用层签名和深度包检测)不适用于加密流量，直接解密已加密的流量则会削弱用户隐私性，并且会大幅增加计算量。

发明内容

本发明针对传统恶意流量检测方法不适用于加密流量，直接解密已加密的流量则会削弱用户隐私性，且会大幅增加计算量的问题，提出一种基于冗余检测的加密恶意流量识别方法及系统。

为了实现上述目的，本发明采用以下技术方案：

一种基于冗余检测架构的加密恶意流量识别方法，包括：

步骤1：通过基于鱼群思想的粒子群优化算法构建多个稀疏自编码器冗余检测模型；

步骤2：将多个所述稀疏自编码器冗余检测模型组成冗余检测模型池，从所述冗余检测模型池中选择若干稀疏自编码器冗余检测模型作为初始冗余检测模型池；

步骤3：利用动态选择算法选取所述初始冗余检测模型池中若干稀疏自编码器冗余检测模型，作为冗余检测架构；

步骤4：通过所述冗余检测架构对加密流量中的加密恶意流量进行识别，对冗余检测架构中各稀疏自编码器冗余检测模型的识别结果进行裁决，判定加密恶意流量所属类别。

进一步地，还包括：

对加密流量进行采集，所述加密流量包括加密正常流量及加密恶意流量；

对加密流量进行处理，所述处理包括预处理、特征提取及数据降维。

进一步地，所述步骤1包括：

步骤101：根据所述加密流量，选取数据分别作为训练集和测试集；

步骤102：基于所述训练集，初始化粒子群视野范围、移动步长基准和试探次数，将稀疏自编码器网络结构中隐含层节点个数和粒子相对应，随机生成粒子群初始位置；

步骤103：更新得到粒子群位置及对应适应度值；适应度值Fitness计算公式如公式(1)，适应度值越小，说明寻优得到的网络结构越优：

ERRate＝1-Accuracy (2)