[发明专利]结合深度分层网络的网络恶意流量检测方法

说明书

本发明涉及结合深度分层网络的网络恶意流量检测方法，属于计算机与信息科学技术领域。本发明首先对原始流量包进行特征提取，生成字节表示的向量特征，然后将新生成的特征输入深度分层网络的Text‑CNN网络进行空间特征提取，将输出的空间特征重塑为特征图，输入Bi‑LSTM网络中提取时间特征，最后对深度分层网络进行迭代训练，根据时空特征输出流量的分类结果。本发明使用了深度学习方法，大大提高了流量信息的特征提取效率，而且可以对网络用户产生的原始流量数据进行分析检测，解决了流量数据特征工程丢失信息造成的分类精度和效率降低的问题，简化了通信系统对流量信息的分析过程，满足了大数据环境下的恶意流量检测需求，提高了网络恶意流量的检测效率。

技术领域

本发明涉及结合深度分层网络的网络恶意流量检测方法，属于计算机与信息科学技术领域。

背景技术

互联网的快速发展为我们的生活带来了便利，但与此同时各种网络攻击也频繁出现。网络入侵检测是保护计算机网络安全的重要手段，基于流量统计特征提取的恶意流量检测和分析是网络入侵检测领域的主要分析方法。

到目前为止，现有的恶意流量检测方法大都试图通过复杂的特征工程从流量数据中提取信息。这些特征工程可以提取流量数据的时间特征和空间特征，但特征工程会丢失一些信息或改变流量数据包原有的时间和空间特征，算法通过提取的流量特征，只能利用缺失的流量数据信息进行分类，导致分类精度等指标已经达到瓶颈，难以继续提高。因此，本发明将提供结合深度分层网络的网络恶意流量检测方法，来提高恶意流量的精度和检测效率。

结合深度分层网络的网络恶意流量检测方法需要解决的基本问题是：提高流量数据的特征提取质量和效率，增强算法对流量特征的分析能力和分类精度。综合现有的网络恶意流量检测方法，通常使用方法可归为三类：

1.基于端口的恶意流量检测方法

基于端口的恶意流量检测方法是根据端口号来检测恶意流量。在互联网的早期阶段，用于网络流量的网络协议相对简单，具体的应用程序基本上使用固定的端口号。因此，当一个应用程序受到其他应用程序攻击时，可以根据端口号有效地检测到异常流量包。

然而，随着动态端口分配技术的出现，端口可以很容易地重定向。因此，基于端口的流量检测方法不能充分表达网络的流量属性，流量检测效果往往较差。

2.基于负载的恶意流量检测方法

基于负载的恶意流量检测方法利用应用层协议的信息来表达流量的特征，其中最具代表性的是深度数据包检测(DPI)技术。深度数据包检测技术需要对传输的流量数据进行解密和加密，通过对传输的数据信息进行建模和分析，可以非常有效地检测出恶意流量包。

3.基于统计特征的恶意流量检测方法

基于统计特征的恶意流量检测方法一般采用数据包到达时间、数据包大小以及流量分组字段的统计特征(如平均、最大、最小)来表示流量的属性。利用这些人为设计的特征和机器学习算法来分析和检测恶意流量已经成为相对可靠的方法。

综上所述，现有的恶意流量检测方法大都试图通过复杂的特征工程从流量数据中提取信息，然后对这些时间和空间特征进行分析判别是否为恶意流量。但特征提取会丢失或改变流量数据包原有的时间和空间特征。算法通过提取的流量特征，只能利用缺失的流量数据信息进行分类，因此分类精度等指标已经达到瓶颈，难以继续提高。所以本发明提出结合深度分层网络的网络恶意流量检测方法。

发明内容

本发明的目的是为了解决流量数据特征工程丢失信息造成的分类精度和效率降低的问题，所以提出了结合深度分层网络的网络恶意流量检测方法。