[发明专利]一种基于CNN-LSTM融合的僵尸网络检测方法

说明书

本发明公开了一种基于CNN‑LSTM融合的僵尸网络检测方法，获取网络数据集，对数据集进行预处理操作；构建检测模型，检测模型包括卷积神经网络模型CNN、长短时记忆网络模型LSTM、特征融合模块、全连接层，卷积神经网络模型CNN用于空间特征提取，长短时记忆网络模型LSTM用于时序特征提取，将提取得到的空间特征和时序特征在特征融合模块中进行特征融合，得到融合特征，融合特征经过全连接层输出检测结果；对检测模型进行训练，得到训练好的检测模型。本发明简化了人工提取特征等操作，不需要极强的先验知识，对僵尸网络检测具有良好的准确率。

技术领域

本发明涉及一种基于CNN-LSTM融合的僵尸网络检测方法，属于网络安全和深度学习技术领域。

背景技术

随着计算机网络技术的飞速发展，互联网已经成为了人类社会生活不可或缺的组成部分，渗透到了人类社会活动的各个方面。现阶段，互联网技术在军事、教育、经济等各社会领域都有非常广泛而又重要的应用。但与此同时，随着大数据与云计算的发展，大量有价值的信息都存储在服务器或云端网络中，重要信息也通过网络流量为载体进行传输与交互，借助于互联网平台的开放性与连通性，网络攻击与计算机病毒有了更大的“表现舞台”。其中，僵尸网络以其规模庞大、感染迅速而难以检测与防范成为了网络攻击中的热门手段，对网络空间安全造成极大的威胁。

僵尸网络(Botnet)就是不法分子利用网络进行非法牟利的一种常用攻击手段。僵尸网络是被广泛认为在传统蠕虫、木马、后门工具等基础上融合而成的复杂网络攻击手段之一，是一种通过入侵网络空间内若干非合作用户终端构建的、可被攻击者远程控制的具有一定规模的网络。攻击者通过命令与控制(Command and Control,CC)信道可以一对多地发起攻击活动，如钓鱼攻击、DDos、发送垃圾邮件、分发恶意软件、监听用户敏感信息、虚拟货币挖掘等。僵尸网络作为恶意代码的进化形态，具有影响范围广、破坏性强、灵活多变的特性，严重威胁到网络安全。

卷积神经网络(Convolutional Neural Networks,CNN)是一类包含卷积计算且具有深度结构的前馈神经网络，是深度学习的代表算法之一，常用来分析视觉图像。卷积神经网络创始人是著名计算机科学家Yann LeCun，他早在上世纪80年代，第一个将卷积神经网络应用在MNIST手写数据集识别任务上。与传统的神经网络相比，卷积神经网络有三个基本概念，同时也是三个改进点，分别为局部感受野、权值共享和池化(Pooling)。

长短期记忆循环神经网络(LSTM，Long Short-Term Memory)是一种特殊的循环神经网络(RNN，Recurrent Neural Network)，为了解决一般的RNN存在的长期依赖问题而专门设计出来的。LSTM由于独特的设计结构，适合于处理和预测时间序列中间隔和延迟非常长的事件，表现通常比普通RNN模型要更好。作为非线性模型，LSTM可作为复杂的非线性单元用于构造更大型深度神经网络。

发明内容

发明目的：传统机器学习方法需要进行繁琐的人工提取特征过程，并且模型的识别准确率不高，为了克服上述问题以及弥补现有技术中存在的不足，本发明提出一种基于CNN-LSTM融合的僵尸网络检测方法，本方法结合僵尸网络的特性，利用卷积神经网络在图像处理方面的优势对僵尸网络的空间特征进行提取，利用长短时记忆网络对上下文关系处理的优势对僵尸网络的时序特征进行提取，最终进行特征融合，并且对卷积神经网络结构进行改进，以提高对僵尸网络检测的准确率。

技术方案：为实现上述目的，本发明采用的技术方案为：

一种基于CNN-LSTM融合的僵尸网络检测方法，采用深度学习算法分别对僵尸网络的两种特征进行提取和融合，来完成对僵尸网络的检测，包括以下步骤：

步骤1，获取网络数据集，得到用于训练僵尸网络流量数据。

步骤2，对网络数据集进行预处理操作，使其保留原本语义的同时符合神经网络的输入，得到训练数据集。