[发明专利]一种网络恶意加密流量识别方法和系统

权利要求书

1.一种网络恶意加密流量识别方法，其特征在于，包括：

获取携带数据信息的完整双向流网络流量数据样本，所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本；

对所述网络流量数据样本进行数据预处理；

将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型，对所述ResNet-BiLSTM算法模型进行训练；

使用训练好的所述ResNet-BiLSTM算法模型对恶意加密流量进行识别；

所述获取携带数据信息的完整双向流网络流量数据样本，包括：

采集海量的网络流量数据，从所述网络流量数据中获取网络流量数据样本，其中，所述网络流量数据样本为网络流量总数据包数在20~1000之间、携带有数据信息且为完整双向流的网络流量数据样本，所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本；

所述数据预处理包括：

保留每一个数据流的前54个数据包的序列，对于数据包长度不足54的序列进行填充处理，填充的内容为数据包中不会出现的异常值；

将所述网络流量数据样本中的连续10条数据流抽取出来，形成尺寸为10×54的数值矩阵；

对所述数值矩阵进行均值方差归一化处理，转化为[0, 255]之间的一个数字像素灰度值；

将所述数字像素灰度值拼成灰度图像；

所述ResNet-BiLSTM算法模型由ResNet神经网络与双向LSTM神经网络串联建模得到；

所述ResNet神经网络包括输入层、三个卷积层、两个池化层、ResNet-Inception层和全连接层；

所述输入层输入的数值矩阵大小为10×54，所述卷积层的卷积核大小均为3×3，所述卷积层的卷积核个数分别为16、32和16；

所述池化层的核大小均为2×2，所述池化层的核个数分别为16和32；

所述ResNet-Inception层融合了ResNet和GoogLeNet中的Inception-v4；

所述全连接层搭建在ResNet模型的末端。

2.根据权利要求1所述的网络恶意加密流量识别方法，其特征在于，所述网络流量数据样本中，所述恶意加密流量数据样本与所述正常加密流量数据样本的比例为1:5。

3.根据权利要求2所述的网络恶意加密流量识别方法，其特征在于，所述正常加密流量数据样本的数量为100000~500000之间。

4.根据权利要求1所述的网络恶意加密流量识别方法，其特征在于，所述双向LSTM神经网络包括两个双向长短记忆层、一个注意力机制层、两个Dropout层和两个全连接层。

5.根据权利要求1所述的网络恶意加密流量识别方法，其特征在于，所述双向LSTM神经网络的输出连接Softmax分类器。

6.一种网络恶意加密流量识别系统，其特征在于，包括：

获取单元，用于获取携带数据信息的完整双向流网络流量数据样本，所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本；

预处理单元，用于对所述网络流量数据样本进行数据预处理；

建模单元，用于将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型，对所述ResNet-BiLSTM算法模型进行训练；

识别单元，用于使用训练好的所述ResNet-BiLSTM算法模型对恶意加密流量进行识别；

所述获取携带数据信息的完整双向流网络流量数据样本，包括：

采集海量的网络流量数据，从所述网络流量数据中获取网络流量数据样本，其中，所述网络流量数据样本为网络流量总数据包数在20~1000之间、携带有数据信息且为完整双向流的网络流量数据样本，所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本；

所述数据预处理包括：

保留每一个数据流的前54个数据包的序列，对于数据包长度不足54的序列进行填充处理，填充的内容为数据包中不会出现的异常值；

将所述网络流量数据样本中的连续10条数据流抽取出来，形成尺寸为10×54的数值矩阵；

对所述数值矩阵进行均值方差归一化处理，转化为[0, 255]之间的一个数字像素灰度值；

将所述数字像素灰度值拼成灰度图像；

所述ResNet-BiLSTM算法模型由ResNet神经网络与双向LSTM神经网络串联建模得到；

所述ResNet神经网络包括输入层、三个卷积层、两个池化层、ResNet-Inception层和全连接层；

所述输入层输入的数值矩阵大小为10×54，所述卷积层的卷积核大小均为3×3，所述卷积层的卷积核个数分别为16、32和16；

所述池化层的核大小均为2×2，所述池化层的核个数分别为16和32；

所述ResNet-Inception层融合了ResNet和GoogLeNet中的Inception-v4；

所述全连接层搭建在ResNet模型的末端。