[发明专利]基于卷积神经网络的恶意加密流量检测方法及装置

说明书

本发明实施例涉及网络安全技术领域，公开了一种基于卷积神经网络的恶意加密流量检测方法及装置。其中一种基于卷积神经网络的恶意加密流量检测方法，所述检测方法包括：确定检测特征；以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵；将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。本发明提供的实施方式能够提升恶意加密流量的识别效率。

技术领域

本发明涉及网络安全技术领域，具体地涉及一种基于卷积神经网络的恶意加密流量检测方法、一种基于卷积神经网络的恶意加密流量检测装置以及一种电子设备。

背景技术

为了保证数据更安全的在网络中进行传输，越来越多的网络流量开始使用HTTPS进行加密，然而恶意软件也会利用加密技术进行恶意活动，在现网的加密流量中检测出恶意加密流量信息具有重大的理论和现实意义。

由于在现实场景网络中的加密数据数据量很大，以及存在数据不稳定的因素，所以保证恶意加密流量检测的准确率和效率成为亟需要关注的问题，本文基于大量特征提取及处理工作和模型调优来提升检测的准确率，以及将模型应用在分布式平台以提升其数据处理效率。

对于恶意加密流量，其误报率和漏报率较高，准确率较低，在安全行业中，漏报和误报对后续的问题处理都有着很大的影响。并且在数据量较大的情况下，检测效率较低，使得检测有延迟。

发明内容

本发明实施例的目的是提供一种基于卷积神经网络的恶意加密流量检测方法、一种基于卷积神经网络的恶意加密流量检测装置以及一种电子设备。

为了实现上述目的，本发明第一方面提供一种基于卷积神经网络的恶意加密流量检测方法，所述检测方法包括：确定检测特征；以五元组为单位提取检测特征，将提取的检测特征规范化为二维数据矩阵；将所述二维数据矩阵输入训练好的卷积神经网络；所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块；根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。

优选的，所述确定检测特征，包括：选择TLS协议过程中的特征报文；选择所述特征报文中的参数特征；所述参数特征包括加密套件特征，扩展特征，域名特征、证书特征，公钥特征、统计特征和计算特征中的至少一者。

优选的，以五元组为单位提取检测特征，将所述检测特征规范化为二维数据矩阵，包括：将提取的每一组检测特征为列，并进行列方向的归一化。

优选的，所述特征权重确定模块包括：长度为所述二维数据矩阵列数的第一全连接层，以及位于所述全连接层后的softmax激活函数；所述特征选择模块被配置为：将所述特征权重确定模块输出的权重和输入的二维数据矩阵的相对应的列分别相乘，得到经过特征选择后的输出；所述特征判别模块包括：数个卷积池化块、一维的池化层、激活函数、扁平层和第二全连接层；所述卷积池化块中包括卷积核大小为x的一维卷积，卷积核数量为n；所述卷积池化块的个数根据所述特征选择模块输出的数据长度设置；所述扁平层用于将所述卷积池化块的输出进行扁平化后，输入所述第二全连接层；所述激活函数模块包括sigmoid激活函数。

优选的，训练好的卷积神经网络，通过以下步骤得到：构建包括所述特征权重确定模块、特征选择模块、特征判别模块和激活函数模块的卷积神经网络；设置所述卷积神经网络的训练轮数X；将训练集输入所述卷积神经网络中进行训练，将预测错误的数据进行保存，并用验证集验证所述卷积神经网络的检测准确性；将预测错误的数据加在所述训练集上，重新进行训练，并在训练之后用验证集验证检测准确性；重复上述过程，直到训练轮数达到所述训练轮数X；采用所述训练轮数中检测准确性最高的卷积神经网络，作为所述训练好的卷积神经网络。