[发明专利]一种基于并联神经网络的僵尸网络流量检测方法

说明书

本发明涉及一种基于并联神经网络的僵尸网络流量检测方法，该方法步骤为：根据数据包传输五元组源IP、目的IP、源端口、目的端口、传输协议将原始网络流量pcap文件划分为多个网络流；对每个网络流进行预处理转化成两种神经网络的输入格式；利用卷积神经网络提取网络流灰度图的空间特征，输出10维特征向量；利用门控循环单元网络提取网络流序列的时序特征，输出10维向量；利用串行特征融合方案将两种神经网络提取的特征进行拼接，输出20维特征；通过softmax分类器，进行模型训练，并输出僵尸流量检测模型；最后将捕获的目标网络的流量数据经预处理后，输入模型完成僵尸网络流量的检测。本发明具有准确度高、可以有效检测出僵尸网络流量。

技术领域

本发明属于网络安全技术领域，涉及一种基于并联神经网络的僵尸网络流量检测方法。

背景技术

僵尸网络是指由于计算机存在安全漏洞而被网络攻击者通过感染木马或僵尸程序控制的计算机集群，其重要的特点就是攻击者能够通过一对多的命令与控制信道操纵被控主机执行相同的恶意命令，如同时控制主机对某目标网站发动DDOS攻击或向某一服务器发送大量垃圾邮件等。近年来，物联网技术不断发展，物联网产业规模不断扩大，随着而来的是物联网设备海量部署，为僵尸网络活动滋生提供了有利条件，在今后一段时间内僵尸网络依然会是网络安全威胁的重要来源，利用僵尸网络发动大规模、破坏性攻击事件也将时有发生。研究僵尸网络检测技术对保护个人财产及隐私、保护公司合法权益、保护国家网络空间安全等具有十分重要的意义。僵尸网络检测技术也成为近年来的研究热点，对现有文献检索发现，相关文献如下：

乔森等人在《软件,2015,36(03):83-88.》上发表了题为“基于snort僵尸网络检测系统的设计与实现”的文章。该文章提出以snort为核心模块，通过对网络流量的抓取、分析，以及后端数据库和前端页面的相关设计，实现了一个入侵检测系统。该方法是基于规则对网络流量进行精确匹配，准确度高，但建立规则的前提是对现有僵尸网络有一定研究，对于一些未知的僵尸网络(使用新型的协议和僵尸程序等)却束手无策。

R.U.Khan等人在《2019Cybersecurity and Cyberforensics Conference(CCC),2019:136-142.》上发表了题为“A Hybrid Technique To Detect Botnets,Based on P2PTraffic Similarity”的文章。该文章基于数据流特征和流相似度提取会话特征，并使用决策树算法完成P2P僵尸网络检测。该方法基于传统机器学习算法，存在依赖人工设计和提取特征、多针对指定类型僵尸网络、多使用简单的分类算法等问题。

Torres P等人在《2016IEEE Biennial Congress of Argentina,2016:1-6.》上发表了题为“An Analysis of Recurrent Neural Networks for Botnet DetectionBehaviour”的文章。该文章采用LSTM网络提取流量序列特征完成僵尸网络的检测。该文章首先提取网络流的三维特征，然后将特征用符号代替，并利用LSTM间接提取符号序列间的特征，进而完成僵尸网络检测。该方法存在依赖人工设计和提取特征、未使用原始数据间接提取特征、提取特征维度单一等问题。

牛伟纳等人在《电子与信息学报,2020,42(08):1872-1880.》上发表了题为“基于流量时空特征的fast-flux僵尸网络检测方法”的文章。该文章基于DenseNet和LSTM提取时空特征实现了fast-flux僵尸网络检测。该方法网络结构过于简单，导致信息丢失且只针对特定类型僵尸网络。

综上，由相关研究可知，目前僵尸网络检测方法存在难以识别加密流量、需建立精确的匹配规则库和特征阈值、无法检测未知僵尸网络、依赖人工设计和提取特征、未使用原始数据间接提取特征、提取特征维度单一等问题。

发明内容