[发明专利]一种时空特征组合的恶意加密流量检测方法

权利要求书

1.一种时空特征组合的恶意加密流量检测方法，其特征在于，所述方法包括：采集已知类别的网络流量数据集，所述已知类别的网络流量数据集包括恶意加密流量数据集和良性加密流量数据集；对采集的网络流量数据集进行预处理，将所述网络流量数据集转换为流量矩阵；构建包含用于空间特征提取的一维卷积神经网络、用于时间特征提取的双向长短期记忆神经网络、注意力层、全连接层和分类器的流量检测模型，将预处理后的网络流量数据集输入至所述流量检测模型中进行训练得到最终流量检测模型；利用最终流量检测模型对输入的预处理后的未知类型网络流量进行检测，输出未知类型网络流量所属每个类别的概率，选取最大概率对应的类别作为未知类型网络流量的类型；

其中，所述对网络流量数据集进行预处理的方法具体包括：

对网络流量数据集中所有数据进行流量切分：按网络流量属性中的五元组将原始流量切分为数据包，将源到目标和目标到源的数据包按照时间顺序排列生成双向会话流；并将每个会话流以pcap文件的形式保存为单个文件；其中，所述五元组包括：源IP、源端口、目的IP、目的端口和传输层协议；

对会话流进行数据清洗：对于每条会话流，删除无效数据，过滤掉不包含完整握手阶段以及未加密传输数据包的会话流，屏蔽链路层、网络层和传输层中一些与网络类型无关的数据；

提取清洗后的网络流量数据集的前N个数据包的前M个字节，将所述网络流量数据转化为N*M维矩阵；对于数据包和字节，超出的部分进行截取，不足的部分补0填充，完成网络流量数据集的预处理；

将预处理后的网络流量数据集按照比例划分为训练集和验证集；

其中，将预处理后的网络流量数据集输入至所述流量检测模型中进行训练得到最终流量检测模型的方法具体包括：

空间特征提取：将预处理后的网络流量数据包输入一维卷积神经网络，使用多层卷积层与池化层叠加，首先经过卷积层对数据包载荷进行卷积操作，用于提取每个数据包的局部空间特征；然后经过池化层对提取到的所述局部空间特征进行池化操作降维，得到每个数据包的空间特征向量；

时间特征提取：将所述数据包的空间特征向量作为输入，经双向长短期记忆神经网络进行前后两个方向的时间特征提取得到前后两个方向的向量，将每个数据包前后两个方向的向量拼接得到每个数据包的时间特征向量；

将所述每个数据包的时间特征向量作为输入，经过注意力层对每个数据包的时间特征向量进行重要度学习，计算每个特征的权重，并将时间特征向量与其相对应的权重进行加权求和得到整条会话流的特征向量F；

并通过全连接层将向量F进行特征映射，并将映射后的向量F送入分类器输出预测结果，然后根据交叉熵损失函数的损失值度量输出值与目标输出值之间的差距，并将损失值反向传播不断缩小输出值与目标输出值的差值，迭代训练得到最终流量检测模型。

2.如权利要求1所述的方法，其特征在于，已知类别的网络流量数据集为公开的加密流量数据集。

3.如权利要求1所述的方法，其特征在于，所述无效数据包括DNS数据包、重传数据包和ARP数据包。

4.如权利要求1所述的方法，其特征在于，若会话流中包含Client Hello和ChangeCipher Spec握手包则所述会话流包含完整握手阶段，若会话流中包含Application Data数据包则所述会话流包含加密传输数据包。

5.如权利要求1所述的方法，其特征在于，所述分类器为Softmax分类器。

6.如权利要求1所述的方法，其特征在于，用训练集训练流量检测模型，用验证集评估流量检测模型的检测效果。

7.如权利要求1所述的方法，其特征在于，使用pkt2flow工具对网络流量数据集中所有数据进行流量切分。

8.如权利要求6所述的方法，其特征在于，训练集通过准确率、查准率和查全率对流量检测模型的检测效果进行评估。

9.如权利要求1所述的方法，其特征在于，所述与网络类型无关的数据包括MAC地址和IP地址。