[发明专利]一种僵尸网络的检测方法及系统在审
| 申请号: | 201910874101.4 | 申请日: | 2019-09-17 |
| 公开(公告)号: | CN110602102A | 公开(公告)日: | 2019-12-20 |
| 发明(设计)人: | 段彬 | 申请(专利权)人: | 武汉思普崚技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N20/00 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 430070 湖北省武汉市东湖新技术开发区光谷大道3*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种僵尸网络的检测方法及系统,可以基于历史网络数据,分析构建一个噪声模拟僵尸网络流模型,首先使用真实僵尸网络流训练所述噪声模拟僵尸网络流模型,所述模型自身还有不断复合、变异僵尸网络的能力,当噪声模拟僵尸网络流模型训练完毕后,再接入机器学习模块,作为机器学习模块的模拟僵尸网络源,不间断地攻击训练机器学习模块,帮助提升机器学习模块检测的能力。 | ||
| 搜索关键词: | 僵尸网络 噪声模拟 机器学习 学习模块 历史网络 模型训练 提升机器 训练机器 检测 构建 复合 攻击 帮助 分析 | ||
【主权项】:
1.一种僵尸网络的检测方法,其特征在于,所述方法包括:/n获取历史网络数据,根据已知的僵尸网络流的特征及其负载信息,分析提取历史网络数据中涉及僵尸网络的特征向量;/n其中,分析提取历史网络数据中涉及僵尸网络的特征向量包括,抽取选择包括协议、字节长度在内的若干个特征,将其向量化为122维特征向量,其中107维代表协议,15维代表其余15个特征,将特征向量的每一维归一化到[0,1];/n基于所述僵尸网络的特征向量,构建噪声模拟僵尸网络流模型,应用该模型可随机生成已知的各种类型的僵尸网络流以及多种僵尸网络复合流;/n所述多种僵尸网络复合流包括同时具备若干种僵尸网络特征的数据流,或者时域上连续的若干种僵尸网络拼接成的数据流,或变异僵尸网络特征而成的数据流;/n将所述噪声模拟僵尸网络流模型作为对抗性网络的生成器,所述生成器的输出不间断地与真实僵尸网络流一并送入判别器;/n所述判别器根据两端输入的生成器输出和真实僵尸网络流,得出判别结果;如果判别结果为真时,表明生成器输出与真实僵尸网络流在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与真实僵尸网络流在特征向量上差别很大,判别器将差别度信息、真实僵尸网络流的特征向量一并反馈给生成器;如果判别结果为异常时,表明生成器输出与真实僵尸网络流在特征向量上差别大于第一阈值且小于第二阈值,判别器将差别度信息、第一阈值和第二阈值一并反馈给生成器;/n所述生成器根据判别器的反馈结果调整噪声模拟僵尸网络流模型的参数,再次生成新的输出;/n当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟僵尸网络流模型训练完毕;/n将所述噪声模拟僵尸网络流模型接入机器学习模块,由所述噪声模拟僵尸网络流模型不间断随机生成网络僵尸网络,供机器学习模块自我学习;/n所述机器学习模块借助所述噪声模拟僵尸网络流模型,不间断丰富各种网络僵尸网络特征向量样本,对真实网络流量进行僵尸网络检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟僵尸网络流模型的参数,启动所述噪声模拟僵尸网络流模型的更新。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉思普崚技术有限公司,未经武汉思普崚技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910874101.4/,转载请声明来源钻瓜专利网。
