The present disclosure embodiment provides an encrypted malicious traffic detection method, device, electronic device and computer readable storage medium. Its characteristics include the following steps: extracting features based on normal traffic samples and malicious traffic samples; training the first feature suitable for in-depth learning into in-depth learning model to form in-depth learning based depth learning. Detection model; Input the feature set from the deep learning model into the machine learning model, and input the second feature suitable for machine learning into the machine learning model to form a machine learning-based detection model; Use the depth detection model and the machine learning detection model to detect the real network traffic, and finally identify the addition. Close malicious traffic. The present disclosure can effectively solve the problem of incomplete extraction of artificial features. At the same time, it can identify malicious encryption traffic more effectively, and ensure that the detection model is semantically user-understandable.
【技术实现步骤摘要】
加密恶意流量检测方法、装置、电子设备及存储介质
本公开涉及流量数据检测
,具体为一种任加密恶意流量检测方法、装置、电子设备及存储介质。
技术介绍
网络通信是当前几乎所有企业和个人都会涉及的信息应用。随着企业以及个人用户对于信息安全的重视程度越来越高,当前网络通信中加密技术的使用场景越来越多。即通过加密方法让通信内容无法被网络上除通信双方之外的其他用户识别。与此同时,各类恶意程序如网络木马、蠕虫等在与控制端进行通信时,为了躲避网络检测设备的识别,往往也采用加密流量通信。这就造成了正常加密流量与恶意加密流量无法区分的问题,为网络安全检测带来了很大的挑战。当前对于加密恶意流量的检测主要采用有监督机器学习的方法。通过恶意加密流量和正常加密流量的检测模型,该检测模型即可以用于判别加密流量是否为恶意流量。现有方案存在的主要问题在于特征的定义需要有经验专家的参与,一次性定义全面的特征是一件难以完成的任务,而少量的特征集又难以获得有效的检测结果。因此,如何有效的分离恶意流量已经成为一个亟待解决的技术问题。
技术实现思路
本公开的目的在于提供一种任加密恶意流量检测方法、装置、电子...
【技术保护点】
1.一种加密恶意流量检测方法,其特征在于,包括如下步骤:S101:基于正常流量样本和恶意流量样本提取特征;S102:将所述提取特征中适用于深度学习的第一特征输入深度学习模型进行训练,形成基于深度学习的深度检测模型;S103:将深度学习模型输出的特征集输入到机器学习模型,将所述提取特征中适用于机器学习的第二特征输入到所述机器学习模型,形成基于机器学习的机器检测模型;S104:利用所述深度检测模型和所述机器检测模型,对真实网络流量进行检测,最终识别出恶意流量。
【技术特征摘要】
1.一种加密恶意流量检测方法,其特征在于,包括如下步骤:S101:基于正常流量样本和恶意流量样本提取特征;S102:将所述提取特征中适用于深度学习的第一特征输入深度学习模型进行训练,形成基于深度学习的深度检测模型;S103:将深度学习模型输出的特征集输入到机器学习模型,将所述提取特征中适用于机器学习的第二特征输入到所述机器学习模型,形成基于机器学习的机器检测模型;S104:利用所述深度检测模型和所述机器检测模型,对真实网络流量进行检测,最终识别出恶意流量。2.根据权利要求1所述的方法,其特征在于,所述提取特征包括一致性特征、证书特征以及流行为特征。3.根据权利要求2所述的方法,其特征在于,所述第一特征为流行为特征;所述第二特征为一致性特征和/或证书特征。4.根据权利要求3所述的方法,其特征在于,所述步骤S102包括:S1021:构建训练函数模型:it=σ(WxiXt+Whiht-1+WciCt-1+bi)ft=σ(WxfXt+Whfht-1+WcfCt-1+bf)Ot=σ(WxoXt+Whoht-1+WcoCt-1+bo)Ct=ftCt-1+ittanh(WxcXt+Whcht-1+bc)ht=Ottanh(Ct)其中,σ为逻辑sigmod函数,t表示神经网络迭代的次数,i、f、o、c、h分别表示输入门、遗忘门、输出门、单元激活向量、隐藏单元;Wxi、Whi和Wci分别表示输入特征向量、隐藏层单元、单元激活向量与输入门之间的权重矩阵;Wxf、Whf和Wcf分别表示输入特征向量、隐藏层单元、单元激活向量与遗忘门之间的权重矩阵;Wxo、Who和Wco分别表示输入特征向量、隐藏层单元、单元激活向量与输出门之间的权重矩阵;bi、bf、bc、bo分别为输入门、遗忘门、单元激活向量和输出门的偏差值;其中,sigmod函数为:tanh函数为:S1022:将所述第一特征输入上述训练函数模型进行迭代计算,直至输出特征趋于稳定,停止训练。5.根据权利要求1所述的方法,其特征在于,步...
【专利技术属性】
技术研发人员:江斌,
申请(专利权)人:极客信安北京科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。