【技术实现步骤摘要】
一种基于卷积神经网络的僵尸网络检测系统及方法
本专利技术涉及计算机网络安全
,特别是涉及一种基于卷积神经网络的僵尸网络检测系统及方法。
技术介绍
僵尸网络就是通过入侵网络空间内若干终端构建的可被攻击者远程控制的可协同计算机集群,经过多年的发展已成为当前互联网最严重的安全问题之一。互联网的飞速发展使它已高度融入到人类社会生活的方方面面,每一次网络安全事件的发生都会对社会造成极大的影响,因此网络安全不仅是整个互联网正常工作的基础,也是社会良性发展的保障。随着僵尸网络的快速演变和威胁程度的增加,迫切需要对其展开相应的研究工作。僵尸网络的检测是所有后续研究的基础,具有较高的研究价值和优先级。现有僵尸网络检测技术存在如下问题:①传统的僵尸网络检测方法通常需要对僵尸网络进行深入分析研究,总结其特性和运行规律,然后设计算法进行检测。这些方法依赖于僵尸网络的一些已知特性,对新型和变种僵尸网络的检测效果较差。②使用经典机器学习算法的僵尸网络检测方法通常基于对网络流的直观理解进行人工特征提取,特征的好坏会直接影响检...
【技术保护点】
1.一种基于卷积神经网络的僵尸网络检测系统,其特征在于,所述检测系统包括:/n网络流特征提取模块,用于根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;/n网络流特征预处理模块,用于对所述一维特征进行标准化和多元变量关联,得到二维特征;/n僵尸网络检测模块,用于利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。/n
【技术特征摘要】
1.一种基于卷积神经网络的僵尸网络检测系统,其特征在于,所述检测系统包括:
网络流特征提取模块,用于根据网络数据包的包头信息将网络数据包按设定属性划为四类,并根据各类的包头信息得到一维特征,所述网络数据包为多个,所述设定属性包括:源IP地址、源MAC-IP地址对、源目的IP地址对和源目的套接字对;
网络流特征预处理模块,用于对所述一维特征进行标准化和多元变量关联,得到二维特征;
僵尸网络检测模块,用于利用预先训练好的卷积神经网络对所述二维特征进行识别,判断所述二维特征对应的网络数据包来自的网络是否是僵尸网络。
2.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述检测系统还包括:数据获取模块,用于获取设定时间内待测网络各节点的网络数据,所述网络数据包括多个网络数据包。
3.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述网络流特征提取模块包括:
网络数据包处理单元,用于从各所述网络数据包的包头中提取包头数据,所述包头数据包括:源IP地址、目的IP地址、源端口、目的端口、源MAC地址、目的MAC地址、时间戳和包大小;
网络流分析单元,用于根据所述包头数据按设定属性将各所述网络数据包划分为四类网络数据,记为网络流;
网络流统计值计算单元,用于根据所述网络流中网络数据包的数量、获取时间和设定数值,采用增量衰减统计算法得到网络流统计值,所述网络流统计值为多个;
网络流特征组合单元,用于将所述网络流统计值组合成一个一维向量,得到一维特征。
4.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述网络流特征预处理模块包括:
特征标准化单元,用于利用Z-score算法对所述一维特征进行标准化,得到标准一维特征;
多元变量关联单元,用于利用三角形面积映射的多维特征关联方法对所述标准一维特征进行关联,得到二维特征。
5.根据权利要求1所述的基于卷积神经网络的僵尸网络检测系统,其特征在于,所述预先训练好的卷...
【专利技术属性】
技术研发人员:刘世岳,刘俊奕,陈振,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。