【技术实现步骤摘要】
一种加密恶意流量的识别方法、设备及装置
本申请涉及恶意流量分析
,更具体的说,是涉及一种加密恶意流量的识别方法、设备及装置。
技术介绍
随着互联网的高速发展和加密技术的广泛应用,加密流量所占的比重不断提升。相关机构预测,会有超过80%的企业网络流量将被加密,其中隐藏超过70%的恶意网络流量,网络安全问题遇到严峻考验。如何识别加密恶意流量,是监管机构和合法用户面临的一道难题。加密恶意流量通常也会采用与正常流量相同的安全协议,流量传输时可以躲避传统的流量检测技术,给加密流量检测带来新的挑战。现有的流量检测技术大多是对流量的有效载荷进行检测,对于加密流量来说,由于传统检测手段无法解密流量因此传统手段显然无能为力。另一方面,现有的流量检测装置基于网络流量包对单条网络流进行检测,而恶意流量网络流之间也存在着行为上的特征,这些特征因为检测装置设计结构的原因没有被提取出来。近年来逐渐出现了基于机器学习的加密流量安全检测分析方法。在传统的机器学习领域,特征工程的质量高低往往直接决定了机器学习效果,通常需要根据专...
【技术保护点】
1.一种加密恶意流量的识别方法,其特征在于,所述方法包括:/n从网络流量中分离出经过加密处理的待测网络流量,并按时间序列将所述待测网络流量分成多个流量包;/n所述流量包通过第一神经网络学习判断得到每个流量包的时序特征和/或空间特征;/n将所有流量包的时序特征和/或空间特征,按时间序列汇总为汇总特征,并通过第二神经网络从该汇总特征中通过学习判断得到待测流量汇总时序特征;/n将待测流量汇总时序特征与预设正常流量汇总时序特征比较,以判断该待测网络流量是否为恶意特征。/n
【技术特征摘要】
1.一种加密恶意流量的识别方法,其特征在于,所述方法包括:
从网络流量中分离出经过加密处理的待测网络流量,并按时间序列将所述待测网络流量分成多个流量包;
所述流量包通过第一神经网络学习判断得到每个流量包的时序特征和/或空间特征;
将所有流量包的时序特征和/或空间特征,按时间序列汇总为汇总特征,并通过第二神经网络从该汇总特征中通过学习判断得到待测流量汇总时序特征;
将待测流量汇总时序特征与预设正常流量汇总时序特征比较,以判断该待测网络流量是否为恶意特征。
2.根据权利要求1所述的方法,其特征在于,所述第二神经网络包括以所述汇总特征为输入的递归神经网络。
3.根据权利要求2所述的方法,其特征在于,所述第二神经网络包括循环神经网络,所述循环神经网络包括按时间顺序依次连接的LSTM神经单元和/或GRU神经单元、全连接层和利用Sigmoid函数进行二分类判别的Sigmoid层;所述全连接层是把LSTM循环神经单元和/或GRU神经单元的输出转换为Sigmoid层的输入,把向量映射为标量。
4.根据权利要求1所述的方法,其特征在于,所述第一神经网络将每个流量包转换为二维图像格式数据;所述第一神经网络包括第一空间判断神经网络,第一空间判断神经网络学习所述二维图像格式数据,得到与所述每个流量包的数据的空间特征相对应的数据包向量、以及相对应的数据包向量序列。
5.根据权利要求4所述的方法,其特征在于,所述二维图像格式数据为m*m灰度图像:m代表图像的高度和宽度,m*m的字节数大于等于流量包的字节长度,每个流量包按照字节顺序依次填充到m*m的矩阵中,如果矩阵填充不满则继续用0填充,从而将流量包的字节流转换为所述m*m灰度图像。
6.根据权利要求4所述的方法,其特征在于,所述第一空间判断神经网络包括卷积神经网络,所述卷积神经网络输入流量包,并将识别出的流量...
【专利技术属性】
技术研发人员:邢明,王苏南,
申请(专利权)人:北京观成科技有限公司,深圳职业技术学院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。