本发明专利技术实施例涉及网络安全技术领域,公开了一种基于卷积神经网络的恶意加密流量检测方法及装置。其中一种基于卷积神经网络的恶意加密流量检测方法,所述检测方法包括:确定检测特征;以五元组为单位提取检测特征,将所述检测特征规范化为二维数据矩阵;将所述二维数据矩阵输入训练好的卷积神经网络;所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块;根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。本发明专利技术提供的实施方式能够提升恶意加密流量的识别效率。
【技术实现步骤摘要】
基于卷积神经网络的恶意加密流量检测方法及装置
本专利技术涉及网络安全
,具体地涉及一种基于卷积神经网络的恶意加密流量检测方法、一种基于卷积神经网络的恶意加密流量检测装置以及一种电子设备。
技术介绍
为了保证数据更安全的在网络中进行传输,越来越多的网络流量开始使用HTTPS进行加密,然而恶意软件也会利用加密技术进行恶意活动,在现网的加密流量中检测出恶意加密流量信息具有重大的理论和现实意义。由于在现实场景网络中的加密数据数据量很大,以及存在数据不稳定的因素,所以保证恶意加密流量检测的准确率和效率成为亟需要关注的问题,本文基于大量特征提取及处理工作和模型调优来提升检测的准确率,以及将模型应用在分布式平台以提升其数据处理效率。对于恶意加密流量,其误报率和漏报率较高,准确率较低,在安全行业中,漏报和误报对后续的问题处理都有着很大的影响。并且在数据量较大的情况下,检测效率较低,使得检测有延迟。
技术实现思路
本专利技术实施例的目的是提供一种基于卷积神经网络的恶意加密流量检测方法、一种基于卷积神经网络的恶意加密流量检测装置以及一种电子设备。为了实现上述目的,本专利技术第一方面提供一种基于卷积神经网络的恶意加密流量检测方法,所述检测方法包括:确定检测特征;以五元组为单位提取检测特征,将提取的检测特征规范化为二维数据矩阵;将所述二维数据矩阵输入训练好的卷积神经网络;所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块;根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。优选的,所述确定检测特征,包括:选择TLS协议过程中的特征报文;选择所述特征报文中的参数特征;所述参数特征包括加密套件特征,扩展特征,域名特征、证书特征,公钥特征、统计特征和计算特征中的至少一者。优选的,以五元组为单位提取检测特征,将所述检测特征规范化为二维数据矩阵,包括:将提取的每一组检测特征为列,并进行列方向的归一化。优选的,所述特征权重确定模块包括:长度为所述二维数据矩阵列数的第一全连接层,以及位于所述全连接层后的softmax激活函数;所述特征选择模块被配置为:将所述特征权重确定模块输出的权重和输入的二维数据矩阵的相对应的列分别相乘,得到经过特征选择后的输出;所述特征判别模块包括:数个卷积池化块、一维的池化层、激活函数、扁平层和第二全连接层;所述卷积池化块中包括卷积核大小为x的一维卷积,卷积核数量为n;所述卷积池化块的个数根据所述特征选择模块输出的数据长度设置;所述扁平层用于将所述卷积池化块的输出进行扁平化后,输入所述第二全连接层;所述激活函数模块包括sigmoid激活函数。优选的,训练好的卷积神经网络,通过以下步骤得到:构建包括所述特征权重确定模块、特征选择模块、特征判别模块和激活函数模块的卷积神经网络;设置所述卷积神经网络的训练轮数X;将训练集输入所述卷积神经网络中进行训练,将预测错误的数据进行保存,并用验证集验证所述卷积神经网络的检测准确性;将预测错误的数据加在所述训练集上,重新进行训练,并在训练之后用验证集验证检测准确性;重复上述过程,直到训练轮数达到所述训练轮数X;采用所述训练轮数中检测准确性最高的卷积神经网络,作为所述训练好的卷积神经网络。优选的,所述训练集中的训练样本采用以下步骤进行样本增广:确定一个训练样本Xi以及与所述训练样本Xi具有近邻关系的K个训练样本;从所述K个训练样本随机选择一个训练样本Xi(nn),并同时生成一个0到1之间的随机数合成一个新样本重复从所述K个训练样本随机选择一个训练样本Xi(nn),并同时生成一个0到1之间的随机数成一个新样本的步骤,每次得到一个新样本。优选的,所述检测方法还包括:采用贝叶斯优化对所述训练好的卷积神经网络中的参数进行优化。在本专利技术的第二方面,还提供了一种基于卷积神经网络的恶意加密流量检测装置,所述检测装置包括:特征确定模块,用于确定检测特征;矩阵构建模块,用于以五元组为单位提取检测特征,将所述检测特征规范化为二维数据矩阵;检测模型模块,用于将所述二维数据矩阵输入训练好的卷积神经网络;所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块;以及结果确定模块,用于根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。在本专利技术的第三方面,还提供了一种电子设备,包括:至少一个处理器;存储器,与所述至少一个处理器连接;其中,所述存储器存储有能被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现前述的基于卷积神经网络的恶意加密流量检测方法。优选的,所述电子设备为防火墙或服务器。本专利技术第四方面提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得处理器被配置成执行上述的基于卷积神经网络的恶意加密流量检测方法。本专利技术第五方面提供一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现上述的基于卷积神经网络的恶意加密流量检测方法。上述技术方案提供的方法和装置,具有以下有益效果:半监督、数据插值等使得数据更加丰富,模型优化使得结果更加准确。以及神经网络自动选择特征并使用卷积进行计算,在有效减少参数个数的同时还可提高准确率,使得能够快速准确的得出结果。本专利技术实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。附图说明附图是用来提供对本专利技术实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本专利技术实施例,但并不构成对本专利技术实施例的限制。在附图中:图1示意性示出了根据本专利技术实施例的基于卷积神经网络的恶意加密流量检测方法的流程示意图;图2示意性示出了根据本专利技术实施例的基于卷积神经网络的恶意加密流量检测装置的结构示意图。具体实施方式以下结合附图对本专利技术实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术实施例,并不用于限制本专利技术实施例。图1示意性示出了根据本专利技术实施例的基于卷积神经网络的恶意加密流量检测方法的流程示意图,如图1所示,一种基于卷积神经网络的恶意加密流量检测方法,所述检测方法包括:S01,确定检测特征;在加密通信中,通信双方通过TLS协议来协商双方加密的算法与密钥,从而为后续传输的信息进行加密,在正式进行加密信息传输之前,这个协商过程是明文传输的,所以尽可能的利用协商过程中的信息来进行特征的提取,是本方法对恶意加密流量的检测的基础。在本方法中首先基于TLS协议过程进行特征的提取,整个过程大概分为:ClientHello、ServerHello、ClientKeyExchange、ChangeCipherSpec、ApplicationData。提取的特征主要分为几个大类,ClientHello中的加密套件相关特征,扩展特征,域名特征,ClientKeyExchange中的证书特征,公钥特征以本文档来自技高网...
【技术保护点】
1.一种基于卷积神经网络的恶意加密流量检测方法,其特征在于,所述检测方法包括:/n确定检测特征;/n以五元组为单位提取检测特征,将提取的检测特征规范化为二维数据矩阵;/n将所述二维数据矩阵输入训练好的卷积神经网络;所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块;/n根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。/n
【技术特征摘要】
1.一种基于卷积神经网络的恶意加密流量检测方法,其特征在于,所述检测方法包括:
确定检测特征;
以五元组为单位提取检测特征,将提取的检测特征规范化为二维数据矩阵;
将所述二维数据矩阵输入训练好的卷积神经网络;所述卷积神经网络包括特征权重确定模块、特征选择模块、特征判别模块和激活函数模块;
根据所述激活函数模块的输出确定所述五元组对应的数据是否为恶意加密流量。
2.根据权利要求1所述的检测方法,其特征在于,所述确定检测特征,包括:
选择TLS协议过程中的特征报文;
选择所述特征报文中的参数特征;
所述参数特征包括加密套件特征、扩展特征、域名特征、证书特征、公钥特征、统计特征和计算特征中的至少一者。
3.根据权利要求1所述的检测方法,其特征在于,以五元组为单位提取检测特征,将所述检测特征规范化为二维数据矩阵,包括:
将提取的每一组检测特征为列,并进行列方向的归一化。
4.根据权利要求3所述的检测方法,其特征在于,
所述特征权重确定模块包括:长度为所述二维数据矩阵列数的第一全连接层,以及位于所述全连接层后的softmax激活函数;
所述特征选择模块被配置为:将所述特征权重确定模块输出的权重和输入的二维数据矩阵的相对应的列分别相乘,得到经过特征选择后的输出;
所述特征判别模块包括:数个卷积池化块、一维的池化层、激活函数、扁平层和第二全连接层;所述卷积池化块中包括卷积核大小为x的一维卷积,卷积核数量为n;所述卷积池化块的个数根据所述特征选择模块输出的数据长度设置;所述扁平层用于将所述卷积池化块的输出进行扁平化后,输入所述第二全连接层;
所述激活函数模块包括sigmoid激活函数。
5.根据权利要求1所述的检测方法,其特征在于,训练好的卷积神经网络,通过以下步骤得到:
构建包括所述特征权重确定模块、特征选择模块、特征判别模块和激活函数模块的卷积神经网络;
设置所述卷积神经网络的训练轮数X;
将训练集输入所述卷积...
【专利技术属性】
技术研发人员:刘叶,兰亭洋,王智民,王高杰,
申请(专利权)人:北京六方云信息技术有限公司,北京六方云科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。