【技术实现步骤摘要】
一种基于多模型融合的隐匿恶意行为检测方法
[0001]本专利技术属于网络安全
,具体涉及一种基于多模型融合的隐匿恶意行为检测方法。
技术介绍
[0002]面对日益增强的网络安全防御智能化发展,恶意攻击仍可频繁得逞的一个关键原因在于其隐匿特性,最常见的如隐匿隧道手段,可轻易绕过当前主流的特征匹配或机器学习等检测方法。
[0003]DNS隐匿隧道就是其中一种隐匿手段,由于大部分防火墙、入侵检测系统、入侵防御系统很少对DNS流量进行检测,这就给DNS作为隐匿隧道提供了条件。DNS(Domain Name System,域名系统)是互联网的一项服务,其将域名和IP地址相互映射,能够使人更方便地访问互联网。通常情况下,DNS使用53端口,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
[0004]DNS隧道是一种将其他协议的内容封装在DNS协议中,然后以DNS请求和响应包完成数据传输的技术,出于功能性和友好性考虑,防火墙不可能把DNS协议完全过滤掉。因此,攻击者可以利用DNS隧道技术实现...
【技术保护点】
【技术特征摘要】
1.一种基于多模型融合的隐匿恶意行为检测方法,其特征在于,所述基于多模型融合的隐匿恶意行为检测方法,包括:步骤1、获取DNS报文的黑样本、白样本及CDN样本数据集;步骤2、对黑样本、白样本及CDN样本数据集进行特征提取;步骤3、基于提取的特征进行多模型训练,将训练后的多模型进行权值融合得到隐匿恶意行为检测模型,包括:步骤3.1、基于提取的特征进行多模型训练,所述多模型包括LSTM模型、1D
‑
CNN模型和MLP模型;步骤3.2、计算各模型对应的权值如下:f(v
i
)=(v
i
)
α
式中,w
i
为第i个模型的权值,v
i
为第i个模型的准确度,n为模型数量且n=3,α为大于1的常数;步骤3.3、对多模型进行权值融合如下:p={p
MLP
×
w
MLP
+p
1D
‑
CNN
×
w
1D
‑
CNN
+p
RNN
×
w
RNN
}式中,p为隐匿恶意行为检测模型输出的检测结果,p
MLP
为MLP模型的检测结果,w
MLP
为MLP模型的权值,p
1D
‑
CNN
为1D
‑
CNN模型的检测结果,w
1D
‑
CNN
为1D
‑
CNN模型的权值,p
RNN
为LSTM模型的检测结果,w
RNN
为LSTM模型的权值;步骤4、利用所述隐匿恶意行为检测模型进行实时检测捕获DNS隐匿隧道。2.如权利要求1所述的基于多模型融合的隐匿恶意行为检测方法,其特征在于,所述获取DNS报文的黑样本、白样本及CDN样本数据集,包括:步骤1.1、构建DNS隐匿隧道,...
【专利技术属性】
技术研发人员:吕明琪,黄伟达,陈铁明,陈波,顾国民,朱添田,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。