一种基于注意力机制的僵尸网络检测方法技术

本发明专利技术公开了一种基于注意力机制的僵尸网络检测方法，涉及网络安全技术领域，步骤如下：S1：获取数据集，对数据集进行预处理，得到预处理后的数据集；S2：构建基于注意力机制的僵尸网络检测模型，根据预处理后的数据集进行训练；S3：捕获网络数据流，使用训练后的僵尸网络检测模型判断捕获的网络数据流是否来自僵尸网络；本发明专利技术针对新型僵尸网络流量样本数量小的特点，使用自适应综合过采样算法、主成分分析法对数据集进行预处理，提高检测模型对新型僵尸网络的检测准确率。型僵尸网络的检测准确率。型僵尸网络的检测准确率。

【技术实现步骤摘要】
一种基于注意力机制的僵尸网络检测方法


[0001]本专利技术涉及网络安全
，更具体的，涉及一种基于注意力机制的僵尸网络检测方法。

技术介绍

[0002]根据中国互联网络信息中心(CNNIC)发布的第50次《中国互联网络发展状态统计报告》显示，截至2022年6月，我国网民规模为10.51亿，较2021年12月新增网民1919万，互联网普及率达74.4％。从报告可以看出，互联网已经成为我国人民生活中不可或缺的一部分，但互联网技术在给广大人民群众生活提供便利的同时，其所带来的安全威胁同样不容小觑。
[0003]僵尸网络(Botnet)就是不法分子利用网络进行非法牟利的一种常用攻击手段。僵尸网络发展迅速，波及范围广，破坏力大，技术复杂，相比较于传统的病毒和蠕虫等威胁更大,已经成为安全行业最大的威胁之一。僵尸网络主要对僵尸程序进行传播，使得众多主机被感染，它能够通过命令与控制信道操纵感染了僵尸程序的主机执行恶意活动，包括点击欺诈、分布式拒绝服务(DDoS)、垃圾邮件、窃取机密信息和虚拟货币挖掘等，对国家、组织和个人的信息安全造成极大的危害。
[0004]僵尸网络的流量数据往往是相似的，且表现出与正常流量的差异性。鉴于此特性，目前僵尸网络的检测主要应用机器学习算法，如随机森林算法、支持向量机(SVM)、k
–
means等。此类方法采用监督学习方法建立基于人为标记的网络流量特征的模型检测僵尸流量，但基于人为标记特征的方式是劳动密集的，需要大量拥有足够领域知识的专家才能保证特征精确度。近年来研究者也开始使用深度学习算法检测僵尸网络流量，并取得了一些很好的效果，如卷积神经网络(CNN)、递归神经网络(RNN)等，解决了人为标记特征的痛点。但新型僵尸网络流量的样本数量往往较小，现有的基于深度学习的检测模型很难精确检测出新型僵尸网络流量，导致检测模型对新型僵尸网络的检测准确率低。
[0005]现有技术公开了一种僵尸网络流量分类检测方法，包括：获取僵尸网络流量数据集；将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别；其中，所述预设的可分离卷积神经网络模型为采用单通道二维灰度图像矩阵样本作为输入数据，以及与所述单通道二维灰度图像矩阵样本对应的检测结果作为输出数据，基于机器学习算法训练得到的；所述检测结果包括：不属于恶意流量，或，属于恶意流量以及与所述恶意流量对应的恶意类别；但未针对新型僵尸网络流量样本数量小的特点导致检测模型对新型僵尸网络的检测准确率低。

技术实现思路

[0006]本专利技术为了解决现有技术中未针对新型僵尸网络流量样本数量小的特点导致检
测模型对新型僵尸网络的检测准确率低的问题，提出了一种基于注意力机制的僵尸网络检测方法，通过构建基于注意力机制的僵尸网络检测模型，使用通过自适应综合过采样算法、主成分分析法预处理后的数据集对网络检测模型进行训练，提高模型的检测准确率。
[0007]为解决上述技术问题，本专利技术采用的技术方案是：
[0008]一种基于注意力机制的僵尸网络检测方法，步骤如下：
[0009]S1：获取数据集，对数据集进行预处理，得到预处理后的数据集；预处理的方法如下：按照五元组分割流量数据，得到单条数据流的集合；提取单条数据流的集合中的流量统计特征，对非数值的流量统计特征进行独热编码；使用自适应综合过采样算法实现数据增强，使用主成分分析法实现数据降维；
[0010]S2：构建基于注意力机制的僵尸网络检测模型，根据预处理后的数据集进行训练；
[0011]S3：捕获网络数据流，使用训练后的僵尸网络检测模型判断捕获的网络数据流是否来自僵尸网络。
[0012]本专利技术的工作原理如下：
[0013]通过五元组对数据集的流量数据进行分割，通过自适应综合过采样算法、主成分分析法对数据集进行预处理，构建基于注意力机制的僵尸网络检测模型，通过预处理后的数据集对网络检测模型进行训练，使用训练后的僵尸网络检测模型判断捕获的网络数据流是否来自僵尸网络。
[0014]优选地，构建僵尸网络检测模型进行训练的方法如下：
[0015]将处理后的数据集分为训练集和测试集，其中，所述的训练集包括N种僵尸网络流量；所述的测试集包括M种僵尸网络流量；M大于N，且N、M为正整数；
[0016]随机初始化网络中参数，僵尸网络检测模型的一轮迭代训练由一次前向传播和一次反向传播构成；
[0017]所述的前向传播过程如下：训练集经过整个僵尸网络检测模型逐层传递得到对应的特征值，得到预测结构；将实际结果和预测结果作为交叉熵损失函数的输入，计算实际结果与预测结果的误差，得到损失值；
[0018]所述的反向传播过程如下：基于得到的损失值计算僵尸网络检测模型各个参数的梯度，根据对应的梯度对僵尸网络检测模型的各个参数进行优化更新；
[0019]经过多轮迭代训练得到待测试的僵尸网络检测模型，将测试集输入待测试的僵尸网络检测模型进行测试，检测僵尸网络检测模型的准确率；若准确率小于阈值，则进行训练，若准确率大于阈值，则进行下一步；
[0020]所述的交叉熵损失函数公式如下：
[0021][0022]其中，Loss表示交叉熵损失函数，N表示样本数量，y
i
表示样本真实标签，表示样本预测标签。
[0023]优选地，所述的五元组包括源IP，源端口，目的IP，目的端口，通信协议。
[0024]优选地，所述的自适应综合过采样算法的步骤如下：
[0025]S201：计算少数类样本与多数类样本的比值d；
[0026][0027]式中，m
s
表示少数类样本的数量，m
l
表示多数类样本的数量；
[0028]S202：计算要生成的少数类样本的总数G；
[0029]G＝(m
l
‑
m
s
)
×
β
[0030]式中，β是少数类样本与多数类样本的比例；β＝1表示表示自适应综合过采样算法执行后得到少数类样本与多数类样本完全平衡的数据集；
[0031]S203：对少数类样本使用欧式距离计算k个邻居，Δ
i
为k个邻居中属于多数类样本的数目，计算在每个特定的邻域中多数类样本的占比r
i
；
[0032][0033]S204：将r
i
值做归一化处理，使所有r
i
值之和等于1；
[0034][0035][0036]S205：对每个少数类样本计算合成样本的数目g
i
；
[0037][0038]由于r
i
在以多数类样本为主的邻域中值较高，因此将为这些邻域生成更多的合本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于注意力机制的僵尸网络检测方法，其特征在于，步骤如下：S1：获取数据集，对数据集进行预处理，得到预处理后的数据集；预处理的方法如下：按照五元组分割流量数据，得到单条数据流的集合；提取单条数据流的集合中的流量统计特征，对非数值的流量统计特征进行独热编码；使用自适应综合过采样算法实现数据增强，使用主成分分析法实现数据降维；S2：构建基于注意力机制的僵尸网络检测模型，根据预处理后的数据集进行训练；S3：捕获网络数据流，使用训练后的僵尸网络检测模型判断捕获的网络数据流是否来自僵尸网络。2.根据权利要求1所述的一种基于注意力机制的僵尸网络检测方法，其特征在于，构建的僵尸网络检测模型进行训练的方法如下：将处理后的数据集分为训练集和测试集，其中，所述的训练集包括N种僵尸网络流量；所述的测试集包括M种僵尸网络流量；M大于N，且N、M为正整数；随机初始化网络中参数，僵尸网络检测模型的一轮迭代训练由一次前向传播和一次反向传播构成；所述的前向传播过程如下：训练集经过整个僵尸网络检测模型逐层传递得到对应的特征值，得到预测结构；将实际结果和预测结果作为交叉熵损失函数的输入，计算实际结果与预测结果的误差，得到损失值；所述的反向传播过程如下：基于得到的损失值计算僵尸网络检测模型各个参数的梯度，根据对应的梯度对僵尸网络检测模型的各个参数进行优化更新；经过多轮迭代训练得到待测试的僵尸网络检测模型，将测试集输入待测试的僵尸网络检测模型进行测试，检测僵尸网络检测模型的准确率；若准确率小于阈值，则进行训练，若准确率大于阈值，则进行下一步；所述的交叉熵损失函数公式如下：其中，Loss表示交叉熵损失函数，N表示样本数量，y
i
表示样本真实标签，表示样本预测标签。3.根据权利要求1所述的一种基于注意力机制的僵尸网络检测方法，其特征在于，所述的五元组包括源IP，源端口，目的IP，目的端口，通信协议。4.根据权利要求1所述的一种基于注意力机制的僵尸网络检测方法，其特征在于，所述的自适应综合过采样算法的步骤如下：S201：计算少数类样本与多数类样本的比值d；式中，m
s
表示少数类样本的数量，m
l
表示多数类样本的数量；S202：计算要生成的少数类样本的总数G；G＝(m
l
‑
m
s
)
×
β式中，β是少数类样本与多数类样本的比例；β＝1表示自适应综合过采样算法执行后得
到少数类样本与多数类样本完全平衡的数据集；S203：对少数类样本使用欧式距离计算k个邻居，Δ
i
为k个邻居中属于多数类样本的数目，计算在每个特定的邻域中多数类样本的占比r
i
；S204：将r
i
值做归一化处理，使所有r
i
值之和等于1；值之和等于1；S205：对每个少数类样本计算合成样本的数目g
i
；由于r
i
在以多数类样本为主的邻域中值较高，因此将为这些邻域生成更多的合成的少数类样本；S206：生成合成的少数类样本s
i
；s
i
＝x
i
+(x
zi
‑
x
i
)
×
λ式中，λ为随机数且满足λ∈[0,1]；x
i
表示当前的少数类样本，x
zi
表示k邻域内的随机少数类样本。5.根据权利要求4所述的一种基于注意力机制的僵尸网络检测方法，其特征在于，所述的主成分分析法的步骤如下：S211：使用min
‑
max方法对特征向量进行标准化，使所有的数据分布在[0,1]，计算公式：式中，X为原始特征数据，X
max
为特征标准化前的最大值，X
min
为特征标准化前的最小值；S212：计算数据集中特征的协方差矩阵；S213：运行协方差矩阵的特征方程，提取出所有特征值，根据对应的特征值的大小，将特征向量按递减顺序排列，记作λ1>λ2>...>λ
n
，根据特征值求解出特征向量，记作w1,w2,...,w
n
，其中特征方程如下：R
‑
λE＝0S214：提取累计贡献率在80％
‑
95％之间特征值相对应的k个主成分，累计贡献率计算公式：最终得到降维后的特征矩阵W＝(w1,w2,...,w
k
)。6.根据权利要求1所述的一种基于注意力机制的僵尸...

【专利技术属性】
技术研发人员：凌捷，杨晖智，罗玉，陈家辉，
申请(专利权)人：广东工业大学，
类型：发明
国别省市：