【技术实现步骤摘要】
基于时空超图卷积的加密应用程序行为流量检测方法
[0001]本专利技术涉及网络安全领域,具体涉及一种基于时空超图卷积的加密应用程序行为流量检测方法。
技术介绍
[0002]随着互联网的普及和信息技术的快速发展,移动手机和PC已经成为人们生活中不可或缺的一部分,然而手机和电脑中的应用程序参差不齐,包含着大量的恶意应用程序行为,诸如攻击、窃取数据等。因此亟待需要一种方法来检测应用程序的行为,来确保网络安全。
[0003]检测应用程序行为一般是从获取相关的加密应用程序行为流量开始,然后再使用相应的方法来检测流量,进而分析出是什么应用程序行为。目前流量识别技术主要有基于端口的方法、基于负载的方法、基于主机行为的方法,最近几年比较流行的是基于深度学习的方法。对于基于端口的方法来说,随着动态端口、端口伪装、端口随机等技术的使用,应用协议的日趋复杂和网络应用的多样化使得该方法很快失效,因此很难使用基于端口的技术来进行分类。随着加密技术的发展,大部分网络流量都采用了加密技术,所以当载荷进行加密后,基于负载的方法也变的失效。基于主机行为的方法一般来说识别精度较低,识别粒度较粗,难以满足对应用程序行为流量的检测。对于深度学习的流量识别方法,大部分方法存在着泛化能力较差、精度较低等问题,大部分模型没有考虑到流与流之间存在着丰富的多元关系。
技术实现思路
[0004]本专利技术为了克服以上技术的不足,提供了一种能够实现加密应用程序流量检测的高精度和鲁棒性,大大提高了加密流量检测模型的泛化能力的方法。
[000...
【技术保护点】
【技术特征摘要】
1.一种基于时空超图卷积的加密应用程序行为流量检测方法,其特征在于,包括如下步骤:(a)使用Wireshark捕获加密应用程序行为流量数据;(b)使用CICFlowMeter从pcap流量数据集Q中抽取每条流的原始特征数据;(c)对原始特征数据进行预处理,得到预处理后的特征数据,将特征数据输入到GRU网络中,输出得到加密应用程序行为流时间特征数据,将特征数据输入到1DCNN网络中,输出得到加密应用程序行为流量空间特征;(d)将加密应用程序行为流时间特征数据和加密应用程序行为流量空间特征进行融合构建超图,将超图划分成个子超图后输入到改进的超图卷积模块中,得到融合后的超图特征向量数据;(e)将融合后的超图特征向量数据输入到全连接层中,通过公式计算得到中间数据;(f)将中间数据输入到SoftMax函数中,输出得到每个类别的概率分布,完成HG
‑
ETC模型结构的建立,概率分布为[0
‑
1]的概率部分,取概率分布中最大值的索引值作为对应的加密应用程序行为类别。2.根据权利要求1所述的基于时空超图卷积的加密应用程序行为流量检测方法,其特征在于,步骤(a)包括如下步骤:(a
‑
1)使用Appium模拟用户进行App应用程序行为操作;(a
‑
2)使用Wireshark同步抓包,收集App应用程序行为的流量数据,流量数据的格式为pcap格式,将数据进行标注,标注完成后,形成原始pcap流量数据集Q。3.根据权利要求1所述的基于时空超图卷积的加密应用程序行为流量检测方法,其特征在于:步骤(a
‑
1)中使用Appium模拟用户进行App应用程序行为操作时每个应用程序行为操作持续时间大于等于30分钟,应用程序行为为浏览视频或播放音乐或登陆。4.根据权利要求1所述的基于时空超图卷积的加密应用程序行为流量检测方法,其特征在于,步骤(b)中获得原始特征数据的方法为:将pcap流量数据集Q中的pcap数据输入到CICFlowMeter中,得到对应的包含关于流的特征信息的csv文件格式的原始特征数据,,其中为原始特征数据中第行向量,,为原始特征数据中行数,为矩阵转置。5.根据权利要求1所述的基于时空超图卷积的加密应用程序行为流量检测方法,其特征在于,步骤(c)包括如下步骤:(c
‑
1)将原始特征数据中的流ID、源IP、目的IP、时间戳去除;(c
‑
2)将原始特征数据中的空值删除,将原始特征数据中的inf值和NAN值进行补0操作;(c
‑
3)对原始特征数据进行MinMaxScaler缩放,得到预处理后的特征数据,
,其中为预处理后的特征数据中第行向量,;(c
‑
4)将预处理后的特征数据输入到GRU网络中,输出得到加密应用程序行为流时间特征数据,,其中为时间特征数据中第行向量,;(c
‑
5)将预处理后的...
【专利技术属性】
技术研发人员:韩晓晖,刘伟华,左文波,罗雪姣,刘洋,崔斌,
申请(专利权)人:齐鲁工业大学山东省科学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。