[发明专利]一种基于深度嵌入的未知恶意流量主动检测系统及方法

权利要求书

1.一种基于深度嵌入的未知恶意流量主动检测系统，其特征在于，包括：预处理模块、深度嵌入模块、最优边界搜索模块和检测模块；

预处理模块：将各个应用产生的长度不一的网络流分别表示为固定大小的流矩阵，以满足深度嵌入模块中孪生卷积神经网络SCNN(Siamese Convolutional Neural Network，SCNN)的输入格式要求；将经过预处理得到的满足输入格式要求的流矩阵称为网络流样本，其中，每个应用产生的网络流对应一个类别，不同应用产生的网络流属于不同的类别，而SCNN则由两个共享网络权重参数的完全相同的卷积神经网络(CNN)组成；

深度嵌入模块：将已收集的所有应用产生的网络流样本作为训练集，在训练阶段，将训练集中的网络流样本作为输入，通过使用对比损失函数(contrastive loss)训练SCNN来学习一种非线性映射，使得在非线性映射后的嵌入空间下，同一个应用产生的网络流分布更加紧凑，即欧式距离更小，不同应用产生的网络流分布更加离散，即欧式距离更大，其中，非线性映射由训练好的SCNN中的CNN所表示；训练完成后，使用训练好的CNN将训练集中的网络流样本映射到嵌入空间下；在测试阶段，使用训练好的CNN将待识别的网络流样本映射到嵌入空间下；

最优边界搜索模块：最优边界搜索模块通过在嵌入空间下为训练集中各个已知类别即训练集中已包含的类别的网络流寻找最优分类超平面来构建分类器C，具体过程为：首先，对于训练集中的每个已知类别，为其寻找一个分类超球面；然后，以训练集中该类所包含的网络流样本为正类，训练集中其他的不属于该类的网络流样本为负类，利用SVM算法训练二值分类器得到相应的SVM分类面；接着，使用得到的SVM分类面来对上述分类超球面进行约束，进而得到针对该类别的最优分类超平面；最后，基于得到的所有已知类别的最优分类超平面来构建分类器，所述分类器由全部已知类别的分类超平面组成；

检测模块：在嵌入空间下，基于最优边界搜索模块得到的分类器，判断待识别的网络流样本是否来自未知的恶意应用。

2.根据权利要求1所述的基于深度嵌入的未知恶意流量主动检测系统，其特征在于：所述预处理模块具体处理流程如下：

(1)所述网络流为具有相同IP五元组源IP，源端口，目的IP，目的端口，传输层协议的一组连续的数据包；对于基于tcp连接的网络流来说，前3个数据包是相同的用来建立tcp连接的握手数据包，因此若网络流长度即，包含的数据包个数小于4，则丢弃，否则跳转至步骤(2)；

(2)截取每条网络流前n个数据包和每个数据包的前m个字节，将每条网络流表示为特征向量；优选截取网络流的前32个数据包，并且对于每个数据包，截取从传输层头开始的512个字节，若网络流长度小于32或者IP包长度小于512，则用0填充，将网络流表示成大小为32*512的矩阵；

(3)将步骤(2)中所得矩阵的每个元素除以255来对该矩阵进行归一化处理；

(4)将步骤(3)中所得矩阵大小重新调整为128*128；

经过以上预处理过程，每条网络流被表示为了大小为128*128的流矩阵。