[发明专利]一种基于深度学习的恶意HTTP流量检测系统和方法

说明书

本发明公开了一种基于深度学习的恶意HTTP流量检测系统和方法，涉及信息安全技术领域，包括域分割模块、主动标签矫正模块、多域特征提取模块，所述域分割模块将不同类别的字段分割成具有特定方法进行域分割的统一格式；所述主动标签矫正模块的主动标签矫正算法对标签进行矫正后存入数据库；所述多域特征提取模块挖掘HTTP协议中不同类型域之间的深层关系，通过所述主动标签矫正模块得到的数据进行训练学习，得到可信模型，通过本方案的实施，解决了如何利用字段交互和选择有效字段来描述HTTP流量的问题，减少了无效信息的负面影响而且突出了最重要的字段，同时也提高了框架的可解释性。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于深度学习的恶意HTTP流量检测系统和方法。

背景技术

超文本传输协议(HTTP)是实现桌面和移动网站以及应用程序的主要协议。由于HTTP的普及和广泛的应用，使攻击者更容易隐藏在大量的HTTP流量中，它已成为非法活动的主要媒体。

现有的恶意HTTP流量检测方法可以根据功能的设计方式大致分为两类:(1)手动设计方法:使用基于统计的多域相关特征集检测异常。为了利用结构信息，Rafiqu设计了一个消息树，仅通过基于集群的方法从恶意流量生成签名。Richard被动地生成从多字段中提取的指纹，以描述应用程序的网络行为。由于单个字段在HTTP中也起着关键作用，例如统一资源定位符(URL)。Zhao等人专注于提取词汇特征以识别恶意URL。同样，Zhang等人通过挖掘状态代码的错误模式来检测恶意流量，状态代码是HTTP的特定字段。(2)自动学习方法:与URL相比，网络流量数据也遭受标签噪声和非平稳性的不可避免的困难，使得自学习功能容易受到标签的攻击。因此，现有的自动学习方法主要集中在恶意URL的检测上。应用一组卷积神经网络(CNN)来模拟URL String的字符和单词，并在一个联合优化的框架中使用嵌入层。这些传统技术已成功识别网络中的恶意流量。

但是，这些技术存在两个问题。首先，手动设计功能的成功是有限的，因为有效的特征挖掘和选择过程是代价高昂的，并且在不同的应用中确定最有用的特征是不灵活的。例如从HTTP/1.0版本升级到HTTP/1.1或HTTP/1.1升级到HTTP/2.0，研究人员不得不寻求新功能。其次，对于现有的自学习功能，即使对于大多数手动设计的功能，也仅关注单个字段或多字段内容，字段之间的底层触发关系(如URL和引用之间的关系，版本和方法)不受重视。

因此，本领域的技术人员致力于开发一种基于深度学习的恶意HTTP流量检测系统和方法，解决了如何利用字段交互和选择有效字段来描述HTTP流量的问题。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何实现特征工程代价小、特征挖掘深入的恶意HTTP流量检测系统。

为了克服上述难点，我们将恶意网络流量检测问题从无功能工程角度重新定义为主动标签矫正以删除噪声标签和多域特征提取以自动发现基础特征的步骤组合。

为实现上述目的，本发明提供了一种基于深度学习的恶意HTTP流量检测系统，包括域分割模块、主动标签矫正模块、多域特征提取模块，域分割模块将不同类别的字段分割成具有特定方法进行域分割的统一格式；主动标签矫正模块的主动标签矫正算法对标签进行矫正后存入数据库；多域特征提取模块挖掘HTTP协议中不同类型域之间的深层关系，通过主动标签矫正模块得到的数据进行训练学习，得到可信模型。

进一步的，域分割模块将不同的字段分为两类：结构域和受限域，根据这两个类别对每个字段进行预处理。

进一步的，多域特征提取模块包括注意力模块和特征交叉模块，特征交叉模块的多层交叉网络来自动搜索有效特征，注意力模块的注意网络来减轻琐碎的信息，并自动发现不同领域的重要部分并将它们聚集在一起。

进一步的，恶意HTTP流量监测系统包括报告生成模块，报告生成模块被配置成结合注意力模块中的信息生成判定报告。