[发明专利]一种基于深度学习的加密型恶意流量检测系统和方法

说明书

本发明公开了一种基于隐马尔科夫链的加密型恶意流量检测系统，涉及计算机网络安全领域的加密型恶意流量检测领域，包括数据收集模块、预处理模块、指纹生成模块、指纹库、评估模块，并依次连接；数据收集模块使用网络嗅探工具收集流量样本，通过应用监控程序关联流量样本与进程；预处理模块把研究对象设定为每个进程及其对应的通信信息，把研究对象的网络流收集到一起；指纹生成模块对流量样本进行序列化，传入隐马尔科夫模型，生成指纹；指纹经处理后存储在指纹库中；评估模块分析指纹特征，找出异常指纹。本发明针对加密流量的移动互联网恶意软件检测技术，准确率高，误报率低，实现了高效准确警报拦截加密恶意流量，保护移动互联网用户安全。

技术领域

本发明涉及计算机网络安全领域的加密型恶意流量检测领域，尤其涉及一种基于深度学习的加密型恶意流量检测系统和方法。

背景技术

随着4G网络的普及，移动上网已经成为人们上网的一个重要方式。根据ZenithMedia研究显示，2018年移动互联网流量占互联网流量的比例高达80％。移动互联网应用已经在吃、穿、住、行等众多方面，成为了人们生活中不可或缺的一部分。我国目前正积极推进第五代移动通信(5G)和超宽带关键技术的研究，并启动了5G的商用试点，在未来，移动网络流量将成为互联网上网的主流方式。然而目前移动设备操作系统及移动互联网应用的漏洞百出，移动互联网通信安全的问题日益凸显，各种恶意软件造成的隐私窃取、网络金融诈骗等安全事件时有发生。为此，网络传输广泛采用了SSL这样的加密传输协议以增强安全防御。报告显示截止2018年12月，半数的在线流量均被加密，而且加密流量的比例趋势是越来越高。流量加密固然保护了数据的隐私和安全，然而也给恶意软件提供了藏身之所，让不法分子有了可乘之机。加密能够像隐藏其他信息一样隐藏恶意软件(如僵尸网络、木马和病毒等)，从而为恶意软件制造者利用，以逃避当前的网络安全审计。Gartner预测到2020年前，有半数的恶意威胁将通过加密协议传送恶意软件。当前的网络流量检测技术不能很好应对加密流量中的恶意软件检测，从而将资产的安全风险暴露在外，因此针对加密流量的恶意软件检测技术研究就显得尤为重要。当前各类安全防护产生基本都是针对非加密流量进行检测，而目前快速发展的加密流量趋势，将使得这些设施的防护作用极为降低。

Profile HMM(Profile Hidden Markov Model，剖面隐含马尔可夫模型，简写为PHMM)，在过去主要用于生物序列分析，如同源基因序列搜索，例如，对序列家族成员的新序列进行评估和gnomic序列分类等。PHMM是基于标准的HMM理论。与传统的HMM模型相比，首先，PHMM利用了观察序列中包含的位置信息；其次，PHMM允许零转换，模型可以匹配包含插入或删除的序列。

对比传统的方法，通常另一个关键的假设是他们忽略了背景的流量。但实际上，这是不可能的。根据传统的方法，将“理想”包序列转化为自定义特征向量。如果将模拟的新流量导入到传统模型中，新的流量会将严重影响原始数据包序列特性，从而导致不匹配。

因此，本领域的技术人员致力于开发一种基于隐马尔科夫链的加密型恶意流量检测系统和方法。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何检测加密型恶意流量。具体地说，使用的隐马尔科夫链具有将序列重构的特性，通过将数据传入马尔科夫模型重构特征序列，生成具有流量唯一特性的数据向量(即指纹)，通过指纹相似度匹配，找出异常指纹，即为加密型恶意流量。

为实现上述目的，本发明提供了一种基于隐马尔科夫链的加密型恶意流量检测系统和方法。

本发明提供了一种基于隐马尔科夫链的加密型恶意流量检测系统包括数据收集模块、预处理模块、指纹生成模块、指纹库、评估模块，并依次连接，所述数据收集模块使用网络嗅探工具收集流量样本，通过应用监控程序关联流量样本与进程；所述预处理模块把研究对象设定为每个进程及其对应的通信信息，把所述研究对象的网络流收集到一起；所述指纹生成模块对所述流量样本进行序列化，传入隐马尔科夫模型，生成流量指纹；所述指纹经处理后存储在所述指纹库中；所述评估模块分析所述指纹特征，找出异常指纹。