[发明专利]基于集成学习的僵尸网络恶意流量分类方法及系统

说明书

本发明涉及一种基于集成学习的僵尸网络恶意流量分类方法及系统，该方法包括：步骤A：将已标注类别的恶意流量数据转换为带类别标签的IDX图像数据，建立恶意流量训练集R；步骤B：构造包含三个深度残差卷积神经网络的初级分类器，构造softmax逻辑回归模型作为次级分类器；步骤C：将训练集R分为R₀和R₁两部分，使用R₀训练初级分类器，提取恶意流量特征向量，并将提取的特征向量添加到R₀中，增强该部分训练集；步骤D：将增强后的训练集与R₁合并，用其训练次级分类器；步骤E：将待判定类别的恶意流量数据转换为IDX图像格式，输入到训练好的次级分类器，输出判定结果。该方法及系统有利于快速、准确地识别恶意流量类别。

技术领域

本发明属于网络安全领域，具体涉及一种基于集成学习的僵尸网络恶意流量分类方法及系统。

背景技术

恶意流量特征提取一直是网络安全领域的难点问题。恶意软件可利用伪装、加密、欺骗、零日漏洞等技术实现行为的深度隐藏且它们可以频繁地变种,这些致使互联网中大量的僵尸网络恶意流量未被发现。由于僵尸主机产生的流量与正常主机产生的网络流量在特征上与有很大差异，通过对网络流量分类识别僵尸网络恶意流量也是检测僵尸网络的主要方向。因此对僵尸网络恶意流量分类投入研究有很重要的意义。

目前有很多种网络流量异常检测方法，如基于统计、聚类、分类、信息熵等等。其中，将网络流量归类至特定的类型是其中很重要的一个方向，从而区分正常和僵尸网络恶意流量，并识别僵尸网络恶意流量类型。网络流量异常检测作为一种有效的网络防护手段，能够检测未知攻击行为，并为网络态势感知提供重要支持，按照使用技术的不同，目前一般的网络流量分类方法可以分为四类：基于端口识别的方法，基于深层包检测的方法，基于统计的方法，以及基于行为的方法。迄今为止，国内外学者基于这四类方向已经提出了很多不同类型的检测方法。但是，目前大多数网络流量分类方法都是基于传统的机器学习方式，分类性能非常依赖于流量特征的设计。

发明内容

本发明的目的在于提供一种基于集成学习的僵尸网络恶意流量分类方法及系统，该方法及系统有利于快速、准确地识别恶意流量类别。

为实现上述目的，本发明采用的技术方案是：一种基于集成学习的僵尸网络恶意流量分类方法，包括以下步骤：

步骤A：将已标注类别的恶意流量数据转换为带类别标签的IDX图像数据，建立恶意流量训练集R；

步骤B：构造包含三个深度残差卷积神经网络的初级分类器，构造softmax逻辑回归模型作为次级分类器；

步骤C：将训练集R分为R₀和R₁两部分，使用R₀训练初级分类器，提取恶意流量特征向量，并将提取的特征向量添加到R₀中，以增强该部分训练集；

步骤D：将增强后的训练集与R₁合并，用其训练次级分类器；

步骤E：将待判定类别的恶意流量数据转换为IDX图像格式，输入到训练好的次级分类器，输出判定结果。

进一步地，所述步骤A具体包括以下步骤：

步骤A1：从已标注类别的恶意流量数据中清除没有应用层数据的数据报文；

步骤A2：对步骤A1处理后的恶意流量数据进行划分，将属于同一TCP会话的恶意流量数据划分为一组，将恶意流量数据中的网络层、传输层、应用层报文信息保存到一个二进制文件中；