[发明专利]一种支持变长输入的加密恶意流量检测装置和方法

说明书

本发明属于网络安全技术领域，公开一种支持变长输入的加密恶意流量检测装置和方法，该装置包括：网络流量捕获模块，数据预处理模块，1维卷积神经网络模块，金字塔池化层模块，全连接层模块，分类器模块及恶意流量处理模块。本发明通过引入金字塔池化机制，使检测机制拥有处理可变长网络流量数据的能力，即任意维度的网络流量数据输入到该检测模型中，均可以实施有效检测；因为本发明不需要对流量数据做额外的处理，所采用的数据是原始流量数据，因此，对流量数据的反映更加完备、准确，不存在损害、遗失网络数据流量特征的问题。

技术领域

本发明属于网络安全技术领域，尤其涉及一种支持变长输入的加密恶意流量检测装置和方法。

背景技术

随着信息通信技术的飞速发展，网络安全问题也日益突显。为保护通信安全，各类加密技术被广泛应用于通信过程。然而，流量加密也给不法分子以可乘之机，攻击者利用加密技术隐藏恶意企图，规避检测系统，实施隐蔽攻击。

由于隐私保护的要求，目前对加密流量的处理方法聚焦于不解密进行恶意流量检测，而机器学习、深度学习等方法以其优越的分类识别性能受到越来越多企业和技术人员的青睐。知名网络安全公司思科(BLAKE A,DAVID M.Identifying encrypted malwaretraffic with contextual flow data[C]//ACM Workshop on Artificial Intelligenceand Security(AISec)2016:35-46.)、观成科技(GUANCHENG TECHNOLOGY.A report on thecountry's first detection engine for encrypted traffic[EB].)分别采用逻辑回归与随机森林等方法进行加密恶意流量检测。

现有检测方法通常要求输入数据为固定维度，因此需要对流量数据进行额外预处理，方法主要有两种。一种是应用特征工程提取数据流量特征，进而利用特征数据进行加密恶意流量检测(TORROLEDO I,CAMACHO L D,BAHNSEN AC.Hunting malicious TLScertificates with deep neural networks[C]//11th ACM WorkshopArtif.Intell.Secur.2018:64-73.)；另一种是将原始数据分割切片，截取固定输入维度(不足的以零补齐)，而后采用深度学习算法检测加密的恶意流量(WANG W,ZHU M,WANG J,et al.End-to-end encrypted traffic classification with one-dimensionalconvolution neural net-works[C]//IEEE Int.Conf.Intell.Security Informat.2017:43-48.)。

应用特征工程提取数据流量特征需要对特征的完备性和冗余度进行分析，且耗费相当的人力，相对比较烦琐；对原始流量切片的方法尽管省却了复杂的特征工程，但在切片过程中，需要对原始数据进行截断或者补零操作，一定程度上损害了网络流量数据的初始特征。两种方法的核心是将变长的网络流量数据变换为固定长度，以匹配检测模型的输入维度要求，这个过程中不可避免的损失掉一些流量特征，进而影响加密恶意流量的检测精度。

发明内容

本发明针对应用特征工程提取数据流量特征及对原始流量切片的方法的核心是将变长的网络流量数据变换为固定长度，以匹配检测模型的输入维度要求，这个过程中不可避免的损失掉一些流量特征，进而影响加密恶意流量的检测精度的问题，提出一种支持变长输入的加密恶意流量检测装置和方法。

为了实现上述目的，本发明采用以下技术方案：

一种支持变长输入的加密恶意流量检测装置，包括：网络流量捕获模块，数据预处理模块，1维卷积神经网络模块，金字塔池化层模块，全连接层模块，分类器模块及恶意流量处理模块；