[发明专利]一种用于工控蜜罐的恶意行为识别方法

权利要求书

1.一种用于工控蜜罐的恶意行为识别方法，其特征在于，包括步骤如下：

步骤1，数据预处理；

(1)通过所搭建的工控蜜罐捕获使用工控协议的各类恶意网络流量，并对网络数据流分割为数据流单元，每一数据流单元为单位时间内具有相同五元组的数据包；所述数据包中包含源地址、目的地址、源端口、目的端口、协议；

(2)将数据流单元中的应用层协议数据部分提取出来，并设置最大数据流长度为512，若数据流长度超过512则丢弃超过部分的数据包，若数据流长度不足则填0补全该数据流单元；

步骤2，训练阶段；

将步骤1所捕获的网络流量预处理完成后建立网络流字典，数值为0-255，其中0代表0x00，255代表0xff；随后将样本数据输入神经网络中进行训练；

所述神经网络结构为一维CNN融合双向GRU的形式，首先采用一维卷积神经网络对数据流单元的局部特征进行自动提取，随后采用双向GRU神经网络获取其长期依赖关系，并在其中加入了Attention机制，为每个字节赋予不同的权重，以增加识别的准确率，完成对恶意行为的分类；

步骤3，步骤2神经网络的输出为一个概率向量，通过计算分类正确样本的概率向量与各类别中心点的欧式距离确定拒绝阈值，具体公式如下：

其中Y_n为n类别的阈值，m为第n类别中分类正确的总数目，p_k为神经网络预测该样本的概率向量，c_n为n类别中心点向量。

2.根据权利要求1所述的一种用于工控蜜罐的恶意行为识别方法，其特征在于，步骤2所述的神经网络的具体结构为：

卷积部分由3个卷积层组成，卷积核大小分别为3、4、5，卷积核个数均为128，随后通过全连接层将局部特征拼接为序列结构，该部分公式如式(1)所示；

其中w为权重，h为卷积核尺寸，x_i:i+h-1为i到i+h-1个字节所组成的数据流向量，b为偏置项，C为局部特征所连接形成的特征矩阵；

在GRU部分由双层双向GRU神经网络组成，其神经元数量均为128个。该部分公式如下：

其中w_z、w_r、w为权重矩阵，h_t为t时刻隐藏层输出值，σ为激活函数，C_t为t时刻GRU的输入值；

通过引入注意力机制为不同字节向量分配不同的权重来区分数据流中各字节的重要性大小，以此提高分类的准确率，注意力机制的相关公式如下：

其中a为学习函数tanh，T为样本长度，h_t为隐藏层输出的特征向量；

最后通过全连接层中的softmax激活函数完成对恶意行为的分类。