[发明专利]一种基于并联神经网络的僵尸网络流量检测方法有效
| 申请号: | 202110649454.1 | 申请日: | 2021-06-10 |
| 公开(公告)号: | CN113364787B | 公开(公告)日: | 2023-08-01 |
| 发明(设计)人: | 黄杰;刘玉超 | 申请(专利权)人: | 东南大学 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L41/142;H04L41/16;G06F18/241;G06F18/2415;G06N3/0464;G06N3/047;G06N3/08 |
| 代理公司: | 南京众联专利代理有限公司 32206 | 代理人: | 薛雨妍 |
| 地址: | 210096 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 并联 神经网络 僵尸 网络流量 检测 方法 | ||
1.一种基于并联神经网络的僵尸网络流量检测方法,其特征在于:
该方法包括以下步骤:
S1:将原始网络流量pcap文件划分为多个网络流;
S2:进行对网络流进行预处理转化成两种神经网络的输入格式;
S3:利用卷积神经网络提取网络流灰度图的空间特征,输出10维特征向量;
S4:利用门控循环单元网络提取网络流序列的时序特征,输出10维向量;
S5:将两种神经网络所提取的特征进行融合;
S6:通过softmax分类器,进行模型训练,输出僵尸流量检测模型;
S7:将捕获的目标网络的流量数据经预处理后,输入模型完成僵尸网络流量的检测;
所述S1具体为:
定义p=(xp,lp,tp),xp=src_ip,src_port,dest_ip,dest_port,protocol,表示数据分组传输五元组,由源IP、源端口、目的IP、目的端口、传输协议组成;lp表示该数据分组的字节大小;tp表示数据分组发送的时间;这里p表示一个数据包;那么根据定义,原始数据集pcap文件可表示为多个数据分组的集合;所有具有相同五元组的数据包按照发送时间顺序排列组成的集合成为网络流,定义P={p1=(x1,l1,t1),…,pi=(xi,li,ti)},其中x1=…=xi表示同一个网络流中的数据包拥有相同的五元组;t1…ti表示网络流中数组分组发送的先后顺序;P表示一条网络流;基于以上定义,根据数据包的传输五元组将多个数据包聚合到一条网络流中,把原始流量pcap文件以网络流为单位进行划分;
所述S2具体为:
S2.1:在时域特征学习之前,需要对数据进行规范化处理,也就是将数据转化成符合GRU网络输入的统一格式;截取网络流中前8个数组分组的前100个字节,网络连接信息大多蕴藏在前几个数组分组的前几十个字节中,这样做的目的也是尽可能地保留节点间通信的网络连接的原始信息,如果截取的数据分组个数不够或字节数不足,则进行补0x00处理,
S2.2:在进行空域特征学习前,需要对网络流进行规范化处理,也就是将数据转化成符合CNN网络输入的统一格式;取网络流的前M个字节,其中M=N×N,N∈N*,本文取N=32,也就是说截取网络流的前1024B,将其转化成32×32的二维灰度图片,若不够1024B,则进行补0x00处理;
所述S3具体为:根据S2中数据预处理所得到的GRU网络的输入数据,输入到GRU网络中进行时域特征的提取;GRU具体网络结构各层参数及功能具体是:
(1)数据规范化层:首先从每个网络流中的前8个数据分组中,提取前100字节的数据,并把每个字节转成十进制数组成100维向量,即每个数据分组p=(d1,d2,…,di),其中且0≤di≤255;数据规范化是将特征向量的每一个分量值都压缩在(0,1)范围内,把有量纲表达式转变为无量纲表达式,选取最值规范化,计算公式如式为其中dmin=0,dmax=255,代入公式中,也就是di/255;规范化完成后,每个网络流中有8个100维的特征矩阵;
(2)GRU层G1:由128个GRU单元组成,输入为数据字节经过归一化的特征向量矩阵,输出为128维向量;
(3)全连接层D1:由128个神经元组成,输入为G1层的高维特征向量序列,输出为128维向量序列;
(4)GRU层G2:由64个GRU单元组成,输入为128维向量序列,输出为64维向量;
(5)全连接层D2:由10个神经元组成,最终输出10维特征向量;
所述S4具体为:根据S2中数据预处理所得到的CNN网络的输入数据,输入到CNN网络中进行空域特征的提取;CNN具体网络结构各层参数及功能具体是:
(1)卷积层C1:该层使用64个尺寸为3×3的过滤器,卷积步长设置为1,并且设置padding属性为same,也就是说经过卷积层C1后生成了64个尺寸为32×32的特征图;
(2)最大池化层M1:该层使用尺寸为2×2的最大化池对C1层输出的特征图进行降维压缩,也就对每个特征图以步长为2大小为2×2过滤,每次取池中4个像素值的最大值;经过该层后,特征图的尺寸降为原来一半为16×16,但输出深度保持不变,即有64张尺寸为16×16的特征图;
(3)卷积层C2:该层使用64个尺寸为3×3的过滤器,卷积步长为1,padding设置为valid,即不对输入图像进行填充操作;经过该层后,生成64张大小为14×14的特征图;
(4)最大池化层M2:该层使用尺寸为2×2的最大化池对C2层输出的特征图进行降维压缩,也就对每个特征图以步长为2大小为2×2过滤,每次取池中4个像素值的最大值;经过该层后,特征图的尺寸降为原来一半为7×7,但输出深度保持不变,即有64张尺寸为7×7的特征图;
(5)卷积层C3:该层使用128个尺寸为3×3的过滤器,卷积步长为1,padding设置为valid,即不对输入图像进行填充操作;经过该层后,生成128张大小为3×3的特征图;
(6)数据压平层F1:由于卷积层的数据无法直连到全连接层,该层的主要目的是卷积层到全连接层的过渡,具体是将C3层数据压为1行,生成1152维特征向量;
(7)全连接层D1:该层使用512个神经元,与C3层组成全连接结构,主要对特征进行重新拟合,减少特征信息的丢失;经过该层后,输出512维特征向量;
(8)输出层D2:该层使用10个神经元,本质是一个全连接层,为网络输出做准备;经过该层后,输出10维特征向量。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于东南大学,未经东南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110649454.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种铈锆氧化物及其制备方法和用途
- 下一篇:一种高频能量器械及其使用方法
