[发明专利]一种加密恶意流量检测方法、检测系统及计算机设备

说明书

本发明属于恶意流量检测技术领域，公开了一种加密恶意流量检测方法、检测系统及计算机设备，进行网卡流量的监督控制及流量数据包的捕获；进行数据预处理；进行字节维度特征提取；进行数据包维度特征提取；进行分类网络构建；进行告警日志的生成以及传输。本发明提供的CC加密恶意流量检测方法，具体涉及一个针对CC加密恶意流量的深度学习检测模型，CC流量是一类同时利用了加密技术和多阶段攻击方式的流量，本发明的模型具有良好的泛化性能，能够对在训练集之外的攻击指令进行检测。本发明的模型有好的分类性能，能够区分相似度很高的恶意流量类型。

技术领域

本发明属于恶意流量检测技术领域，尤其涉及一种加密恶意流量检测方法、检测系统及计算机设备。

背景技术

目前，恶意流量检测的方法根据使用技术的不同可以分为两大类，一种是基于专家知识的传统检测方法，另一种是基于人工智能算法的检测方法。

传统的检测方法在互联网发展早期对网络安全做出了巨大贡献，现在的入侵检测系统依然包含传统检测方法的模块，但是由于加密流量所占比例的不断增加，对传统检测方法的人工特征提取带来了极大的挑战，同时因为多阶段攻击方式的出现使得传统检测方法大多只能匹配单独数据包内的特征而无法检测数据包序列间连续变化特征的局限性被暴露放大，传统检测方法的效果逐渐下降。高误检率和高漏检率是传统检测方法难以克服的障碍，基于专家知识的手工特征设计也使得传统检测方法对新型攻击软件的防御滞后。

随着人工智能算法在计算机视觉和自然语言处理领域大放异彩，基于人工智能算法的检测方法近年来成为研究重点，其中深度学习强大的特征表达能力对愈发困难的恶意流量特征提取起到了重要作用，端到端的模式省略了手工设计特征的步骤，加快了对新型攻击手段或指令的检测覆盖。但是现有的深度学习的方法存在着天然的弊端：

①深度学习模型的训练需要大量的有效数据来进行学习，数据量过小会导致过拟合；②深度学习模型的泛化能力差，适用环境必须与训练环境数据分布保持一致。

对于流量检测，一种攻击工具的攻击指令有限，即有效的数据量少。同时由于流量数据的低可理解性，缺乏合理且有效的数据增强方式；同时模型泛化能力的不足导致模型对新攻击指令的检测效果下降，即对训练集中包含的攻击指令可以检测而对陌生的攻击指令没有效果，但现实情况下难以获得一种攻击软件所有攻击指令的流量，且攻击软件的变体更新迭代速度较快，对同一种攻击软件的新攻击指令的兼容是十分重要的。

除此之外，现有的模型对流量本身特性的分析不足，仅是将流量检测当作一般的分类问题来考虑，而流量本身有自己的特性，对于多阶段攻击，它的攻击方式包含着通信双方的大量交互行为，现有的深度学习方法并没有意识到上下游流量间的差异性，这导致深度学习方法对多阶段攻击流量监测的效果较差。

因此，设计一种使用较少数量且攻击指令有限的流量进行训练但对同种攻击软件的陌生攻击指令也能进行检测的深度学习模型是一个技术挑战，也是人工智能检测算法落地实践使用的关键。简言之，泛化能力较强的模型可以对一种恶意攻击软件的各种攻击指令都有检测效果，尤其是对不包含在数据集内的攻击指令，一定程度上可以提升对未知种类恶意流量的检测效果。同时，对多阶段攻击流量的检测也是一个难点，对流量特性的合理利用是提升多阶段攻击流量的检测效果的合理方式。因此，亟需一种新的加密恶意流量检测方法及检测系统，以解决现有技术中存在的问题。

通过上述分析，现有技术存在的问题及缺陷为：

(1)由于加密流量所占比例的不断增加，对传统检测方法的人工特征提取带来了极大的挑战，同时因为多阶段攻击方式的出现使得传统检测方法大多只能匹配单独数据包内的特征而无法检测数据包序列间连续变化特征的局限性被暴露放大，传统检测方法的效果逐渐下降。

(2)高误检率和高漏检率是传统检测方法难以克服的障碍，基于专家知识的手工特征设计也使得传统检测方法对新型攻击软件的防御滞后。