[发明专利]基于深度学习的加密恶意流量检测及攻击识别方法

权利要求书

1.基于深度学习的加密恶意流量检测及攻击识别方法，其特征在于，它包括如下步骤：

S1：物联网威胁感知终端实时采集工业物联网中物联网设备所产生的网络流量；

S2：将物联网威胁感知终端所采集到的网络流量，发送到物联网威胁感知分析中心中，通过恶意加密流量检测模型和恶意加密流量攻击识别模型对网络流量进行识别并将识别结果发送到物联网安全管理平台；

其中，通过恶意加密流量检测模型先对加密正常数据集进行单分类器训练，然后再将加密恶意数据集放入单类分类器中识别，识别出非正常加密流量，重新判断为加密恶意数据，再将识别后的加密恶意数据集和加密正常数据集组成新的数据集，进行二分类训练；

所述恶意加密流量攻击识别模型选取正常流量数据集和恶意流量数据集，将数据集中未被加密的网络流量过滤掉，对加密网络流量的数据包的时间序列特征进行提取，并建立恶意加密流量攻击指纹库；将数据集分为测试数据集和训练数据集，将训练数据集输入到GRU-DNN神经网络模型中，然后通过模型训练结果与已知识别结果进行匹配优化，调整模型参数；

S3：物联网安全管理平台，通过识别结果和网络流量信息形成网络攻击面，可视化展示攻击源对网络造成的影响。

2.如权利要求1所述的基于深度学习的加密恶意流量检测及攻击识别方法，其特征在于，所述单分类器为One-Class-SVM算法。

3.如权利要求1所述的基于深度学习的加密恶意流量检测及攻击识别方法，其特征在于，所述二分类器为Xgboost算法。

4.如权利要求1所述的基于深度学习的加密恶意流量检测及攻击识别方法，其特征在于，步骤S2中，恶意加密流量检测模型和恶意加密流量攻击识别模型检测结果一致，则可判断该网络流量为恶意加密流量；

如果两个结果不一致，其中恶意加密流量检测模型结果为恶意流量，而恶意加密流量攻击识别模型为正常流量，则判断网络流量为未知攻击类型恶意流量，并将该恶意流量存储到恶意流量样本库中；若恶意加密流量攻击识别模型结果为恶意加密流量，恶意加密流量检测模型结果为正常，判断为恶意加密流量。