僵尸网络流量检测方法、设备及存储介质

本发明属于网络安全，尤其涉及一种基于一维卷积神经网络的僵尸网络流量检测方法、设备及存储介质。

背景技术：

1、随着近年来互联网的快速发展，人们使用的网络设备和家庭中物联网设备的数据急剧上升，这在给人们生活带来便利的同时也带来许多安全问题，其中较为典型的有僵尸网络。近年来僵尸网络安全事件频发，威胁程度日益增加，对于僵尸网络流量的检测和识别工作，僵尸网络跨场景检测存在性能下降的问题。

2、僵尸网络botnet是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络通过命令和控制(command and control,c&c)服务器来远程控制地理上不同的主机或者设备的集群。僵尸网络通常被用于各种恶意活动，如发送垃圾邮件、发起分布式拒绝服务(distributed denial of service attack,ddos)攻击、广告欺诈和身份盗窃等。僵尸网络通过发起零日攻击、电子邮件附件等各种手段对互联网上脆弱的、易受攻击的设备进行破解。一旦这些设备被破解，僵尸网络将为其安装一个后门，并且连接到c&c服务器，使这些设备成为僵尸网络的一部分；然后，c&c服务器通过向僵尸主机发送指令，从而发起各种恶意活动。与其他恶意软件相比，攻击者利用不知情和无辜用户的计算机或者设备来进行恶意活动，不仅能获得巨大的收益，同时其被检测的概率也更低。

3、目前，多采用基于会话的方式来检测流量，尽管最终僵尸网络检测的准确率较高，但其在预处理过程中，筛除的流量中包含了僵尸网络的扫描流量以及ddos攻击流量等有价值的信息。此外，对频繁变换ip以及端口的僵尸网络流量进行会话重组也是一件极其耗时耗力的事情，这导致了基于会话的方法在数据集庞大的情况下对僵尸网络的检测难以达到检测的实时性。部分有监督工作没有考虑到僵尸网络检测的迁移性表现，僵尸网络不仅家族庞大，且不同环境下的僵尸网络流量会存在一定的差异，例如物联网设备僵尸网络流量和传统僵尸网络流量之间的差别往往会比较大，用某一场景下僵尸网络流量训练好的模型再去测试其他场景的僵尸网络流量会使得原模型性能下降。

技术实现思路

1、本发明的目的在于提供一种僵尸网络流量检测方法、设备及存储介质，实现在无需僵尸网络协议、家族等先验知识的条件下对传统僵尸网络流量和物联网设备僵尸网络流量通用的检测，并且使用迁移学习来提升模型对僵尸网络跨场景检测的性能。

2、本发明是通过如下的技术方案来解决上述技术问题的：一种僵尸网络流量检测方法，包括以下步骤：

3、获取流量数据集，其中所述流量数据集包括僵尸网络流量数据和正常流量数据；

4、对所述流量数据集中的pcap文件进行预处理，得到符合一维卷积神经网络模型输入格式的输入向量；

5、由所述输入向量及与该输入向量对应的类别构成一个样本，由多个样本构成样本数据集；

6、构建一维卷积神经网络模型，利用所述样本数据集对所述一维卷积神经网络模型进行训练，得到初始僵尸网络流量检测模型；

7、确定待检测场景，获取待检测场景中的网络流量数据；

8、对所述网络流量数据进行预处理，得到符合一维卷积神经网络模型输入格式的场景输入向量；

9、标注每个场景输入向量的属性标签，由所述场景输入向量及与该场景输入向量对应的属性标签构成一个场景样本，由多个场景样本构成场景样本数据集；

10、利用所述场景样本数据集对所述初始僵尸网络流量检测模型进行迁移学习训练，得到目标僵尸网络流量检测模型。

11、进一步地，对所述流量数据集中的pcap文件进行预处理，得到符合一维卷积神经网络模型输入格式的输入向量，具体实现过程包括：

12、采用数据包窗口对每个pcap文件进行分割，得到多个pcap小文件，其中每个pcap小文件均包括n个数据包，n为数据包窗口大小；

13、提取每个pcap小文件中每个数据包的前m个字节，由n个数据包的前m个字节生成对应pcap小文件的输入向量。

14、进一步地，当所述数据包的字节数小于m时，采用零进行填充。

15、进一步地，所述一维卷积神经网络包括依次连接的输入层、第一卷积层、第二卷积层、最大池化层、第一全连接层、第二全连接层、第三全连接层、softmax分类层以及输出层。

16、进一步地，所述一维卷积神经网络模型具体训练过程包括：

17、将所述输入向量输入至一维卷积神经网络模型中，得到输出向量；

18、根据所述输出向量和与该输入向量对应的类别计算出损失函数；

19、当损失值大于设定值时，通过优化器对一维卷积神经网络模型中的参数进行调整；

20、当损失值小于等于设定值且达到迭代次数时，得到初始僵尸网络流量检测模型。

21、进一步地，所述优化器为adam优化器。

22、进一步地，在迁移学习训练过程中，所述初始僵尸网络流量检测模型前四层的参数保持不变，仅对全连接层的参数进行调整。

23、基于同一构思，本发明还提供了一种电子设备，所述设备包括：

24、存储器，用于存储计算机程序；

25、处理器，用于执行所述计算机程序时实现如上所述的僵尸网络流量检测方法。

26、基于同一构思，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的僵尸网络流量检测方法。

27、有益效果

28、与现有技术相比，本发明的优点在于：

29、本发明提供的一种僵尸网络流量检测方法，采用数据包窗口对流量数据进行切割，并结合深度学习法对切割后的流量样本进行特征的自动化提取和分类，实现了在无需僵尸网络协议、家族等先验知识的条件下对传统僵尸网络流量和物联网设备僵尸网络流量通用的检测；本发明还利用检测场景的少量样本对模型进行迁移学习训练，显著提高了模型对僵尸网络跨场景检测的性能；本发明方法不仅在传统僵尸网络的检测上有着较高的准确率，而且在跨场景检测的情况下有着良好的表现，实用性强。

技术特征：

1.一种僵尸网络流量检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的僵尸网络流量检测方法，其特征在于，对所述流量数据集中的pcap文件进行预处理，得到符合一维卷积神经网络模型输入格式的输入向量，具体实现过程包括：

3.根据权利要求2所述的僵尸网络流量检测方法，其特征在于，当所述数据包的字节数小于m时，采用零进行填充。

4.根据权利要求1所述的僵尸网络流量检测方法，其特征在于，所述一维卷积神经网络包括依次连接的输入层、第一卷积层、第二卷积层、最大池化层、第一全连接层、第二全连接层、第三全连接层、softmax分类层以及输出层。

5.根据权利要求1所述的僵尸网络流量检测方法，其特征在于，所述一维卷积神经网络模型具体训练过程包括：

6.根据权利要求5所述的僵尸网络流量检测方法，其特征在于，所述优化器为adam优化器。

7.根据权利要求1所述的僵尸网络流量检测方法，其特征在于，在迁移学习训练过程中，所述初始僵尸网络流量检测模型前四层的参数保持不变，仅对全连接层的参数进行调整。

8.一种电子设备，其特征在于，所述设备包括：

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1～7中任一项所述的僵尸网络流量检测方法。

技术总结
本发明公开了一种僵尸网络流量检测方法、设备及存储介质，该方法包括获取流量数据集，对流量数据集中的pcap文件进行预处理，得到输入向量；由输入向量及与该输入向量对应的类别构成样本数据集；构建并训练一维卷积神经网络模型，得到初始僵尸网络流量检测模型；确定待检测场景，获取待检测场景中的网络流量数据；对网络流量数据进行预处理，得到场景输入向量；标注每个场景输入向量的属性标签，由场景输入向量及与该场景输入向量对应的属性标签构成场景样本数据集；对初始僵尸网络流量检测模型进行迁移学习训练，得到目标僵尸网络流量检测模型。本发明实现了在无先验知识的条件下对传统僵尸网络流量通用的检测。

技术研发人员：张士庚,肖凯
受保护的技术使用者：中南大学
技术研发日：
技术公布日：2024/1/16