【技术实现步骤摘要】
一种基于融合序列的远控木马流量检测方法
[0001]本专利技术属于网络安全
,具体涉及一种基于融合序列的远控木马流量检测方法
。
技术介绍
[0002]远程控制木马是木马病毒中的一种危害性极高的类型,它通过不正当手段获取主机管理员权限,并能够通过网络操控用户主机
。
[0003]当前针对远控木马流量检测技术主要有
1)
基于特征的木马检测方法;
2)
基于行为的木马检测方法;
3)
基于机器学习的木马检测方法
。
[0004]但是基于特征的木马检测方法随着病毒种类增多与加密技术的广泛应用,其检测性能下降明显;基于行为的木马检测方法相比前者有更强的泛化能力,但是该方法前期需要分析大量的数据且依然还会受到数据加密的影响,并且行为检测方法的实时性和准确率仍有待提高
。
[0005]基于机器学习的木马检测方法克服了传统机器学习方法中需要人工设计和选择特征的局限性,但是如何将流量表征为合适的形式输入到深度学习模型成为关键问题,若将流量表征为图像的方式简单直接且能够尽可能地保留原始流量数据,但容易丢失时序信息且数据的维度较高;将流量表征为时间序列可以捕捉到数据的动态变化特征但可能会忽略数据的空间结构,将流量表征为拓扑图可以很好地表示流量数据之间的关联性,但其数据结构过于复杂
。
不同的流量表征形式和多样的深度学习模型结构同样影响着检测的性能
、
效率与泛化能力
。
[000 ...
【技术保护点】
【技术特征摘要】
1.
一种基于融合序列的远控木马流量检测方法,其特征在于:对采集到的原始网络流量数据集进行预处理,包括对流量数据集的会话切分后将流量表征为包长
、
包负载长度
、
包时间间隔所组成的融合序列,筛选出所需要的数据,并通过张量维度调整,将其转换成
Transformer
模型所需要的格式,并将转换后的数据传输至
Transformer
模型中,利用模型中线性嵌入层将输入数据映射到高维空间,再通过
Transformer
模型中的多头自注意力机制来使
Transformer
编码器捕捉数据中长距离依赖关系和复杂模型,最后通过多层迭代,将特征向量输入全连接层映射到目标空间,输出最终预测结果
。2.
根据权利要求1所述的基于融合序列的远控木马流量检测方法,其特征在于:所述原始网络流量数据存储为
PCAP
文件格式,对原始网络流量数据集进行预处理过程为:
(1)
将原始
PCAP
文件切分为不同的会话;
(2)
会话切分完成后,根据部分数据的丢失信息筛选并删除应用层中没有数据的会话;
(3)
对于每个会话,抽取多个数据包的包长序列
、
包负载长度序列
、
包时间间隔序列;
(4)
对每个会话中抽取的三个序列的数据维度进行调整形成统一的融合序列;
(5)
根据序列的类别,将相应的序列数据存放在对应标签命名的文件夹下;经过预处理后,能够移除冗余和无效数据,获取会话的融合序列表征,之后再将处理后的特征序列输入
Transformer
模型中
。3.
根据权利要求1所述的基于融合序列的远控木马流量检测方法,其特征在于:所述
Transformer
模型包括线性嵌入层
、Transformer
编码器层和全连接层
。4.
根据权利要求3所述的基于融合序列的远控木马流量检测方法,其特征在于:
Tr...
【专利技术属性】
技术研发人员:蔡瑞杰,吴丰源,刘明,尹小康,李路凯,李龙飞,刘胜利,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。