[发明专利]异常流量检测装置及其异常流量检测方法

说明书

一种异常流量检测装置及其异常流量检测方法。异常流量检测装置解析一时间区间所撷取的多个封包，以获得各封包的多个流量特征，并基于降维算法，自该等流量特征中选取出至少一关键流量特征。异常流量检测装置将各封包的至少一关键流量特征作为一双向生成式对抗网络的输入，以训练双向生成式对抗网络，而生成用于检测异常流量的一流量辨识模型。

技术领域

本发明是关于一种异常流量检测装置及其异常流量检测方法。具体而言，异常流量检测装置基于降维算法获得封包的至少一关键流量特征，并训练双向生成式对抗网络，以生成用于检测异常流量的一流量辨识模型。

背景技术

随着科技的发展，网络通信的各种应用已充斥于人们的生活中，且人们对于网络通信的需求亦日益增加。因此，网络通信的安全性也随之日益重要。目前关于网络安全的多个研究议题其中之一在于，黑客会通过命令与控制服务器(command-and-control server；C2server)向被僵尸病毒感染的电脑下达指令并加以控制，以攻击特定受害者电脑(例如：企业的服务器)，其攻击方式例如：垃圾信件(SPAM)攻击、点击诈欺(Click Fraud；CF)攻击、端口扫描(Port Scan；PS)攻击、分布式阻断服务(Distributed Denial-of-Service；DDoS)攻击及快速变动(Fast Flux；FF)攻击等。

此外，C2服务器通常会采用因特网中继聊天(Internet Relay Chat；IRC)协议、超文本传输协议(HyperText Transfer Protocol；HTTP)或点对点(Point-to-Point；P2P)网络架构，向被僵尸病毒感染的电脑下达指令。目前的防御检测系统大多采用专家规则或机器学习的方式来检测异常流量。然而，由于异常流量的样本于现实中不易取得，而存在样本数不足且多样性不足的问题，故目前的防御检测系统仍无法有效地检测出异常流量。

有鉴于此，如何提供一种异常流量检测机制，其能有效地检测出异常流量，为业界及学术界亟需解决的一技术问题。

发明内容

本发明的目的在于提供一种异常流量检测机制，其能有效地检测出异常流量。具体而言，本发明的异常流量检测机制可通过解析封包以获得多个特征，并藉由降维算法，分析该等特征以选出关键的特征，进而通过深度学习算法增加样本的多样性，以强化检测异常流量的能力。因此，本发明的异常流量检测机制可解决因为异常流量的样本数不足且多样性不足的问题，故能有效地检测出异常流量。

为达上述目的，本发明公开一种异常流量检测装置，其包含一存储器、一网络接口及一处理器。该处理器电性连接该存储器及该网络接口，且用以执行以下操作：通过该网络接口，撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包(outgoing packet)；解析该等第一输出封包，以产生多个输出流量数据，其中各该输出流量数据具有多个输出特征；基于一降维算法，计算该等输出流量数据，以自该等输出特征中选取出至少一关键输出特征，并产生对应至该等输出流量数据的多个输出训练数据；将该等输出训练数据作为一双向生成式对抗网络的多个第一输入样本，并根据该等第一输入样本训练该双向生成式对抗网络，以生成一输出流量辨识模型；通过该网络接口，撷取一第二时间区间自该内部网络传送至该外部网络的多个第二输出封包；解析该等第二输出封包，以产生多个待辨识输出流量数据，其中各该待辨识输出流量数据具有该至少一关键输出特征；以及将各该待辨识输出流量数据输入至该输出流量辨识模型，以判断该等第二输出封包是否产生一异常输出流量。