[发明专利]一种基于深度学习的HTTP隧道木马检测方法

权利要求书

1.一种基于深度学习的HTTP隧道木马检测方法，其特征在于：包括以下步骤：

（1）数据包采集

对捕获到的数据包从两方面进行检查校验：一是对数据包各层包头进行校验，保留符合协议规范的数据包，并设置过滤规则，丢弃除HTTP包以外的数据包；二是对内网中主机相互通信的数据包进行过滤，保留内网主机与外网通信的数据包，内网是指木马通信检测系统的检测对象网络；最后，保留通过检查校验的数据包，并提取包摘要信息以及传输层载荷，将其存储到数据包队列中；

（2）将数据包组成会话

从数据包队列中依次取出数据包，读取数据包摘要信息中的源IP地址字段、目的IP地址字段、协议类型字段，以及传输层的源端口字段、目的端口字段，构成标识会话的五元组；建立哈希链表，计算数据包五元组的哈希值，根据此哈希值查找哈希表，如果哈希表中存在此哈希值对应的TCP会话，则将数据包载荷加入该TCP会话对应的链表中；如果哈希表中不存在对应的TCP会话链表，则创建新的TCP会话链表；使用指针将哈希值对应TCP会话中的数据包组成链表；

设置一个TCP会话超时时间，TCP会话在会话超时时间内没有新增数据包，则判断为当前TCP会话结束；当TCP连接超时或者TCP连接关闭则认为TCP会话结束；当判断会话为结束后，则不再向TCP会话中添加数据包；

（3）提取TCP会话载荷对应的图片

从结束的TCP会话对应的链表中第一个数据包开始，依次提取TCP会话中数据包的TCP载荷字节，直到取够1024字节；将TCP会话流载荷字节值按从左到右从上到下的顺序依次存入32*32大小图片对应的像素矩阵中；

（4）建立卷积神经网络模型

构建一个用于HTTP木马通信流量检测的卷积神经网络模型，卷积神经网络模型的输入为TCP会话载荷对应的图像，TCP会话载荷图像对应的原始流量样本数据包括两部分，分别是木马通信会话流量以及正常应用通信会话流量；

在训练阶段，从木马流量训练集和应用程序流量训练集中提取TCP会话载荷图像，对输入的TCP会话载荷图像经过学习训练，生成卷积神经网络模型参数；

在检测阶段，运用已训练好的卷积神经网络模型对TCP会话载荷图像进行识别，若模型判断其对应木马TCP会话，则对其进行报警，并存储报警信息和相应的通信会话流量数据。

2.根据权利要求1所述的一种基于深度学习的HTTP隧道木马检测方法，其特征在于：在步骤（4）中，所述卷积神经网络模型包括：

（1）1个输入层：由N*N个像素单元组成，其中N为32；

（2）1个卷积层：由64个大小为3*3的卷积核组成；

（3）1个最大池化层；

（4）1个卷积层：由128个大小为3*3的卷积核组成；

（5）1个最大池化层；

（6）1个全连接层：512个神经元；

（7）1个输出层：由2个神经元组成。