[发明专利]一种基于深度学习的HTTP隧道木马检测方法

说明书

本发明涉及基于通信流量分析的HTTP隧道木马检测技术领域，具体涉及一种基于深度学习的HTTP隧道木马检测方法，首先将捕获的数据包按照五元组进行分类，形成TCP会话链表，然后在TCP会话链表中，依次提取每个TCP数据包的载荷字节，将前1024字节转化为图片，作为深度学习模型的输入，训练模型以及检测疑似木马，该木马检测方法通过建立深度学习模型，对HTTP隧道木马和正常应用程序产生的网络通信流量进行学习，自动提取HTTP隧道木马流量的特征，实现对网络中HTTP隧道木马流量的有效检测，以便及时检测潜伏在局域网中的HTTP隧道木马程序，保护局域网的安全。

技术领域

本发明涉及基于通信流量分析的HTTP隧道木马检测技术领域，具体涉及一种基于深度学习的HTTP隧道木马检测方法。

背景技术

随着网络在人类社会各个领域的普及，网络成为一种传递各种重要信息的媒介，网络失泄密事件时有发生，攻击者通常使用木马窃取敏感信息。同时木马程序采用各种各样的方法企图逃避安全软件的检测。在各种入侵检测技术进步的同时，木马的反检测技术也在不断发展，尤其是隧道技术的运用，使得木马通信具备极高的隐蔽性，更难被传统的入侵检测系统检测到。因此，针对木马S隧道通信的检测技术成为研究热点，但以往的基于载荷签名的方法无法检测未知木马，基于浅层机器学习的方法对木马特征的刻画能力不足，目前少有将载荷特征与深度学习方法相结合的木马隧道通信检测研究。

C.Rossow等人研究了恶意程序隐蔽通信经常使用的HTTP协议隧道和DNS协议隧道，对各协议字段的值进行了大量对比分析，确定了正常情况下字段的取值范围，若数据包协议字段取值偏离正常取值范围，则认为是恶意代码产生的隧道通信流量。这种方法基于大的时间尺度，对正常取值范围分析较精确，且使用了多个协议字段，但是对符合协议规范的木马通信流量会失去作用。

R.Perdisci等人分析了恶意代码的HTTP协议隧道通信，针对恶意HTTP协议隧道通信中HTTP请求的方法以及URL的路径、页面名称等信息，使用聚类算法进行聚类，生成检测规则，实现了对恶意代码的HTTP协议隧道通信的识别。该方法对木马HTTP协议隧道通信的检测具有借鉴意义，但其还存在不足，对相似性不高的HTTP协议隧道通信会产生漏报。

Sakib M N等人研究了利用HTTP协议的恶意代码通信。他们提出了一个基于异常检测的方法，使用基于客户端生成的HTTP请求包和DNS服务器生成的响应包的统计特征来检测基于HTTP的C&C流量。

Ogawa H等人提取了新的特征，如HTTP请求间隔、主体大小和头部词袋。然后聚类特征，计算每个通信宿主对中簇的出现率，用学到的簇的出现率构建分类器。最后，利用簇的出现率对通信主机对间的流量进行分类评估。

这些方法用到了网络数据包传输层载荷中字段的特征以及机器学习来识别隧道木马通信。但以上方法均不能全面、准确刻画出各种字段特征，对载荷其余部分信息利用也不够充分，依然存在较高的误报率或漏报率，不具备良好的通用性。

发明内容

针对现有技术中存在的缺陷和问题，本发明提供一种基于深度学习的HTTP隧道木马检测方法，该木马检测方法通过建立深度学习模型，对HTTP隧道木马和正常应用程序产生的网络通信流量进行学习，自动提取HTTP隧道木马流量的特征，实现对网络中HTTP隧道木马流量的有效检测，以便及时检测潜伏在局域网中的HTTP隧道木马程序，保护局域网的安全。

本发明解决其技术问题所采用的方案是：一种基于深度学习的HTTP隧道木马检测方法，包括以下步骤：

（1）数据包采集