[发明专利]基于网络流量空间时间特征的移动恶意应用家族分类方法在审
申请号: | 202110069517.6 | 申请日: | 2021-01-19 |
公开(公告)号: | CN112770323A | 公开(公告)日: | 2021-05-07 |
发明(设计)人: | 陈贞翔;何琦;刘聪;赵川;杨波 | 申请(专利权)人: | 济南大学 |
主分类号: | H04W12/122 | 分类号: | H04W12/122;H04W12/128;G06N3/08;G06N3/04;G06F16/906 |
代理公司: | 济南圣达知识产权代理有限公司 37221 | 代理人: | 祖之强 |
地址: | 250022 山东*** | 国省代码: | 山东;37 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 网络流量 空间 时间 特征 移动 恶意 应用 家族 分类 方法 | ||
1.一种基于网络流量空间时间特征的移动恶意应用家族分类方法,其特征在于:包括以下步骤:
获取移动终端应用程序的流量,提取完整的TCP会话流;
提取TCP会话中TCP数据包的字节码和HTTP数据包的字节码;
根据得到的字节码,利用预设深度学习模型分别提取流量空间特性和流量时间特征,得到移动恶意应用家族分类结果。
2.如权利要求1所述的基于网络流量空间时间特征的移动恶意应用家族分类方法,其特征在于:
预设深度学习模型的训练,包括:
收集每个恶意家族APK的流量和正常APK的流量,提取完整的TCP会话流;
提取每条流的TCP协议数据包和HTTP协议数据包,存入JSON文件;
读取上一步获取的JSON文件,计算每个数据包的字节分布,存入JSON文件;
建立基于卷积神经网络和长短期记忆网络的深度学习模型,利用上一步得到的JSON文件,处理正常样本和恶意家族样本的不平衡关系,对深度学习模型进行训练。
3.如权利要求2所述的基于网络流量空间时间特征的移动恶意应用家族分类方法,其特征在于:
提取每条流的TCP协议数据包和HTTP协议数据包,存入JSON文件,包括以下步骤:
将TCP协议的每个数据包内容字节存入一维数组,拼接每个数据包存入二维数组;
将HTTP协议的每个数据包内容字节存入一维数组,拼接每个数据包存入二维数组;
将上述两步的数据再拼成一个三维数组,一条流对应一个三维数组,存入JSON文件。
4.如权利要求1所述的基于网络流量空间时间特征的移动恶意应用家族分类方法,其特征在于:
读取上一步获取的JSON文件,计算每个数据包的字节分布,存入JSON文件,包括以下步骤:
读取JSON文件,计算每个数据包的每个字节个数,将字节个数存入一维数组;
将上一步的一维数组中每个字节个数除以总数,再存入一维数组,这时的一维数组的每个维度,表示该字节的数量占该数据包的字节总数;
将上一步的一维数组按照TCP协议和HTTP协议分别组成二维数组,再合起来组成三维数组,存入JSON文件。
5.如权利要求2所述的基于网络流量空间时间特征的移动恶意应用家族分类方法,其特征在于:
建立基于卷积神经网络和长短期记忆网络的深度学习模型,包括以下步骤:
创建一维卷积神经网络模型,提取空间特征;
创建长短期记忆网络模型,建立时序关系;
连接softmax函数,进行多分类;
设置反向传播优化器,损失函数,得到深度学习模型。
6.如权利要求5所述的基于网络流量空间时间特征的移动恶意应用家族分类方法,其特征在于:
将卷积神经网络后的输出层作为长短期记忆网络的输入层,每一个卷积的输出作为长短期记忆网络的一个时刻的输入,每个时刻创建隐含层单元;
每个时刻的输入连接对应的隐含层单元,每个隐含层单元创建一个记忆单元,每个时刻的隐含层连接全连接层,每个时刻的全连接层拼起来,计算平均值,存入神经元,通过softmax函数,得到每个类别的概率。
7.如权利要求2所述的基于网络流量空间时间特征的移动恶意应用家族分类方法,其特征在于:
加载训练数据,存入四维数组,第一维是每个数据包的字节分布,第二维是每条流的TCP包和HTTP包,第三维是每条流,第四维是每个家族类别;
将上一步已经加载好的数据输入到预设深度学习模型中,进行训练,保存训练好的模型。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于济南大学,未经济南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110069517.6/1.html,转载请声明来源钻瓜专利网。