[发明专利]基于多模态深度学习的加密恶意流量检测方法及系统

说明书

本发明提出一种基于多模态深度学习的加密恶意流量检测方法及系统，其中包括以下步骤：对加密流量数据进行数据分割，得到加密流量数据的握手阶段数据包、数据包长度序列和数据包到达的时间间隔序列；从加密流量数据的握手阶段数据包中提取握手信息特征向量；从加密流量数据的数据包长度序列中提取包长信息序列特征向量；从加密流量数据的数据包到达的时间间隔序列中提取包到达信息序列特征向量；将握手信息特征向量、包长信息序列特征向量、包到达信息序列特征向量进行拼接融合，得到多模态特征向量，将多模态特征向量输入深度学习网络模型中，得到加密流量数据的分类结果；其中分类结果包括加密恶意流量所属恶意软件家族类别和非加密恶意流量。

技术领域

本发明涉及计算机网络安全技术领域，更具体地，涉及一种基于多模态深度学习的加密恶意流量检测方法及系统。

背景技术

恶意流量是攻击者设计并编写的恶意软件在运行过程中产生的通信流量。由于恶意软件可以造成许多不同类型的损害，比如窃取个人信息、夺取宿主计算机控制权等，所以在复杂的网络环境中及时检测出恶意流量成为网络空间安全中一项十分重要的挑战。由于加密流量在握手协商阶段采用明文数据包通信，并且协商过程中包含大量涉及加密通信的参数，比如客户端提供的加密套件、加密通信采用的加密算法等标志，研究者对于握手阶段产生的明文信息进行数据挖掘，发现对于恶意软件所产生的加密恶意流量，在SSL/TLS握手阶段的特征与正常用户上网产生的加密流量具有显著的区分度。原因是恶意软件在通过SSL/TLS加密套件对通信内容实施加密时，通常不倾向于和正常用户一样采用较新和较安全的加密套件，因为恶意软件加密通信流量的目的主要在于防止防火墙对明文内容进行恶意软件指纹的匹配，而不是防止第三方的黑客攻击。

针对这一点，许多研究者设计了包含SSL/TLS握手特征在内的加密流量特征，再利用逻辑回归、随机森林或SVM等机器学习模型实施加密恶意流量的检测。然而这种方法需要特定领域专家人为的精心设计加密流量特征，存在工作复杂而且效率低下的问题。另有研究者提出基于深度学习网络的恶意加密流量识别，将加密流量作为输入，然后通过使用端到端的深度学习网络模型提取加密流量特征并识别恶意加密流量，比如采用CNN网络、LSTM网络等，在加密恶意流量检测任务中有良好的表现。但是在加密恶意流量识别方法的设计或加密恶意流量识别系统的构造的设计上，通常没有针对加密流量中不同模态的输入数据设计更为适配的网络模型，无法提取可以反应加密流量整体多方面的特征。

发明内容

本发明为克服上述现有技术所述的需要设计特定加密流量特征，且单一深度学习模型无法提取能够反应加密流量整体多方面特征的缺陷，提供一种基于多模态深度学习的加密恶意流量检测方法，以及一种基于多模态深度学习的加密恶意流量检测系统。

为解决上述技术问题，本发明的技术方案如下：

一种基于多模态深度学习的加密恶意流量检测方法，包括以下步骤：

对加密流量数据进行数据分割，得到加密流量数据的握手阶段数据包、数据包长度序列和数据包到达的时间间隔序列；

从加密流量数据的握手阶段数据包中提取握手信息特征向量；

从加密流量数据的数据包长度序列中提取包长信息序列特征向量；

从加密流量数据的数据包到达的时间间隔序列中提取包到达信息序列特征向量；

将所述握手信息特征向量、包长信息序列特征向量、包到达信息序列特征向量进行拼接融合，得到多模态特征向量，将所述多模态特征向量输入深度学习网络模型中，得到加密流量数据的分类结果；所述分类结果包括加密恶意流量所属恶意软件家族类别和非加密恶意流量。