[发明专利]一种基于深度学习的HTTP隧道木马检测方法

摘要

本发明涉及基于通信流量分析的HTTP隧道木马检测技术领域，具体涉及一种基于深度学习的HTTP隧道木马检测方法，首先将捕获的数据包按照五元组进行分类，形成TCP会话链表，然后在TCP会话链表中，依次提取每个TCP数据包的载荷字节，将前1024字节转化为图片，作为深度学习模型的输入，训练模型以及检测疑似木马，该木马检测方法通过建立深度学习模型，对HTTP隧道木马和正常应用程序产生的网络通信流量进行学习，自动提取HTTP隧道木马流量的特征，实现对网络中HTTP隧道木马流量的有效检测，以便及时检测潜伏在局域网中的HTTP隧道木马程序，保护局域网的安全。

主权项

1.一种基于深度学习的HTTP隧道木马检测方法，其特征在于：包括以下步骤：（1）数据包采集对捕获到的数据包从两方面进行检查校验：一是对数据包各层包头进行校验，保留符合协议规范的数据包，并设置过滤规则，丢弃除HTTP包以外的数据包；二是对内网中主机相互通信的数据包进行过滤，保留内网主机与外网通信的数据包，内网是指木马通信检测系统的检测对象网络；最后，保留通过检查校验的数据包，并提取包摘要信息以及传输层载荷，将其存储到数据包队列中；（2）将数据包组成会话从数据包队列中依次取出数据包，读取数据包摘要信息中的源IP地址字段、目的IP地址字段、协议类型字段，以及传输层的源端口字段、目的端口字段，构成标识会话的五元组；建立哈希链表，计算数据包五元组的哈希值，根据此哈希值查找哈希表，如果哈希表中存在此哈希值对应的TCP会话，则将数据包载荷加入该TCP会话对应的链表中；如果哈希表中不存在对应的TCP会话链表，则创建新的TCP会话链表；使用指针将哈希值对应TCP会话中的数据包组成链表；设置一个TCP会话超时时间，TCP会话在会话超时时间内没有新增数据包，则判断为当前TCP会话结束；当TCP连接超时或者TCP连接关闭则认为TCP会话结束；当判断会话为结束后，则不再向TCP会话中添加数据包；（3）提取TCP会话载荷对应的图片从结束的TCP会话对应的链表中第一个数据包开始，依次提取TCP会话中数据包的TCP载荷字节，直到取够1024字节；将TCP会话流载荷字节值按从左到右从上到下的顺序依次存入32*32大小图片对应的像素矩阵中；（4）建立卷积神经网络模型构建一个用于HTTP木马通信流量检测的卷积神经网络模型，卷积神经网络模型的输入为TCP会话载荷对应的图像，TCP会话载荷图像对应的原始流量样本数据包括两部分，分别是木马通信会话流量以及正常应用通信会话流量；在训练阶段，从木马流量训练集和应用程序流量训练集中提取TCP会话载荷图像，对输入的TCP会话载荷图像经过学习训练，生成卷积神经网络模型参数；在检测阶段，运用已训练好的卷积神经网络模型对TCP会话载荷图像进行识别，若模型判断其对应木马TCP会话，则对其进行报警，并存储报警信息和相应的通信会话流量数据。