申请/专利权人：湖南大学

申请日：2024-03-11

公开（公告）日：2024-05-07

公开（公告）号：CN117997637A

主分类号：H04L9/40

分类号：H04L9/40;H04L41/16;G06N3/0464

优先权：

专利状态码：在审-公开

法律状态：2024.05.07#公开

摘要：本发明公开了基于深度时间序列嵌入分析的实时恶意流量检测系统，属于计算机网络安全领域。其中所述的深度时间序列嵌入分析为：以网络流数据为检测单位，首先使用深度学习模型GRURNN对时间序列状的网络流数据进行建模，接着构建VAE将网络流数据嵌入为概率分布的表示，最后利用嵌入的概率分布与预设的先验分布之间的KL相似度来反映网络流数据是否离群，以检测对应的网络流是否为恶意的；本发明所述的实时恶意流量检测系统采用C++开发并利用IntelDPDK加速数据包的处理，能够在高速流量转发场景下实时地收集网络流数据并对其进行鲁棒性的检测；另外，本发明所述的实时恶意流量检测系统能够即插即用地部署于基于通用处理器的网络转发设备。

主权项：1.基于深度时间序列嵌入分析的实时恶意流量检测系统，其特征在于，深度时间序列嵌入分析指利用深度学习方法对时间序列状的网络流数据进行嵌入并对该嵌入表示进行离群性分析；首先，该实时恶意流量检测系统不需预先学习关于任意网络攻击的先验知识，即其能够检测潜在未知的网络攻击；其次，该实时恶意流量检测系统能够适应高速流量转发场景；另外，该实时恶意流量检测系统是一种即插即用的虚拟化网络功能组件并部署于基于通用处理器的网络转发设备；该实时恶意流量检测系统包括以下三个模块：模块一、数据包解析模块：通过IntelDataPlaneDevelopmentKit提供的用户态IO，该模块绕过操作系统内核权限直接镜像到达网卡接收队列的若干数据包，每一个数据包被解析为八维每包特征向量；单个八维每包特征向量包含：数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议号、协议首部的标志位、数据包长度以及到达时间戳；每次解析得到的八维每包特征向量被有序地存储进该模块的环形队列缓存中；模块二、网络流收集模块：通过五元组源IP地址，目的IP地址，源端口号，目的端口号，协议号作为网络流标识，该模块创建键值对容器A，以该五元组为键，动态数组为值，用于收集网络流数据；同时，通过源IP地址作为聚合网络流标识，该模块创建键值对容器B，以源IP地址为键，动态数组为值，用于收集聚合网络流数据；网络流数据与聚合网络流数据均是包含若干三维每包特征向量的时间序列并基于动态数组存储；三维每包特征向量包含数据包长度、协议首部的标志位与数据包到达时间间隔；该模块的运行包含以下步骤：S1、从模块一的环形队列缓存中取出P个八维每包特征向量作为当前处理的批次，当前处理的批次使用集合{Vi0:7|i∈[0,P}表示；S2、依次处理当前批次中所有的八维每包特征向量；S3、记录容器A与容器B中已完成网络流数据收集或聚合网络流数据收集的动态数组；S4、取出所有收集完毕的网络流数据并按照长度被划分为长流数据与短流数据；S5、将长流数据直接输出至模块三；S6、将具有相同源IP地址的短流数据聚合为聚合网络流数据并将该聚合网络流数据输出至模块三，输入至模块三的网络流数据与聚合网络流数据统称为网络流数据；其中，所述步骤S2，依次处理当前批次中所有的八维每包特征向量，包含以下步骤：S21、初始化i的值为0；S22、从当前批次中按序取出第i个八维每包特征向量Vi0:7；S23、以Vi0:7的网络流标识为键映射容器A中的动态数组arra并以Vi0:7的源IP地址为键映射容器B中的动态数组arrb；S24、计算Vi0:7对应于arra的数据包到达时间间隔Ji,a并将Ji,a与Vi0:7中的数据包长度以及协议首部标志位组成三维每包特征向量S25、计算Vi0:7对应于arrb的数据包到达时间间隔Ji,b并将Ji,b与Vi0:7中的数据包长度以及协议首部标志位组成三维每包特征向量S26、将与分别存储进arra与arrb；S27、使用Vi0:7的到达时间戳更新arra与arrb所记录的历史到达时间戳；S28、令i的值加1，如果i小于P则重新执行步骤S22，否则步骤S2结束；模块三、网络流检测模块：该模块接收模块二输出的所有网络流数据作为当前处理的批次；以网络流数据作为检测单位，其使用深度学习模型GRURNN建模时间序列状的网络流数据的IO并构建VAE对网络流数据进行离群性分析，以检测网络流数据对应的网络流或聚合网络流是否为恶意的；VAE的运行包括训练阶段与推断阶段，其训练阶段为非监督过程；VAE包含以下两个子网络：变分网络：变分网络的前向传播过程在VAE的训练与推断阶段下均被执行，其利用GRURNN将单个时间序列状的网络流数据X嵌入为向量，该向量被FCN进一步嵌入为概率分布，即X在VAE隐空间下的表示；在VAE的训练阶段下，变分网络将嵌入的概率分布输出至生成网络；在VAE的推断阶段下，变分网络对X进行离群性分析，其计算嵌入的概率分布与设置的先验分布之间的相似度来反映X在所有网络流数据中的相对离群程度；X对应的标识，即网络流标识或聚合网络流标识，与相似度的计算结果组合成一个键值对；该键值对被网络流检测模块记录，其中，X对应的标识作为键值对的键，相似度的计算结果作为键值对的值；生成网络：生成网络的前向传播过程仅在VAE的训练阶段下被执行；在VAE的训练阶段下，生成网络使用重参数技巧对嵌入的概率分布进行采样并将采样值作为所有时间步下GRURNN的输入，以生成与X具有相同形状的自编码数据X'；该自编码数据X'用于计算优化目标ELBO的值；如果此时优化目标ELBO已收敛，则VAE进入推断阶段并且VAE不再执行生成网络的前向传播过程，否则应用优化器在VAE中执行反向传播以更新VAE的参数；在当前批次中所有的网络流数据均被输入至VAE后，网络流检测模块以键值对的值来升序排序所有已记录的键值对；如果一个键值对位于排序结果的λ百分位数之后，则该键值对被判定为离群，即其对应的网络流或聚合网络流是恶意的；如果一个键值对位于排序结果的λ百分位数之前，则该键值对没有离群，即其对应的网络流或聚合网络流不是恶意的。

全文数据：

权利要求：

百度查询： 湖南大学 基于深度时间序列嵌入分析的实时恶意流量检测系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD