通信学报 ›› 2019, Vol. 40 ›› Issue (1): 24-33.doi: 10.11959/j.issn.1000-436x.2019019

• 学术论文 • 上一篇    下一篇

基于混合结构深度神经网络的HTTP恶意流量检测方法

李佳1,云晓春1,李书豪1,张永铮1,谢江1,方方1   

  1. 1 中国科学院信息工程研究所,北京 100093
    2 中国科学院大学网络空间安全学院,北京100049
    3 中国科学院网络测评技术重点实验室,北京100195
    4 长安通信科技有限责任公司,北京 102209
  • 修回日期:2018-12-11 出版日期:2019-01-01 发布日期:2019-02-03
  • 作者简介:李佳(1983- ),男,河北邢台人,中国科学院信息工程研究所博士生,主要研究方向为网络信息安全。|云晓春(1971- ),男,黑龙江哈尔滨人,博士,中国科学院信息工程研究所客座研究员、博士生导师,主要研究方向为网络信息安全、网络恶意事件感知。|李书豪(1983- ),男,山西吕梁人,博士,中国科学院信息工程研究所副教授级高工,主要研究方向为网络信息安全、恶意代码分析与防范。|张永铮(1978- ),男,黑龙江哈尔滨人,博士,中国科学院信息工程研究所研究员、博士生导师,主要研究方向为网络信息安全、网络态势感知与处理。|谢江(1996- ),男,四川宣汉人,中国科学院信息工程研究所硕士生,主要研究方向为网络信息安全。|方方(1985- ),男,河南郑州人,长安通信科技有限责任公司研究员,主要研究方向为主机及网络信息安全。
  • 基金资助:
    国家重点研究发展计划(“973”计划)基金资助项目(2016YFB0801502);国家自然科学基金资助项目(U1736218)

HTTP malicious traffic detection method based on hybrid structure deep neural network

Jia LI1,Xiaochun YUN1,Shuhao LI1,Yongzheng ZHANG1,Jiang XIE1,Fang FANG1   

  1. 1 Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100093,China
    2 School of Cyber Security,University of Chinese Academy of Sciences,Beijing 100093,China
    3 Key Laboratory of Network Assessment Technology,Chinese Academy of Sciences,Beijing 100195,China
    4 Changan Communication Technology Co.,Ltd.,Beijing 102209,China
  • Revised:2018-12-11 Online:2019-01-01 Published:2019-02-03
  • Supported by:
    The National Basic Research Program of China (973 Program)(2016YFB0801502);The National Natural Science Foundation of China(U1736218)

摘要:

针对HTTP恶意流量检测问题,提出了一种基于裁剪机制和统计关联的预处理方法,进行流量的统计信息关联及归一化处理。基于原始数据与经验特征工程相结合的思想提出了一种混合结构深度神经网络,结合了卷积神经网络与多层感知机,分别处理文本与统计信息。与传统机器学习算法(如SVM)相比,所提方法效果提升明显,F1值可达99.38%,且具有更低的时间代价。标注了一套由45万余条恶意流量和2000万余条非恶意流量组成的数据集,并依据模型设计了一套原型系统,精确率达到了98.1%~99.99%,召回率达到了97.2%~99.5%,应用在真实网络环境中效果优异。

关键词: 异常检测, 恶意流量数据, 卷积神经网络, 多层感知机制

Abstract:

In response to the HTTP malicious traffic detection problem,a preprocessing method based on cutting mechanism and statistical association was proposed to perform statistical information correlation as well as normalization processing of traffic.Then,a hybrid neural network was proposed based on the combination of raw data and empirical feature engineering.It combined convolutional neural network (CNN) and multilayer perceptron (MLP) to process text and statistical information.The effect of the model was significantly improved compared with traditional machine learning algorithms (e.g.,SVM).The F1value reached 99.38% and had a lower time complexity.At the same time,a data set consisting of more than 450 000 malicious traffic and more than 20 million non-malicious traffic was created.In addition,prototype system based on model was designed with detection precision of 98.1%~99.99% and recall rate of 97.2%~99.5%.The application is excellent in real network environment.

Key words: abnormal detection, malicious traffic data, convolutional neural network, multilayer perceptron

中图分类号: 

No Suggested Reading articles found!