基于深度学习的多态网络蠕虫检测方法的研究
发布时间:2021-01-30 06:22
进入新世纪以来互联网的使用逐渐普及,互联网的安全问题越来越受到人们的重视。蠕虫由于其自身的特性被不法分子大量使用,并且蠕虫在互联网上不断涌现出新的变种,蠕虫爆发后会在短时间内席卷整个网络,造成巨大损失。为了可以在短时间内检测出蠕虫尽早切断蠕虫的传播,本文进行了基于深度学习的多态网络蠕虫检测方法的研究,多态是指蠕虫实例具有不同形态。主要研究内容包括以下两个方面:(1)利用CNN网络对互联网中有效载荷进行检测。首先,提出新的数据矩阵化处理方式,并将矩阵处理划分为32x32和256x256两种矩阵类别,矩阵中每点都有三种不同的计算方式,分别为频率,频率x(行+列),频率x行x列。实验目标为二分类和多分类。二分类是指区分蠕虫和非蠕虫,多分类是识别出不同蠕虫与背景噪声的种类。二分类有两种不同的识别目标,分别是识别已知蠕虫与识别未知蠕虫。最后,根据不同的矩阵类化处理方式与检测目标依次进行了蠕虫检测实验,并讨论了在不同矩阵化处理方式下实验所得到的准确率。(2)利用幂级数RNN从蠕虫有效载荷中提取出特征码。首先对数据进行处理,将蠕虫流量包的有效载荷作为提取源,并将该蠕虫的特征码作为提取结果。进行实验训...
【文章来源】:辽宁大学辽宁省 211工程院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
LSTM示意图
本章使用 CNN 网络对网络流量中的有效载荷进行了检测,CNN 是神经网络的一种,其多用于图像的分类与识别并取得了良好的效果。这些有效载荷中包含不同的蠕虫实例,这些实例形态的不同构成了蠕虫的多态形式。所以本文需要对蠕虫进行检测,需要处理蠕虫不同形态的实例。实验开始之前首先对数据进行处理,根据多态蠕虫数据有效载荷的字符的 ASCII 值将其转化为二维矩阵的形式进行存储,并且矩阵中每一个点都有三种不同的处理方式。实验所用的数据可以划分为蠕虫与非蠕虫两类。本章依据检测目标的不同情况对实验数据进行了不同的处理方式,然后进行训练。首先,讨论了单通道情况下检测蠕虫与非蠕虫的实验的效果,并且分别对矩阵中每点不同处理方式所产生实验结果进行了探讨。然后,讨论了单通道情况下,依次识别出不同蠕虫种类情况。最后,探讨了在三通道情况下对未知蠕虫的检测情况。本章 3.1 节介绍了使用的 CNN 网络框架图;3.2 节对于多态的有效载荷的矩阵处理方式进行了详细的介绍;3.3 节说明了实验数据的来源介绍了实验环境,并对不同的数据处理方式进行了实验;3.4 节对本章进行总结。
图 3-2 32x32CNN 网络示意图3.2 有效载荷矩阵化处理方式第 3.1 节中所提及的两种 CNN 神经网络是用于对蠕虫进行训练的网络。虽然多态蠕虫的每个实例包含不同的字符序列,但是实现的功能是不变的,且转播到易感主机上的蠕虫需要在易感主机上面进行重组,所以根据蠕虫实例的字符在二维矩阵上分布的统计实现蠕虫检测有一定的合理性。在进行蠕虫的检测实验前需要对每个文件中的每条信息都需要进行处理,将其转化为可供已知的CNN 网络可以处理的结构。而正是这种蠕虫有效载荷的处理方式,使得蠕虫的检测得以实现。本文中数据处理所要实现的操作目标如公式(3.1)所示:* 1, 2,…, + → * 1, 2,…, + (3.1)* 1, 2,…, +是长度为 的有效载荷的字节向量,* 1, 2,…, +是相对应的字符的 ASCII 值的数字序列,数字 为字符 1在 ASCII 表中所对应的数值。然后遍历数字数组* 1, 2,…, +,每次从数组中读取两个值 和 +1。ASCII 的取
【参考文献】:
期刊论文
[1]结构化P2P网络中主动型蠕虫研究现状与展望[J]. 马雯,郭平,张正豪. 自动化与仪器仪表. 2014(03)
[2]P2P网络中被动型蠕虫传播与免疫建模[J]. 冯朝胜,秦志光,袁丁,卿昱. 电子学报. 2013(05)
[3]多态蠕虫产生器的设计与实现[J]. 汪洁. 计算机应用与软件. 2012(07)
[4]基于彩色编码的多态蠕虫特征自动提取方法[J]. 汪洁,王建新,陈建二. 软件学报. 2010(10)
[5]邮件蠕虫传播与防御的分析研究[J]. 罗卫敏,张凤荔. 计算机应用研究. 2009(04)
[6]多态蠕虫的研究与进展[J]. 徐晓萌,郭山清,徐秋亮. 计算机科学与探索. 2008(02)
[7]网络蠕虫检测方法研究[J]. 胡振宇,方滨兴,辛毅. 微计算机信息. 2008(06)
[8]一种基于网状关联分析的网络蠕虫预警新方法[J]. 卿斯汉,文伟平,蒋建春,马恒太,刘雪飞. 通信学报. 2004(07)
本文编号:3008421
【文章来源】:辽宁大学辽宁省 211工程院校
【文章页数】:68 页
【学位级别】:硕士
【部分图文】:
LSTM示意图
本章使用 CNN 网络对网络流量中的有效载荷进行了检测,CNN 是神经网络的一种,其多用于图像的分类与识别并取得了良好的效果。这些有效载荷中包含不同的蠕虫实例,这些实例形态的不同构成了蠕虫的多态形式。所以本文需要对蠕虫进行检测,需要处理蠕虫不同形态的实例。实验开始之前首先对数据进行处理,根据多态蠕虫数据有效载荷的字符的 ASCII 值将其转化为二维矩阵的形式进行存储,并且矩阵中每一个点都有三种不同的处理方式。实验所用的数据可以划分为蠕虫与非蠕虫两类。本章依据检测目标的不同情况对实验数据进行了不同的处理方式,然后进行训练。首先,讨论了单通道情况下检测蠕虫与非蠕虫的实验的效果,并且分别对矩阵中每点不同处理方式所产生实验结果进行了探讨。然后,讨论了单通道情况下,依次识别出不同蠕虫种类情况。最后,探讨了在三通道情况下对未知蠕虫的检测情况。本章 3.1 节介绍了使用的 CNN 网络框架图;3.2 节对于多态的有效载荷的矩阵处理方式进行了详细的介绍;3.3 节说明了实验数据的来源介绍了实验环境,并对不同的数据处理方式进行了实验;3.4 节对本章进行总结。
图 3-2 32x32CNN 网络示意图3.2 有效载荷矩阵化处理方式第 3.1 节中所提及的两种 CNN 神经网络是用于对蠕虫进行训练的网络。虽然多态蠕虫的每个实例包含不同的字符序列,但是实现的功能是不变的,且转播到易感主机上的蠕虫需要在易感主机上面进行重组,所以根据蠕虫实例的字符在二维矩阵上分布的统计实现蠕虫检测有一定的合理性。在进行蠕虫的检测实验前需要对每个文件中的每条信息都需要进行处理,将其转化为可供已知的CNN 网络可以处理的结构。而正是这种蠕虫有效载荷的处理方式,使得蠕虫的检测得以实现。本文中数据处理所要实现的操作目标如公式(3.1)所示:* 1, 2,…, + → * 1, 2,…, + (3.1)* 1, 2,…, +是长度为 的有效载荷的字节向量,* 1, 2,…, +是相对应的字符的 ASCII 值的数字序列,数字 为字符 1在 ASCII 表中所对应的数值。然后遍历数字数组* 1, 2,…, +,每次从数组中读取两个值 和 +1。ASCII 的取
【参考文献】:
期刊论文
[1]结构化P2P网络中主动型蠕虫研究现状与展望[J]. 马雯,郭平,张正豪. 自动化与仪器仪表. 2014(03)
[2]P2P网络中被动型蠕虫传播与免疫建模[J]. 冯朝胜,秦志光,袁丁,卿昱. 电子学报. 2013(05)
[3]多态蠕虫产生器的设计与实现[J]. 汪洁. 计算机应用与软件. 2012(07)
[4]基于彩色编码的多态蠕虫特征自动提取方法[J]. 汪洁,王建新,陈建二. 软件学报. 2010(10)
[5]邮件蠕虫传播与防御的分析研究[J]. 罗卫敏,张凤荔. 计算机应用研究. 2009(04)
[6]多态蠕虫的研究与进展[J]. 徐晓萌,郭山清,徐秋亮. 计算机科学与探索. 2008(02)
[7]网络蠕虫检测方法研究[J]. 胡振宇,方滨兴,辛毅. 微计算机信息. 2008(06)
[8]一种基于网状关联分析的网络蠕虫预警新方法[J]. 卿斯汉,文伟平,蒋建春,马恒太,刘雪飞. 通信学报. 2004(07)
本文编号:3008421
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3008421.html
