摘要
随着互联网技术的飞速发展,越来越多的智能设备接入网络,物联网设备给社会带来便捷的同时,也面对着新型的网络安全风险。针对摄像头、路由器、打印机、工业控制设备等诸多智能终端的僵尸网络,利用物联网设备的漏洞和弱口令等脆弱性,将智能终端设备感染成僵尸网络节点,进行加密勒索、信息窃取等恶意行为,严重威胁着个人、企业以及国家的安全。基于上述背景,僵尸网络的检测正逐渐成为安全领域的热点技术攻关方向,具有重要的工程实践意义。 僵尸网络检测是指通过数据挖掘、特征分析等手段实现对目标设备感染僵尸病毒的判断检测。本文以网络流量分析和深度学习相关技术为基础,针对现有方法中对僵尸网络检测能力不足的问题,我们在僵尸网络流量数据预处理、数据特征构建以及检测结构优化三个方面进行了改进和创新,本文的研究内容与主要贡献如下: (1)网络流量字段结构多样、语义复杂,传统的数据处理方法仅对局部字段特征进行分析,未考虑全局字段语义之间的联系。论文提出了一种基于灰度图的数据预处理方法,通过分析同种类型僵尸网络数据流量之间的相似性与不同类型流量之间的差异性,构建网络流量图像化的数据处理机制,实现恶意流量全局特征的表示。实验结果表明,基于灰度图的流量数据处理方法能够更充分表达样本特征,使得样本类间区分度更加明显,提升了流量分类识别的召回率。 (2)网络流量中存在众多无意义的特征噪声,不仅影响僵尸网络的检测效率,也影响其检测精度。论文提出了一种基于注意力机制的数据特征构建方法,通过注意力模型评估不同特征的重要性程度,实现流量数据特征的权重优化,提升检测效果。实验结果表明,基于注意力机制特征构建的网络流量检测方法识别准确率为95%以上,优于传统的深度学习方法。 (3)传统的深层次神经网络参数众多、模型复杂,难以应用到计算资源受限的设备终端。论文设计实现基于深度可分离卷积的恶意流量检测系统,通过可分离卷积结构减少网络运算量以及超参数量,实现系统检测效率的提升。论文通过进行大量的对比验证实验,将本文的检测方法与传统的机器学习算法和其他深度学习算法进行了实验对比。实验结果表明,基于深度可分离卷积的僵尸网络检测系统,在多分类检测准确率指标上可以达到98.50%,较传统方法提升了10%-15%左右,优于传统的机器学习与其他深度学习算法。
NETL