一种基于深度学习的僵尸网络离线检测方法与流程

本发明属于网络安全，特别涉及一种基于深度学习的僵尸网络离线检测方法。

背景技术：

1、僵尸网络是指一群可被攻击者远程控制的非合作用户终端。其中，被感染的终端称为僵尸主机，控制者可以通过命令与控制信道对僵尸主机进行一对多的操控。作为一种大规模攻击平台，攻击者可以利用僵尸网络发起分布式拒绝服务、恶意软件分发、加密勒索等大规模攻击活动，对互联网造成了极大的安全威胁。随着人工智能与网络安全的深度结合，人工智能赋能网络攻击与传统网络攻击在技术与手法上相比，将使过去劳动密集型、成本高昂的攻击手法开始彻底转型，朝着分布式、智能化、自动化方向发展，从而形成更为精准和快速的自动化攻击手法。

2、利用人工智能实现攻击方式的自我进化，可以提升攻击的有效性。攻击者利用人工智能分析不同攻击方式下的攻击效果及防御方的可能应对措施，进而针对防御方的弱点自动选择新的攻击机制，据此实现攻击方式的智能进化。例如，攻击者可将防御方入侵检测系统的结果作为反馈，采用人工智能技术对反馈数据进行收集和建模分析，建立攻击效果模型，动态调整合适攻击方式，规避入侵检测系统。

3、当前僵尸网络的结构和行为模式复杂多样且发展迅速。传统物理信息网络僵尸网络检测方法对僵尸网络的表征不全面，已经不适用于当前变种数量多且发展迅速的僵尸网络环境。本发明构建物理信息网络僵尸节点的行为关系图，提出一种基于深度学习的僵尸网络离线检测方法。该检测方法提供一个模拟现实防御方的入侵检测场景，适用于非实时更新的离线数据，在提取网络流量中控制节点信息的基础上，将其建模为控制节点行为图，通过神经网络训练获得行为图的嵌入表示，使用卷积神经网络对行为图向量进行分类，从而增强僵尸网络攻击工具的攻击有效性。

技术实现思路

1、本发明的目的是研究构建物理信息网络僵尸节点的行为关系图，提出一种基于深度学习的僵尸网络离线检测系统，以解决现有物理信息网络僵尸网络方法对僵尸网络的表征不全面的问题，增强僵尸网络攻击工具的攻击有效性。

2、本发明提供的技术方案如下：

3、第一方面，一种基于深度学习的僵尸网络离线检测方法，包括：

4、从网络流量中提取僵尸网络中各控制节点的三元组信息，根据三元组信息构建控制节点的行为图；所述三元组信息包括控制节点连接的节点数量、控制节点和与之通信的目标节点线路类型对的集合、控制节点向目的节点发送指令的事件序列的集合；

5、利用加权随机游走算法从控制节点行为图中获取僵尸网络恶意行为路径，通过已训练的全连接神经网络获得控制节点行为图的嵌入向量；

6、利用已训练的cnn分类器对控制节点行为图的嵌入向量进行分析，输出僵尸网络中各控制节点的分类结果。

7、第二方面，一种基于深度学习的僵尸网络离线检测装置，包括：

8、一个或多个处理器；

9、存储装置，用于存储一个或多个程序，

10、当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实施第一方面所述的基于深度学习的僵尸网络离线检测方法。

11、第三方面，一种可读存储介质，其上存储有计算机程序，该程序被处理器执行时实施第一方面所述的基于深度学习的僵尸网络离线检测方法。

12、第四方面，一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，执行第一方面所述的基于深度学习的僵尸网络离线检测方法。

13、根据本发明提供的一种基于深度学习的僵尸网络离线检测方法，具有以下

14、有益效果：

15、(1)本发明提出了一种控制节点行为图构建模型，通过提取不同网络流量之间的依赖关系，并融合网络节点的基础属性，构建了僵尸网络控制节点行为图，对僵尸网络控制节点的信息建模，从而实现对物理信息网络僵尸网络的全面表征；

16、(2)本发明提出了一种行为图向量生成模型，通过加权随机游走的方式将控制节点行为图分割成多个恶意行为路径，利用全连接神经网络生成僵尸网络控制节点行为图的嵌入向量，从而实现全面捕获行为图的异构特性；

17、(3)本发明通过基于cnn的分类模块，根据任务场景的不同，可将网络节点简单分类为良性节点和僵尸网络节点，或者更细致地按照不同的僵尸家族对网络节点进行划分。

技术特征：

1.一种基于深度学习的僵尸网络离线检测方法，其特征在于，包括：

2.根据权利要求1所述的基于深度学习的僵尸网络离线检测方法，其特征在于，所述从网络流量中提取僵尸网络中各控制节点的三元组信息的步骤，包括：

3.根据权利要求1所述的基于深度学习的僵尸网络离线检测方法，其特征在于，所述根据三元组信息构建控制节点的行为图的步骤，所述行为图中包括三种不同的节点类型：线路类型、通信事件和连接数量，其中线路类型包括控制节点线路类型和目的节点线路类型。

4.根据权利要求1所述的基于深度学习的僵尸网络离线检测方法，其特征在于，所述根据三元组信息构建控制节点的行为图的步骤，不同类型的节点之间存在着四种不同的交互关系，线路类型与通信事件之间存在的边表示控制节点与目的节点通信的第一步连接或最后一步连接，不同通信事件通过边连接组成了通信事件序列，线路类型与连接数量之间的边则表示控制节点通过某种事件序列连接的目的节点数量。

5.根据权利要求1所述的基于深度学习的僵尸网络离线检测方法，其特征在于，所述根据三元组信息构建控制节点的行为图的步骤，所述行为图中所有路径均从控制节点的线路类型出发，经过通信事件序列连接目的节点线路类型，目的节点的线路类型又连接着与当前路径相关的目的节点数量。

6.根据权利要求1所述的基于深度学习的僵尸网络离线检测方法，其特征在于，所述利用已训练的cnn分类器对控制节点行为图的嵌入向量进行分析，输出僵尸网络中各控制节点的分类结果的步骤中，控制节点的分类结果为良性节点和僵尸网络节点，或者控制节点的分类结果为良性节点和细分的僵尸家族节点。

7.一种基于深度学习的僵尸网络离线检测装置，其特征在于，包括：

8.一种可读存储介质，其特征在于，其上存储有计算机程序，该程序被处理器执行时实施第一方面所述的基于深度学习的僵尸网络离线检测方法。

9.一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序，当所述计算机程序被运行时，执行第一方面所述的基于深度学习的僵尸网络离线检测方法。

技术总结
本发明提供了一种基于深度学习的僵尸网络离线检测方法，包括：从网络流量中提取僵尸网络中各控制节点的三元组信息，根据三元组信息构建控制节点的行为图；利用加权随机游走算法从控制节点行为图中获取僵尸网络恶意行为路径，通过已训练的全连接神经网络获得控制节点行为图的嵌入向量；利用已训练的CNN分类器对控制节点行为图的嵌入向量进行分析，输出僵尸网络中各控制节点的分类结果。本发明在提取网络流量中控制节点信息的基础上，将其建模为控制节点行为图，通过神经网络训练获得行为图的嵌入表示，使用卷积神经网络对行为图向量进行分类，从而增强僵尸网络攻击工具的攻击有效性。

技术研发人员：姚琳元,刘洋,付振坤,孙立猛,张杰,王鹏,冉振华,阎小涛,何涛,蓝鲲,李旷代,康健,何巍,张耐民
受保护的技术使用者：北京宇航系统工程研究所
技术研发日：
技术公布日：2025/3/10