進(jìn)入新世紀(jì)以來(lái)互聯(lián)網(wǎng)的使用逐漸普及,互聯(lián)網(wǎng)的安全問(wèn)題越來(lái)越受到人們的重視。蠕蟲(chóng)由于其自身的特性被不法分子大量使用,并且蠕蟲(chóng)在互聯(lián)網(wǎng)上不斷涌現(xiàn)出新的變種,蠕蟲(chóng)爆發(fā)后會(huì)在短時(shí)間內(nèi)席卷整個(gè)網(wǎng)絡(luò),造成巨大損失。為了可以在短時(shí)間內(nèi)檢測(cè)出蠕蟲(chóng)盡早切斷蠕蟲(chóng)的傳播,本文進(jìn)行了基于深度學(xué)習(xí)的多態(tài)網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)方法的研究,多態(tài)是指蠕蟲(chóng)實(shí)例具有不同形態(tài)。主要研究?jī)?nèi)容包括以下兩個(gè)方面:（1）利用CNN網(wǎng)絡(luò)對(duì)互聯(lián)網(wǎng)中有效載荷進(jìn)行檢測(cè)。首先,提出新的數(shù)據(jù)矩陣化處理方式,并將矩陣處理劃分為32x32和256x256兩種矩陣類(lèi)別,矩陣中每點(diǎn)都有三種不同的計(jì)算方式,分別為頻率,頻率x（行+列）,頻率x行x列。實(shí)驗(yàn)?zāi)繕?biāo)為二分類(lèi)和多分類(lèi)。二分類(lèi)是指區(qū)分蠕蟲(chóng)和非蠕蟲(chóng),多分類(lèi)是識(shí)別出不同蠕蟲(chóng)與背景噪聲的種類(lèi)。二分類(lèi)有兩種不同的識(shí)別目標(biāo),分別是識(shí)別已知蠕蟲(chóng)與識(shí)別未知蠕蟲(chóng)。最后,根據(jù)不同的矩陣類(lèi)化處理方式與檢測(cè)目標(biāo)依次進(jìn)行了蠕蟲(chóng)檢測(cè)實(shí)驗(yàn),并討論了在不同矩陣化處理方式下實(shí)驗(yàn)所得到的準(zhǔn)確率。（2）利用冪級(jí)數(shù)RNN從蠕蟲(chóng)有效載荷中提取出特征碼。首先對(duì)數(shù)據(jù)進(jìn)行處理,將蠕蟲(chóng)流量包的有效載荷作為提取源,并將該蠕蟲(chóng)的特征碼作為提取結(jié)果。進(jìn)行實(shí)驗(yàn)訓(xùn)... 

【文章來(lái)源】：遼寧大學(xué)遼寧省 211工程院校

【文章頁(yè)數(shù)】：68 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

LSTM示意圖

本章使用 CNN 網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)流量中的有效載荷進(jìn)行了檢測(cè)，CNN 是神經(jīng)網(wǎng)絡(luò)的一種，其多用于圖像的分類(lèi)與識(shí)別并取得了良好的效果。這些有效載荷中包含不同的蠕蟲(chóng)實(shí)例，這些實(shí)例形態(tài)的不同構(gòu)成了蠕蟲(chóng)的多態(tài)形式。所以本文需要對(duì)蠕蟲(chóng)進(jìn)行檢測(cè)，需要處理蠕蟲(chóng)不同形態(tài)的實(shí)例。實(shí)驗(yàn)開(kāi)始之前首先對(duì)數(shù)據(jù)進(jìn)行處理，根據(jù)多態(tài)蠕蟲(chóng)數(shù)據(jù)有效載荷的字符的 ASCII 值將其轉(zhuǎn)化為二維矩陣的形式進(jìn)行存儲(chǔ)，并且矩陣中每一個(gè)點(diǎn)都有三種不同的處理方式。實(shí)驗(yàn)所用的數(shù)據(jù)可以劃分為蠕蟲(chóng)與非蠕蟲(chóng)兩類(lèi)。本章依據(jù)檢測(cè)目標(biāo)的不同情況對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行了不同的處理方式，然后進(jìn)行訓(xùn)練。首先，討論了單通道情況下檢測(cè)蠕蟲(chóng)與非蠕蟲(chóng)的實(shí)驗(yàn)的效果，并且分別對(duì)矩陣中每點(diǎn)不同處理方式所產(chǎn)生實(shí)驗(yàn)結(jié)果進(jìn)行了探討。然后，討論了單通道情況下，依次識(shí)別出不同蠕蟲(chóng)種類(lèi)情況。最后，探討了在三通道情況下對(duì)未知蠕蟲(chóng)的檢測(cè)情況。本章 3.1 節(jié)介紹了使用的 CNN 網(wǎng)絡(luò)框架圖；3.2 節(jié)對(duì)于多態(tài)的有效載荷的矩陣處理方式進(jìn)行了詳細(xì)的介紹；3.3 節(jié)說(shuō)明了實(shí)驗(yàn)數(shù)據(jù)的來(lái)源介紹了實(shí)驗(yàn)環(huán)境，并對(duì)不同的數(shù)據(jù)處理方式進(jìn)行了實(shí)驗(yàn)；3.4 節(jié)對(duì)本章進(jìn)行總結(jié)。

圖 3-2 32x32CNN 網(wǎng)絡(luò)示意圖3.2 有效載荷矩陣化處理方式第 3.1 節(jié)中所提及的兩種 CNN 神經(jīng)網(wǎng)絡(luò)是用于對(duì)蠕蟲(chóng)進(jìn)行訓(xùn)練的網(wǎng)絡(luò)。雖然多態(tài)蠕蟲(chóng)的每個(gè)實(shí)例包含不同的字符序列，但是實(shí)現(xiàn)的功能是不變的，且轉(zhuǎn)播到易感主機(jī)上的蠕蟲(chóng)需要在易感主機(jī)上面進(jìn)行重組，所以根據(jù)蠕蟲(chóng)實(shí)例的字符在二維矩陣上分布的統(tǒng)計(jì)實(shí)現(xiàn)蠕蟲(chóng)檢測(cè)有一定的合理性。在進(jìn)行蠕蟲(chóng)的檢測(cè)實(shí)驗(yàn)前需要對(duì)每個(gè)文件中的每條信息都需要進(jìn)行處理，將其轉(zhuǎn)化為可供已知的CNN 網(wǎng)絡(luò)可以處理的結(jié)構(gòu)。而正是這種蠕蟲(chóng)有效載荷的處理方式，使得蠕蟲(chóng)的檢測(cè)得以實(shí)現(xiàn)。本文中數(shù)據(jù)處理所要實(shí)現(xiàn)的操作目標(biāo)如公式（3.1）所示：* 1, 2,…, + → * 1, 2,…, + （3.1）* 1, 2,…, +是長(zhǎng)度為 的有效載荷的字節(jié)向量，* 1, 2,…, +是相對(duì)應(yīng)的字符的 ASCII 值的數(shù)字序列，數(shù)字 為字符 1在 ASCII 表中所對(duì)應(yīng)的數(shù)值。然后遍歷數(shù)字?jǐn)?shù)組* 1, 2,…, +，每次從數(shù)組中讀取兩個(gè)值 和 +1。ASCII 的取

【參考文獻(xiàn)】：
期刊論文
[1]結(jié)構(gòu)化P2P網(wǎng)絡(luò)中主動(dòng)型蠕蟲(chóng)研究現(xiàn)狀與展望[J]. 馬雯,郭平,張正豪.  自動(dòng)化與儀器儀表. 2014(03)
[2]P2P網(wǎng)絡(luò)中被動(dòng)型蠕蟲(chóng)傳播與免疫建模[J]. 馮朝勝,秦志光,袁丁,卿昱.  電子學(xué)報(bào). 2013(05)
[3]多態(tài)蠕蟲(chóng)產(chǎn)生器的設(shè)計(jì)與實(shí)現(xiàn)[J]. 汪潔.  計(jì)算機(jī)應(yīng)用與軟件. 2012(07)
[4]基于彩色編碼的多態(tài)蠕蟲(chóng)特征自動(dòng)提取方法[J]. 汪潔,王建新,陳建二.  軟件學(xué)報(bào). 2010(10)
[5]郵件蠕蟲(chóng)傳播與防御的分析研究[J]. 羅衛(wèi)敏,張鳳荔.  計(jì)算機(jī)應(yīng)用研究. 2009(04)
[6]多態(tài)蠕蟲(chóng)的研究與進(jìn)展[J]. 徐曉萌,郭山清,徐秋亮.  計(jì)算機(jī)科學(xué)與探索. 2008(02)
[7]網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)方法研究[J]. 胡振宇,方濱興,辛毅.  微計(jì)算機(jī)信息. 2008(06)
[8]一種基于網(wǎng)狀關(guān)聯(lián)分析的網(wǎng)絡(luò)蠕蟲(chóng)預(yù)警新方法[J]. 卿斯?jié)h,文偉平,蔣建春,馬恒太,劉雪飛.  通信學(xué)報(bào). 2004(07)



本文編號(hào)：3008421