10、基于深度学习和网络流量分析的僵尸网络检测及机器学习结果可解释性研究

基于深度学习和网络流量分析的僵尸网络检测及机器学习结果可解释性研究

僵尸网络检测方法

僵尸网络检测提出了一种基于模式的分类技术的新方法。该方法的具体步骤如下：
1. 过滤输入网络流量 ：聚焦于使用 TCP、UDP 和 ICMP 协议的流量。
2. 重新整理信息 ：对过滤后的网络流量信息进行重新排列，以便直观理解网络流量。
3. 提取特征 ：借助网络图，提取诸如持续时间、交换的总字节数、总包数、时间戳和自相关计数等特征。
4. 构建分类器 ：设计深度神经网络处理从网络图中提取的统计特征，使用 CNN 架构创建僵尸网络流量分类器，并将统计特征输入模型进行训练和测试。

该方法具有以下优点：
- 适用于所有类型的僵尸网络架构，无需事先了解僵尸网络类型或 C&C 服务器 IP 地址。
- 通过与相关研究论文中的指标进行比较，证明该方法优于以往的工作，统计显示其准确率为 0.9936，精度为 0.9898，召回率为 0.9847，F1 分数为 0.9872。

以下是该方法的流程 mermaid 图：

graph LR
    A[输入网络流量] --> B[过滤流量]
    B --> C[重新整理信息]
    C --> D[提取特征]
    D --> E[构建深度神经网络]
    E --> F[训练和测试模型]