买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：西北工业大学;国家计算机网络与信息安全管理中心

摘要：本发明公开了一种基于神经网络的僵尸网络态势预测方法和预测系统：S1、获得基础僵尸感染流量数据，划分为训练集、验证集和测试集；S2、构建僵尸网络感染预测框架；S3、使用训练集对僵尸网络感染预测框架进行训练，得到预训练的僵尸网络感染预测框架；S4、使用验证集进行迭代验证，得到僵尸网络感染预测框架；S5、使用测试集进行测试，若不符合则返回执行步骤S3，输出符合要求的僵尸网络感染预测框架；S6、使用符合预测要求的僵尸网络感染预测框对僵尸网络规模作出预测。本发明解决了现有僵尸网络感染过程中传播和演进特征的全面建模和僵尸网络规模预测框架构建问题，在僵尸网络未来态势规模的预测方面有较高的准确率。

主权项：1.一种基于神经网络的僵尸网络态势预测方法，其特征在于，包括如下步骤：S1、获得基础僵尸感染流量数据，用其构建多个动态感染级联网络DICN，形成动态感染级联网络数据集，并将该数据集划分为训练集、验证集和测试集；具体包括如下步骤：S1.1、捕获2个月基础僵尸感染流量，作为基础数据集；S1.2、利用步骤S1.1构建的僵尸感染流量的基础数据集，对于每一条流量选择攻击发起方ip地址src_ip、被攻击主机ip地址dst_ip、被攻击主机位置dst_loc、被攻击主机线路类型dst_iptype和威胁攻击时间戳timestamp，构建src_ip,dst_ip,dst_loc,dst_iptype,timestamp流量数据集合；S1.3、以时间戳为分割，划分步骤S1.2输出的src_ip,dst_ip,dst_loc,dst_iptype,timestamp流量数据集合，形成多个src_ip,dst_ip,dst_loc,dst_iptype,timestamp流量数据子集合，用以构建多个动态感染级联网络；第1天-第2天的流量数据集合用以构建第1个动态感染级联网络，第1天-第4天的流量数据集合用以构建第2个动态感染级联网络，第1天-第6天的流量数据集合用以构建第3个动态感染级联网络，……，依次类推，共计输出用以构建30个动态感染级联网络的30个src_ip,dst_ip,dst_loc,dst_iptype,timestamp流量数据子集合；S1.4、利用S1.3步骤输出的根据时间戳划分好的30个流量数据子集合，分别构建共计30个动态感染级联网络作为DICN数据集；S1.5、将S1.4步骤输出的DICN数据集按照一定比例划分训练集、验证集和测试集；S2、构建僵尸网络感染预测框架；具体包括如下子步骤：S2.1、对输入的每个动态感染级联网络DICN，进行序列嵌入处理，获得该DICN的K个序列嵌入，每个采样序列嵌入由L个节点序列组成，K个序列嵌入共计包含K×L个节点嵌入；获得的第k个采样序列中第i个节点的节点嵌入被表示为S2.2、将步骤S2.1得到的K个采样序列嵌入利用注意力机制组合，获得动态感染级联网络DICN的网络嵌入；S2.3、将通过步骤S2.1和步骤S2.2迭代处理获得的所有DICN的网络嵌入并行输入LSTM单元，然后利用掩蔽多头自注意力机制进行处理，选择最后一个DICN的网络嵌入作为动态预测模块的输入；S3、使用步骤S1得到的训练集对步骤S2中得到的僵尸网络感染预测框架进行训练，直到设定的损失函数收敛，得到预训练的僵尸网络感染预测框架；S4、使用步骤S1得到的验证集对预训练的僵尸网络感染预测框架进行迭代验证，选择在预测集上表现效果最好的僵尸网络感染预测框架；S5、使用步骤S1得到的测试集对步骤S4得到的僵尸网络感染预测框架进行测试，并且依据测试结果以及评价指标判断是否符合预测要求，若不符合，则返回执行步骤S3，继续进行迭代训练直到测试结果符合预测要求，输出符合要求的僵尸网络感染预测框架；S6、使用步骤S5中生成的符合预测要求的僵尸网络感染预测框对僵尸网络规模作出预测。

全文数据：

权利要求：

百度查询： 西北工业大学 国家计算机网络与信息安全管理中心 一种基于神经网络的僵尸网络态势预测方法和预测系统