(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210966921.8 (22)申请日 2022.08.11 (71)申请人 西北工业大 学 地址 710068 陕西省西安市友谊西路127号 申请人 国家计算机网络与信息安全管理中 心 (72)发明人 崔琳　杨黎斌　王星　何清林　 蔡晓妍　戴航　胡金灿　王梦涵　 (74)专利代理 机构 西安恒泰知识产权代理事务 所 61216 专利代理师 王芳 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) (54)发明名称 一种基于神经网络的僵尸网络态势预测方 法和预测系统 (57)摘要 本发明公开了一种基于神经网络的僵尸网 络态势预测方法和预测系统： S1、 获得基础僵尸 感染流量数据， 划分为训练集、 验证集和测试集； S2、 构建僵尸网络感染预测框架； S3、 使用训练集 对僵尸网络感染预测框架进行训练， 得到预训练 的僵尸网络感染预测框架； S4、 使用验证集进行 迭代验证， 得到僵尸网络感染预测框架； S5、 使用 测试集进行测试， 若不符合则返回执行步骤S3， 输出符合要求的僵尸网络感染预测框架； S6、 使 用符合预测要求的僵尸 网络感染预测框对僵尸 网络规模作出预测。 本发明解决了现有僵尸网络 感染过程中传播和演进特征的全面建模和僵尸 网络规模预测框架构建问题， 在僵尸网络未来态 势规模的预测方面有较高的准确率。 权利要求书5页 说明书24页 附图3页 CN 115442084 A 2022.12.06 CN 115442084 A 1.一种基于神经网络的僵尸网络态 势预测方法， 其特 征在于， 包括如下步骤： S1、 获得基础僵尸感染流量数据， 用其构 建多个动态感染级联网络DICN， 形成动态感染 级联网络数据集， 并将该 数据集划分为训练集、 验证集和 测试集； S2、 构建僵尸网络感染预测框架； 具体包括如下子步骤： S2.1、 对输入的每个动态感染级联网络DICN， 进行序列嵌入处理， 获得该DICN的K个序 列嵌入， 每个采样序列嵌入由L个节点序列组成， K个序列嵌入共计包含K ×L个节点嵌入； 获 得的第k个采样序列中第i个节点的节点嵌入被表示 为 S2.2、 将步骤S2.1得到的K个采样序列嵌入利用注意力机制组合， 获得动态感染级联网 络DICN的网络嵌入； S2.3、 将通过步骤S2.1和步骤S2.2迭代处理获得的所有DICN的网络嵌入并行输入LSTM 单元， 然后利用掩蔽多头自注意力机制进行处理， 选择最后一个DICN的网络嵌入作为动态 预测模块的输入； S3、 使用步骤S1得到的训练集对步骤S2中得到的僵尸网络感染预测框架进行训练， 直 到设定的损失函数收敛， 得到预训练的僵尸网络感染预测框架； S4、 使用步骤S1得到的验证集对预训练的僵尸网络感染预测框架进行迭代验证， 选择 在预测集上表现效果 最好的僵尸网络感染预测框架； S5、 使用步骤S1得到的测试集对步骤S4得到的僵尸网络感染预测框架进行测试， 并且 依据测试结果以及评价指标判断是否 符合预测要求， 若不符合， 则返回执行步骤S 3， 继续进 行迭代训练直到测试 结果符合预测要求， 输出符合要求的僵尸网络感染预测框架； S6、 使用步骤S5 中生成的符合预测要求的僵尸网络感染预测框对僵尸网络规模作出预 测。 2.如权利要求1所述的基于神经网络的僵尸网络态势预测方法， 其特征在于， 所述步骤 S1具体包括如下步骤： S1.1、 捕获2个月基础僵尸感染流 量， 作为基础数据集； S1.2、 利用步骤S1.1构建的僵尸感染流量的基础数据集， 对于每一条流量选择攻击发 起方ip地址src_ip、 被攻击主机ip地址dst_ip、 被攻击主机位置dst_loc、 被攻击主机线路 类型dst_iptype和威胁攻击时间戳timestamp， 构建<src_ip， dst_ip， dst_loc， dst_ iptype， timestamp>流 量数据集 合； S1.3、 以时间戳为分割， 划分步骤S1.2输出的<src_ip， dst_ip， dst_loc， dst_iptype， timestamp>流量数据集合， 形 成多个<sr c_ip， dst_ip， dst_loc， dst_ip type， timestamp>流 量数据子集合， 用以构建多个动态感染级 联网络； 第1天 ‑第2天的流量数据集合用以构建第 1个动态感染级联网络， 第1天 ‑第4天的流量数据集合用以构建第2个动态感染级 联网络， 第 1天‑第6天的流量数据集合用以构建第3个动态感染级 联网络， ......， 依次类推， 共计输出 用以构建30个动态感染级联网络的30个<src_ip， dst _ip， dst_loc， dst _iptype， timestamp >流量数据子集 合； S1.4、 利用S1.3步骤输出的根据时间戳划分好的30个流量数据子集合， 分别构建共计 30个动态感染级联网络作为DICN数据集； S1.5、 将S1.4 步骤输出的DICN数据集按照一定比例划分训练集、 验证集和 测试集。权　利　要　求　书 1/5 页 2 CN 115442084 A 23.如权利要求2所述的基于神经网络的僵尸网络态势预测方法， 其特征在于， 所述步骤 S1.2中， 对于多条<sr c_ip， dst_ip， dst_loc， dst_ip type， timestamp>具有相同的sr c_ip和 dst_ip， 但 timestamp不同时， 保留具有最 早时间戳timestamp的一条。 4.如权利要求2所述的基于神经网络的僵尸网络态势预测方法， 其特征在于， 所述步骤 S1.4中， 每 个动态感染级联网络DICN的构建步骤如下： S1.4.1选择当前流量数据 子集合中未被构建有向边的一条<src_ip， dst_ip， dst_loc， dst_iptype， timestamp>对应构建动态感染级联网络DICN中的具有特定起点和终点的唯一 有向边； S1.4.2确定有向边起点和起点类型： 将 src_ip作为有向边的起点， 起点类型标记为Bot (B)； S1.4.3确定有向边终点和终点类型： 将dst_ip作为有向边的终点， 若该dst_ip表示的 主机在未来作为某条捕获流量数据中的src_ip， 则该终点类型标记为Bot(O)， 否则 该终点 类型标记为Target(T)； S1.4.4计算有向边 边缘权重： 若步骤S1.4.2和S1.4.3步骤中标记的有向边的起点和终点类型分别为Bot(B)和 Target(T)， 则边缘权重为α， 利用公式(1)， 即α ＝α1·x1+α2·x2+b进行计算， 其中x1和x2分别 为dst_loc和dst _iptype的数值表示， α1和α2为对应分配给x1和x2的权重系数， α1和α2、 b是通 过NN‑1预先学习的； 若步骤S1.4.2和S1.4.3步骤中标记的有向边的起点和终点类型分别为Bot(B)和Bot (B)， 则边缘权重为β， 利用公式(2)， 即 进行计算， 其中α利用公式(1)计算， NT和 NI是完整僵尸网络爆发周期中僵尸网络中目标设备和受感染设备的总数； S1.4.5标记有向边的时间戳： 将timestamp作为该有向边的时间戳； S1.4.6若当前流量数据子集合中仍然存在未被构建过有向边的<src_ip， dst_ip， dst_ loc， dst_iptype， timestamp>， 则迭代执 行步骤S1.4.1及其后续 步骤。 5.如权利要求1所述的基于神经网络的僵尸网络态势预测方法， 其特征在于， 所述步骤 S2.1具体执 行步骤为： S2.1.1、 对每个动态感染级联网络DICN应用感染影响力优先采样策略EIFS， 按一定顺 序获得共计K个序列， 每 个序列由L个节点构成； S2.1.2、 将步骤S2.1.1采样得到 的每个序列的每个节点利用节点嵌入模块进行处理， 具体来说， 节点嵌入模块用于将节点的one ‑hot高维向量表示映射到其统一低纬空间中的 向量嵌入； 该步骤获得共计K ×L个节点嵌入分别组成K个序列嵌入； S2.1.3、 将步骤S2.1.3得到的K个序列嵌入利用双向门控递归单元进行进一步处理， 即 将每个序列的L个节点并行地输入双向门控递归单元， 赋予该序列中每个节点嵌入感染流 信息； 该步骤输出 K个序列嵌入， 每 个序列嵌入由组成该序列的L个节点嵌入构成。 6.如权利要求1所述的基于神经网络的僵尸网络态势预测方法， 其特征在于， 所述步骤 S2.1.1应用感染影响力优先采样策略EIFS按一定顺序获得共计K个序列， 具体包括如下子 步骤：权　利　要　求　书 2/5 页 3 CN 115442084 A 3