吳迪，方濱興，崔翔，劉奇旭

?

BotCatcher：基于深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測系統(tǒng)?

吳迪1,2，方濱興3,4,5，崔翔1,3，劉奇旭1,2

（1. 中國科學(xué)院信息工程研究所，北京 100093；2. 中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3. 廣州大學(xué)網(wǎng)絡(luò)空間先進(jìn)技術(shù)研究院，廣東 廣州 510006；4. 電子科技大學(xué)廣東電子信息工程研究院，廣東 東莞 523808；5. 北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100876）

機器學(xué)習(xí)技術(shù)在僵尸網(wǎng)絡(luò)檢測領(lǐng)域具有廣泛應(yīng)用，但隨著僵尸網(wǎng)絡(luò)形態(tài)和命令控制機制逐漸變化，人工特征選取變得越來越困難。為此，提出基于深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測系統(tǒng)——BotCatcher，從時間和空間這2個維度自動化提取網(wǎng)絡(luò)流量特征，通過結(jié)合多種深層神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)建立分類器。BotCatcher不依賴于任何有關(guān)協(xié)議和拓?fù)涞南闰炛R，不需要人工選取特征。實驗結(jié)果表明，該模型性能良好，能夠?qū)┦W(wǎng)絡(luò)流量進(jìn)行準(zhǔn)確識別。

僵尸網(wǎng)絡(luò)；深度學(xué)習(xí)；檢測；特征

1 引言

僵尸網(wǎng)絡(luò)（botnet）[1]是指一群可被攻擊者遠(yuǎn)程控制的非合作用戶終端。其中，被感染的終端稱為僵尸主機（bot），控制者（botmaster）可以通過命令與控制（C&C, command and control）信道對僵尸主機進(jìn)行一對多的操控。作為一種大規(guī)模攻擊平臺，攻擊者可以利用僵尸網(wǎng)絡(luò)發(fā)起分布式拒絕服務(wù)（DDoS, distributed denial of service）、垃圾郵件、釣魚攻擊、惡意軟件分發(fā)、加密勒索、虛擬貨幣挖掘等大規(guī)模攻擊活動，對互聯(lián)網(wǎng)造成了極大的安全威脅。2016年，Mirai僵尸網(wǎng)絡(luò)通過控制物聯(lián)網(wǎng)智能設(shè)備對OVH、Dyn等公司發(fā)起多次大規(guī)模DDoS攻擊，并引發(fā)了美國東海岸斷網(wǎng)事件和德國電信用戶訪問網(wǎng)絡(luò)異常事件[2]。2017年，WannaCry通過MS17-010漏洞在全球范圍內(nèi)爆發(fā)，影響近百個國家上千家企業(yè)及公共組織，該程序感染計算機后會植入敲詐者病毒，導(dǎo)致電腦大量文件被加密[3]。安天和電信云堤發(fā)布的《2017全球僵尸網(wǎng)絡(luò)DDoS攻擊威脅態(tài)勢報告》中指出，2017年，受到黑客DDoS攻擊的國家共130個，其中，我國被攻擊總次數(shù)高達(dá)12 200萬次，占全球受攻擊總數(shù)的84.79%。

在僵尸網(wǎng)絡(luò)檢測領(lǐng)域，機器學(xué)習(xí)技術(shù)目前得到了廣泛應(yīng)用。尤其在異常檢測方面，研究人員利用分類（如樸素貝葉斯[4]、支持向量機[5]、隨機森林[6]）或聚類（如DBSCAN[7]、-means[8]）算法，依據(jù)多種特征建立模型，識別惡意網(wǎng)絡(luò)流量。這些檢測模型在論文實驗中都具有較低的漏報率和誤報率，但是都面臨一個相同的問題：依賴人工選取的特征。特征通常在模型建立前由研究者通過經(jīng)驗設(shè)定，常見的角度包括網(wǎng)絡(luò)流屬性（如數(shù)據(jù)分組數(shù)量、數(shù)據(jù)分組平均字節(jié)）、時間（如相鄰2條數(shù)據(jù)流平均間隔時間）、行為（如是否訪問相同服務(wù)器）等。合理的特征可以有效地提高模型的性能，但是一方面，人工選取對設(shè)計者的先驗知識有著較高要求，另一方面，固定的特征也為攻擊者提供了可乘之機。攻擊者可以利用對抗機器學(xué)習(xí)思想，針對性地改變僵尸網(wǎng)絡(luò)流量相關(guān)特征，借此逃避模型的檢測。文獻(xiàn)[9]指出攻擊者可以通過向僵尸網(wǎng)絡(luò)流量中注入特定數(shù)據(jù)分組和數(shù)據(jù)流噪聲的方法消除空間相似性以及在通信中加入隨機時延來消除時間相似性。文獻(xiàn)[10]指出攻擊者可以通過使僵尸主機隨機訪問正常域名從而逃避防御人員對C&C服務(wù)器的聚類。

目前，深度學(xué)習(xí)技術(shù)在圖像分類和文本識別領(lǐng)域有著廣泛的應(yīng)用[11-12]，其通過多層神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)與大量參數(shù)的調(diào)節(jié)，可以對樣本的特征進(jìn)行逐層抽象和提取。因此，為了解決特征選取困難和容易被攻擊者針對的問題，本文圍繞基于深度學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測系統(tǒng)展開討論。本文的主要貢獻(xiàn)如下。

1) 提出一種新型檢測模型——BotCatcher，利用深度學(xué)習(xí)技術(shù)自動化學(xué)習(xí)網(wǎng)絡(luò)流量時間和空間這2個維度的特征，將特征提取與模型訓(xùn)練過程結(jié)合起來，從全局的角度識別僵尸網(wǎng)絡(luò)流量。該檢測模型不依賴于任何有關(guān)協(xié)議和拓?fù)涞南闰炛R，也不需要人工選擇特征。

2) 提出2種深層神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)用于時空特征的提取?？臻g維度方面，借鑒卷積神經(jīng)網(wǎng)絡(luò)（CNN, convolutional neural network）在圖像識別領(lǐng)域的應(yīng)用方法，將網(wǎng)絡(luò)流量映射為灰度圖像，并利用多層CNN從中逐步抽取特征。時間維度方面，先對每條數(shù)據(jù)流進(jìn)行處理得到對應(yīng)的數(shù)據(jù)分組序列與字節(jié)序列，再分別送入長短期記憶（LSTM, long short-term memory）網(wǎng)絡(luò)中學(xué)習(xí)特征。

3) 實現(xiàn)BotCatcher原型系統(tǒng)，構(gòu)造合理數(shù)據(jù)集進(jìn)行性能評估實驗。實驗研究表明，BotCatcher相比已有的深度學(xué)習(xí)檢測模型，具有更高的準(zhǔn)確性，能夠有效檢測大規(guī)模復(fù)雜的僵尸網(wǎng)絡(luò)流量。

2 相關(guān)工作

僵尸網(wǎng)絡(luò)檢測已有工作總結(jié)如表1所示。從公開發(fā)表的文獻(xiàn)看，僵尸網(wǎng)絡(luò)檢測領(lǐng)域目前有如下具有代表性的工作。

基于網(wǎng)絡(luò)流量的僵尸網(wǎng)絡(luò)檢測技術(shù)主要包括誤用檢測和異常檢測等。其中，誤用檢測基于通信特征碼，使用事先配置的特征匹配規(guī)則對網(wǎng)絡(luò)流量進(jìn)行篩選，相關(guān)的入侵檢測系統(tǒng)（IDS, intrusion detection system）包括USTAT[13]、NetSTAT[14]等。文獻(xiàn)[15]通過對Snort（一款著名的開源IDS）進(jìn)行自定義規(guī)則配置，提出了一種以IDS為驅(qū)動的基于狀態(tài)的僵尸網(wǎng)絡(luò)檢測系統(tǒng)Bothunter。文獻(xiàn)[16]通過在可控環(huán)境中觀察僵尸主機行為，自動化提取特征，對不同協(xié)議的僵尸網(wǎng)絡(luò)分別建立檢測模型，并在實際檢測過程中自動生成。誤用檢測技術(shù)雖然對已知的僵尸網(wǎng)絡(luò)的準(zhǔn)確率較高，但是對加密流量的識別能力較弱，而且無法檢測未知攻擊。

異常檢測假設(shè)僵尸網(wǎng)絡(luò)中C&C服務(wù)器與僵尸主機之間的通信模式與正常用戶之間的通信模式有顯著差異，因此可通過流量分析來對僵尸網(wǎng)絡(luò)產(chǎn)生的異常流量進(jìn)行檢測，典型的異常特征包括高網(wǎng)絡(luò)時延、非常規(guī)端口流量等。異常檢測方法多使用機器學(xué)習(xí)技術(shù)，針對使用模型的不同，主要可以分為2種：無監(jiān)督的聚類模型和有監(jiān)督的分類模型。

聚類模型方面，文獻(xiàn)[8]提出了一種與協(xié)議拓?fù)錈o關(guān)的僵尸網(wǎng)絡(luò)檢測模型Botminer，其基于僵尸網(wǎng)絡(luò)具有時空相似性（space-time similarity）的假設(shè)，從主機行為與通信模式這2個層面對具有相似性的網(wǎng)絡(luò)流量分別聚類，通過對聚類結(jié)果進(jìn)行關(guān)聯(lián)分析得出可疑的僵尸網(wǎng)絡(luò)流量。文獻(xiàn)[17]提出的檢測模型與Botminer原理相似，在關(guān)聯(lián)分析階段采用了時間窗模式，并增加了實時檢測功能。文獻(xiàn)[10]提出了一種系統(tǒng)化的相關(guān)服務(wù)器挖掘模型，該模型沒有對僵尸主機進(jìn)行水平關(guān)聯(lián)，而是通過流量聚類挖掘具有相似性的可疑服務(wù)器，所用的特征包括與服務(wù)器通信的客戶端集合、服務(wù)器IP地址、whois信息等。

表1 僵尸網(wǎng)絡(luò)檢測已有工作總結(jié)

分類模型方面，文獻(xiàn)[4]針對IRC僵尸網(wǎng)絡(luò)，利用J48、樸素貝葉斯和貝葉斯網(wǎng)絡(luò)算法設(shè)計了分類器，具有較低的漏報率。文獻(xiàn)[18]針對P2P僵尸網(wǎng)絡(luò)，比較了SVM、KNN等5種分類器在實時檢測中的表現(xiàn)。文獻(xiàn)[6]提出一種面向NetFlow數(shù)據(jù)的大規(guī)模高速檢測系統(tǒng)DISCLOSURE，通過采用隨機森林模型動態(tài)選取特征，在不同的應(yīng)用場景中可自適應(yīng)地平衡漏報率和誤報率。文獻(xiàn)[19]提出了一種新型的隨機化數(shù)據(jù)分割學(xué)習(xí)模型，采用改良的正向選擇排序技術(shù)從特征集中過濾多余無關(guān)的特征，并通過基于泰森多邊形的數(shù)據(jù)剪枝方法來減小龐大的訓(xùn)練數(shù)據(jù)集。

隨著人工智能理念以及深度學(xué)習(xí)技術(shù)的發(fā)展，神經(jīng)網(wǎng)絡(luò)和深度學(xué)習(xí)算法被逐漸應(yīng)用于僵尸網(wǎng)絡(luò)檢測領(lǐng)域。文獻(xiàn)[20]提出利用帶有反向傳播機制的多層前饋神經(jīng)網(wǎng)絡(luò)建立分類器，并對算法進(jìn)行改進(jìn)使其在更新權(quán)值時可以動態(tài)調(diào)整模型的學(xué)習(xí)速率。文獻(xiàn)[21]提出將僵尸網(wǎng)絡(luò)流量轉(zhuǎn)化成隨時間變化的狀態(tài)序列特征，采用循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN, recurrent neural network）對這些特征進(jìn)行學(xué)習(xí)來建立檢測模型。文獻(xiàn)[22-23]提出利用CNN學(xué)習(xí)網(wǎng)絡(luò)流量的特征，利用圖形分類的方法來實現(xiàn)流量分類。

不同于上述已有工作，本文結(jié)合多種深度學(xué)習(xí)算法來建立模型，通過多層神經(jīng)網(wǎng)絡(luò)逐步抽象，自動化地學(xué)習(xí)網(wǎng)絡(luò)流量時間與空間這2個維度的特征，從而實現(xiàn)對大規(guī)模復(fù)雜僵尸網(wǎng)絡(luò)的準(zhǔn)確檢測。

3 模型設(shè)計

3.1 BotCatcher概述

BotCatcher的目標(biāo)為通過深度學(xué)習(xí)算法，從網(wǎng)絡(luò)流量中自動化地提取時間與空間這2個維度的特征，并依此訓(xùn)練分類器。在特征學(xué)習(xí)模塊中，空間維度特征提取采用CNN算法，主要方法為將數(shù)據(jù)流轉(zhuǎn)換為二維灰度圖像，然后利用CNN在圖像識別領(lǐng)域應(yīng)用的方法對流量特征進(jìn)行學(xué)習(xí)；時間維度特征提取采用RNN算法，本系統(tǒng)具體選擇LSTM神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)流中依時序排列的數(shù)據(jù)分組序列和字節(jié)序列進(jìn)行特征學(xué)習(xí)。整體框架如圖1所示。

3.1.1 數(shù)據(jù)預(yù)處理

原始數(shù)據(jù)集文件為pcap格式，由多個數(shù)據(jù)分組（packet）構(gòu)成，而BotCatcher進(jìn)行特征學(xué)習(xí)的對象為數(shù)據(jù)流（flow），因此在進(jìn)行特征提取建立模型之前需要對原始數(shù)據(jù)進(jìn)行預(yù)處理，將其聚合為數(shù)據(jù)流形式。相關(guān)概念定義如下。

圖1 BotCatcher整體框架

定義1數(shù)據(jù)分組。數(shù)據(jù)分組定義為=(x,s,t)，其中，x表示五元組<,,,,>，即源IP、源端口、目的IP、目的端口和傳輸協(xié)議，s表示數(shù)據(jù)分組的大小，t表示數(shù)據(jù)分組的起始時間。原始數(shù)據(jù)集可以表示為數(shù)據(jù)分組的集合={1,2,…,p}，為數(shù)據(jù)集包含的數(shù)據(jù)分組數(shù)量。

定義2數(shù)據(jù)流。數(shù)據(jù)流由數(shù)據(jù)集中五元組相同的數(shù)據(jù)分組組合而成，且流中的數(shù)據(jù)分組按照時間順序排列，即{1=(1,1,1),2=(2,2,2),…,p=(x,s,t)},其中，1=2=…=x,1<2<…<t。單個數(shù)據(jù)流定義為=(x,s,d,t)，其中，x表示流中所有數(shù)據(jù)分組相同的五元組，s表示流中所有數(shù)據(jù)分組的大小之和，d表示流的持續(xù)時間，t表示流中第一個數(shù)據(jù)分組的起始時間。

因此，網(wǎng)絡(luò)流量呈層次化結(jié)構(gòu)，如圖2所示。最底層為按照時間順序排列的字節(jié)序列，這些字節(jié)序列根據(jù)不同的網(wǎng)絡(luò)協(xié)議聚合形成不同的數(shù)據(jù)分組，數(shù)據(jù)分組序列根據(jù)五元組是否相同聚合形成數(shù)據(jù)流。

圖2 網(wǎng)絡(luò)流量層次化結(jié)構(gòu)

3.1.2 交叉驗證

為了提高檢測模型的泛化能力，同時更準(zhǔn)確地評估模型的分類性能，BotCatcher對數(shù)據(jù)流采用-折交叉驗證（-fold cross validation）方法構(gòu)造訓(xùn)練集。-折交叉驗證指將樣本數(shù)據(jù)集隨機劃分為個相同大小的子集，在每次模型訓(xùn)練迭代過程中，按順序選取其中的一個子集作為測試集，剩下的1個子集作為訓(xùn)練集。本文取=10，即將數(shù)據(jù)集分為10份，每次取其中9份進(jìn)行訓(xùn)練，根據(jù)損失函數(shù)（用來評估預(yù)測值與實際值的差距）進(jìn)行優(yōu)化后執(zhí)行下一次迭代。

3.2 空間特征學(xué)習(xí)

卷積神經(jīng)網(wǎng)絡(luò)是一種基于多層監(jiān)督學(xué)習(xí)的人工神經(jīng)網(wǎng)絡(luò)，具有局部感知和權(quán)值共享等特點，能夠自動化地學(xué)習(xí)目標(biāo)的多尺度特征，相比傳統(tǒng)的模式識別方法，具有更好的自適應(yīng)性和容錯能力，廣泛應(yīng)用于圖像分類等領(lǐng)域，因此BotCatcher選擇采用CNN對數(shù)據(jù)流的空間特征進(jìn)行學(xué)習(xí)。

3.2.1 數(shù)據(jù)規(guī)范化

在學(xué)習(xí)前需要將每個數(shù)據(jù)流轉(zhuǎn)化為一張二維灰度圖像。為了提取出相同維度的特征，CNN要求輸入的圖片大小相同，而經(jīng)過數(shù)據(jù)預(yù)處理得到的訓(xùn)練集中，各個數(shù)據(jù)流大小不一，且方差可能很大。因此為了便于接下來的特征學(xué)習(xí)，BotCatcher對所有的數(shù)據(jù)流進(jìn)行截取，取每個數(shù)據(jù)流前1 024 B（32×32）的數(shù)據(jù)（截取長度在第4節(jié)中進(jìn)行評估），如果某條數(shù)據(jù)流長度不夠1 024 B，則在末尾用0x00進(jìn)行填充。通常，一條數(shù)據(jù)流前面的數(shù)據(jù)主要包括連接信息（例如TCP連接中的三次握手、TLS連接中的密鑰交換）與少部分的內(nèi)容交換，可以較好地反映整條數(shù)據(jù)流的主要特征。

3.2.2 圖片轉(zhuǎn)化

為了驗證CNN對流量分類的科學(xué)性和可行性，本文從NETRESEC網(wǎng)站隨機選取了幾種惡意流量，同時捕獲了幾種常見的日常流量，并將其可視化。具體方法為：從某一類的流量中隨機抽取若干條數(shù)據(jù)流，截取每個數(shù)據(jù)流中的前1 024 B的數(shù)據(jù)，并將每個字節(jié)轉(zhuǎn)化為一個8位灰度像素（0x00表示黑色，0xff表示白色），最后形成一個32×32的灰度圖像，如圖3所示。

圖3 不同類別流量轉(zhuǎn)化成的灰度圖像

從圖3可以看出，不同應(yīng)用種類的pcap圖像之間具有較為明顯的差別，而每一類中的數(shù)據(jù)流則具有極高的相似度。因此可以推測僵尸網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)化生成的圖像與正常數(shù)據(jù)流的圖像具有顯著差異，即使用CNN對圖片分類的方法進(jìn)行流量識別是有效的。

3.2.3 CNN結(jié)構(gòu)設(shè)計

本文流量預(yù)處理得到的圖片輸入尺寸以及訓(xùn)練模型所使用的數(shù)據(jù)量與經(jīng)典的LeNet-5結(jié)構(gòu)十分相似。LeNet-5共使用7層卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，包括卷積層、池化層、卷積層、池化層、卷積層、全連接層和輸出層，它避免了對圖像進(jìn)行復(fù)雜的預(yù)處理過程，在模式分類領(lǐng)域獲得了廣泛應(yīng)用，尤其對于手寫數(shù)字識別具有非常高的準(zhǔn)確率。因此BotCatcher借鑒LeNet-5結(jié)構(gòu)，同時由于數(shù)據(jù)流灰度圖像相比于簡單的手寫數(shù)字具有更多復(fù)雜的細(xì)節(jié)，因此在使用CNN時加入了更多的過濾器來全面學(xué)習(xí)樣本特征。BotCatcher共采用2個卷積層，并在每個卷積層后的池化層進(jìn)行最大池化（max-pooling）操作。

圖4 CNN結(jié)構(gòu)設(shè)計

CNN具體結(jié)構(gòu)如圖4所示，每層功能介紹如下。

1) 卷積層C1：卷積操作共使用32個過濾器，卷積核大小為5×5，卷積步長為1。該層由32個大小為28×28的特征圖組成。

2) 池化層S1：C1層的每個特征圖在該層進(jìn)行一次大小為2×2的最大池化操作，即對每個特征圖進(jìn)行步長為2的2×2過濾，取4個輸入中的最大值。該層由32個大小為14×14的特征圖組成。

3) 卷積層C2：卷積操作共使用64個過濾器，卷積核大小為5×5，卷積步長為1。該層由64個大小為10×10的特征圖組成，其中，每個特征圖連接S1層的所有32個或幾個特征圖。

4) 池化層S2：與S1層進(jìn)行的池化操作相同，該層由64個大小為5×5的特征圖組成，特征圖中的每個單元與C2層中相對應(yīng)特征圖的2×2鄰域相連接。

5) 全連接層D1：由1 024個神經(jīng)元構(gòu)成，與S2層全相連，輸出為1 024維向量。

6) 全連接層D2：由10個神經(jīng)元構(gòu)成，與D1層全相連，輸出為10維向量。

3.3 時間特征學(xué)習(xí)

CNN只能對數(shù)據(jù)流的空間特征進(jìn)行學(xué)習(xí)，無法提取鏈?zhǔn)浇Y(jié)構(gòu)的輸入集中各單元之間的依賴關(guān)系。為了更深層地挖掘數(shù)據(jù)流在時間序列上的特征，BotCatcher采用RNN中的LSTM神經(jīng)網(wǎng)絡(luò)進(jìn)行時間特征學(xué)習(xí)。相比于傳統(tǒng)的前向反饋神經(jīng)網(wǎng)絡(luò)，RNN引入了定向循環(huán)，能夠處理輸入之間前后關(guān)聯(lián)的問題，目前，RNN在自然語言處理（NLP, natural language processing）領(lǐng)域已經(jīng)取得了巨大成功。如圖2所示，網(wǎng)絡(luò)流量中的每個數(shù)據(jù)流都由按照時間順序排列的數(shù)據(jù)分組序列構(gòu)成，因此可以使用RNN對其進(jìn)行序列挖掘。LSTM是一種特殊的RNN，主要解決了序列數(shù)據(jù)中“長期依賴”的問題。通常，網(wǎng)絡(luò)流量由于其協(xié)議的特殊性，數(shù)據(jù)流中的一些數(shù)據(jù)分組可能與在其之前的個數(shù)據(jù)分組存在依賴關(guān)系（例如TCP握手階段的超時重連），因此相比于簡單循環(huán)神經(jīng)網(wǎng)絡(luò)，LSTM更符合流量特征挖掘的場景需求。

為了更準(zhǔn)確地提取特征，BotCatcher采用雙向LSTM，即對每個數(shù)據(jù)流進(jìn)行正向、反向2個方向的序列掃描。同時采用雙層LSTM架構(gòu)，先以數(shù)據(jù)分組中的字節(jié)序列作為LSTM的輸入，將每個數(shù)據(jù)分組轉(zhuǎn)化為一個向量，再將得到的數(shù)據(jù)分組向量序列作為LSTM的輸入，生成最終的時間維度特征。

3.3.1 輸入規(guī)范化

與3.2節(jié)相同，為了進(jìn)行模型訓(xùn)練，需要對所有輸入的數(shù)據(jù)流進(jìn)行結(jié)構(gòu)規(guī)范化，統(tǒng)一格式。BotCatcher對每個數(shù)據(jù)流截取前8個數(shù)據(jù)分組，每個數(shù)據(jù)分組取前100個字節(jié)（截取長度在第4節(jié)進(jìn)行評估），若長度不夠，則在末尾用0x00填充。

圖5 LSTM結(jié)構(gòu)設(shè)計

3.3.2 LSTM結(jié)構(gòu)設(shè)計

LSTM具體結(jié)構(gòu)如圖5所示，各層功能介紹如下。

1) 獨熱編碼層One-Hot：首先將數(shù)據(jù)流分為8個數(shù)據(jù)分組，每個數(shù)據(jù)分組為100維向量=(1,2,…,a),=1,2,…,，a∈*且0≤a≤255。這樣，數(shù)字化的向量在進(jìn)行訓(xùn)練時，模型會將字節(jié)這種離散值誤認(rèn)為連續(xù)值，從而影響權(quán)重學(xué)習(xí)，降低準(zhǔn)確率。因此在進(jìn)行第一層LSTM學(xué)習(xí)之前，需要對數(shù)據(jù)分組向量進(jìn)行編碼。BotCatcher采用One-Hot編碼，將每個字節(jié)編碼為256維的向量，其中只有一位為1，其他位均為0，數(shù)據(jù)分組即變?yōu)?00×256的稀疏矩陣。

2) LSTM層L1：由100個LSTM單元構(gòu)成，輸入為One-Hot編碼后的字節(jié)序列，輸出為100個256維向量。

函數(shù)、方程都是刻畫現(xiàn)實世界中量與量之間變化規(guī)律的重要數(shù)學(xué)模型,運用函數(shù)思想解決問題時常需要構(gòu)造函數(shù),構(gòu)造法屬非常規(guī)思維,它適用于對某些常規(guī)方法不易解決的問題．

3) 全連接層D1：由256個神經(jīng)元構(gòu)成，輸出為256維向量。

4) LSTM層L2：由8個LSTM單元構(gòu)成，輸入為D1層生成的數(shù)據(jù)分組序列，輸出為8個256維向量。

5) 全連接層D2：由10個神經(jīng)元構(gòu)成，輸出為10維向量。

3.4 分類學(xué)習(xí)

在進(jìn)行分類之前，需要對數(shù)據(jù)流時間和空間這2個維度的特征進(jìn)行聚合。聚合過程有累加、累乘、取最大值等多種方式，為了盡可能地保留網(wǎng)絡(luò)流量的時空特性，BotCatcher采用串聯(lián)的方式進(jìn)行聚合，即將2個10維的特征向量相接，構(gòu)成一個20維的特征向量。

1) 分類器選擇：基于數(shù)據(jù)流特征，使用Softmax分類器來判斷輸入的數(shù)據(jù)流為正常流量還是僵尸網(wǎng)絡(luò)流量，如式(1)所示。其中，V為向量的第個元素，該元素的Softmax值S為

Softmax會將多個神經(jīng)元的輸出映射到(0,1)內(nèi)，各個輸出之和為1，符合概率形式，簡單易用。本文的Softmax作為二分類器，輸出結(jié)果為2類。

2) 損失函數(shù)：模型訓(xùn)練時，在分類器后需要根據(jù)損失函數(shù)計算損失，繼而進(jìn)行反向傳播來進(jìn)行參數(shù)調(diào)整，即BP（back propagation）過程。BotCatcher選用多分類交叉熵?fù)p失（categorical cross-entropy loss）函數(shù)作為模型的損失函數(shù)。此外，為了防止訓(xùn)練結(jié)果過擬合，使權(quán)重的分配更加均勻，在損失函數(shù)中加入了正則項，如式(2)所示。

3) 優(yōu)化算法：BotCatcher采取的優(yōu)化算法為基于mini-batch的隨機梯度下降法（SGD, stochastic gradient descent），并加入動量參數(shù)來提高穩(wěn)定性，加快學(xué)習(xí)速度。參數(shù)更新過程如式(3)所示。

模型訓(xùn)練過程如算法1所示。

算法1 模型訓(xùn)練過程

輸出 更新后的網(wǎng)絡(luò)權(quán)重矩陣，偏移量

2) 從訓(xùn)練集中隨機選取對樣本

8) end for

9) 使用驗證集進(jìn)行驗證

10) end while

4 效果評估

4.1 數(shù)據(jù)集

本文實驗采用的數(shù)據(jù)集由僵尸網(wǎng)絡(luò)流量、正常網(wǎng)絡(luò)流量和背景流量3個部分組成。其中，僵尸網(wǎng)絡(luò)流量取自CTU大學(xué)（布拉格捷克理工大學(xué)）組織建立的Stratosphere IPS項目，該項目的一個姊妹項目Malware Capture Facility專門負(fù)責(zé)收集和捕獲各種類型的惡意流量和正常流量，著名的CTU-13數(shù)據(jù)集[24]就由該項目建立。本文從中選擇了若干個具有代表性的僵尸網(wǎng)絡(luò)作為實驗數(shù)據(jù)集，并對其中過大（超過1 GB）的pcap分組進(jìn)行了一定裁剪，如表2所示。正常網(wǎng)絡(luò)流量取自ISOT 2010數(shù)據(jù)集[25]，該數(shù)據(jù)集混合了French chapter of Honeynet[26]、Ericsson Research in Hungray[27]等多個項目的公開數(shù)據(jù)集，包括Storm和Zeus這2種P2P僵尸網(wǎng)絡(luò)以及HTTP、P2P應(yīng)用（例如bittorrent）、游戲等多種非惡意流量，本文選取其中未感染主機的流量作為本文實驗的正常流量。

此外，為了使實驗數(shù)據(jù)更接近用戶日常上網(wǎng)環(huán)境，對本地10臺日常使用的電腦進(jìn)行了流量采集，生成流量作為本文實驗的背景流量。

表2 數(shù)據(jù)集

4.2 評估指標(biāo)

為了對檢測模型的表現(xiàn)進(jìn)行評估，本文共選取3個實驗指標(biāo)，分別為準(zhǔn)確率（）、誤報率（）和F值，如式(4)所示。

其中，值為查準(zhǔn)率和查全率的加權(quán)調(diào)和平均值，由于在流量檢測中查準(zhǔn)率比查全率更加重要，因此應(yīng)介于0~1之間，本文將定為0.5。是將正類預(yù)測為正類的數(shù)量，是將負(fù)類預(yù)測為負(fù)類的數(shù)量，是將負(fù)類預(yù)測為正類的數(shù)量，為將正類預(yù)測為負(fù)類的數(shù)量。

4.3 參數(shù)選擇

第3節(jié)中，在對流量進(jìn)行特征學(xué)習(xí)時，需要對數(shù)據(jù)集進(jìn)行預(yù)處理，通過截取相同大小的長度將流量數(shù)據(jù)處理成深度學(xué)習(xí)框架需要的輸入形式，相關(guān)參數(shù)包括以下3個部分。

1)：空間特征學(xué)習(xí)模塊中，每條數(shù)據(jù)流的字節(jié)數(shù)，即輸入圖片的大小。

2)：時間特征學(xué)習(xí)模塊中，每條數(shù)據(jù)流的數(shù)據(jù)分組數(shù)量。

3)：時間特征學(xué)習(xí)模塊中，每個數(shù)據(jù)分組的字節(jié)數(shù)。

合理的模型輸入規(guī)格可以更好地保留流量數(shù)據(jù)自身特性，同時有助于構(gòu)造出學(xué)習(xí)能力更強的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，加快模型學(xué)習(xí)的效率。因此，為了方便選擇合適的參數(shù)，本文取Conficker、Neris、Zeus這3個較為典型的僵尸網(wǎng)絡(luò)數(shù)據(jù)集，對它們的流量特征進(jìn)行了3個方面的統(tǒng)計，即每條數(shù)據(jù)流的字節(jié)數(shù)、每條數(shù)據(jù)流的數(shù)據(jù)分組數(shù)和每個數(shù)據(jù)分組的字節(jié)數(shù)，統(tǒng)計數(shù)據(jù)分組包括總數(shù)、最大值、最小值、平均值和眾數(shù)，如表3所示。

表3 流量參數(shù)統(tǒng)計數(shù)據(jù)

綜合表3提供的信息，本文將2個特征學(xué)習(xí)模塊作為單獨的模型分別進(jìn)行了模擬實驗（即只用空間特征訓(xùn)練或只用時間特征訓(xùn)練），并根據(jù)結(jié)果對模型參數(shù)進(jìn)行了如下選擇。

1) 對于空間特征學(xué)習(xí)模塊，本文對分別取25×25、26×26、…、37×37，構(gòu)造13組訓(xùn)練集對模型進(jìn)行訓(xùn)練，訓(xùn)練結(jié)果如圖6所示。從圖6可以看出，當(dāng)大小超過1 089（33×33）時，模型準(zhǔn)確率不再有顯著上升。結(jié)合CNN模型的學(xué)習(xí)經(jīng)驗，本文將確定為與LeNet-5的輸入集大小相同，即1 024（32×32）。

圖6 bpf參數(shù)選擇

2) 對于時間特征學(xué)習(xí)模塊，雖然在一定范圍內(nèi)取更大的和可以更好地反映流量內(nèi)部的時間關(guān)聯(lián)，但是由于該模塊輸入的訓(xùn)練集格式為四維矩陣，隨著2個參數(shù)取值的增加，得到的訓(xùn)練集會成倍增大，并最終對模型訓(xùn)練速率造成很大的影響，因此該模塊的參數(shù)選擇在保證一定準(zhǔn)確率的前提下，訓(xùn)練時間成本與空間占用成本成為主要的考慮因素。此外，從表3可以看出，數(shù)據(jù)流所含的數(shù)據(jù)分組多數(shù)為6~10個，數(shù)據(jù)分組中所含的字節(jié)數(shù)多數(shù)都不超過100 B，由此可以判斷較小的和即可反映大部分流量的時間特性。本文對分別取6、8、10、12，對分別取80、100、120，構(gòu)造12組訓(xùn)練集對模型進(jìn)行訓(xùn)練，在訓(xùn)練集大小為1 000個樣本的情況下，10輪epoch所需的訓(xùn)練時間（包括讀取訓(xùn)練數(shù)據(jù)的時間）與準(zhǔn)確率如圖7所示。從圖7可以看出，當(dāng)和分別為8和100時，模型有較高的準(zhǔn)確度，且訓(xùn)練時間成本較小，隨著參數(shù)取值變大，準(zhǔn)確率不再有顯著增長，但是時間成本大幅度提高。因此本文將確定為8，確定為100。

圖7 ppf和bpp參數(shù)選擇

4.4 評估結(jié)果

4.4.1 實驗環(huán)境

數(shù)據(jù)預(yù)處理階段，采用pkt2flow工具將原始pcap分組轉(zhuǎn)化為數(shù)據(jù)流。模型搭建階段，采用keras作為神經(jīng)網(wǎng)絡(luò)框架，計算機配置為8核16 GB內(nèi)存，搭載64位的Ubuntu 16.04，顯卡為AMD R7 350。參數(shù)方面，mini-batch大小為128，訓(xùn)練時間為30輪epoch。此外，為了提升訓(xùn)練速度、防止過擬合，模型采用dropout方法，丟棄率為0.25。

4.4.2 實驗結(jié)果

正如本文第2節(jié)所述，僵尸網(wǎng)絡(luò)檢測方面已經(jīng)有利用CNN、RNN等深度學(xué)習(xí)技術(shù)構(gòu)建檢測模型的例子。本文為了更全面、更精確地刻畫網(wǎng)絡(luò)流量特征，沒有采用單一的方法，而是從數(shù)據(jù)流和數(shù)據(jù)分組等多種數(shù)據(jù)結(jié)構(gòu)出發(fā)，結(jié)合CNN和LSTM技術(shù)提取流量中的時間和空間這2個維度的特征。因此，為了對BotCatcher的性能進(jìn)行對比評估，本文利用數(shù)據(jù)集對以下3種模型分別進(jìn)行了多輪訓(xùn)練，并觀察檢測結(jié)果指標(biāo)。

1) 模型A：只使用CNN提取空間特征。

2) 模型B：只使用LSTM提取時間特征。

3) 模型C：同時使用CNN和LSTM提取時空特征，即BotCathcer模型。

圖8和圖9顯示了3種模型在不同訓(xùn)練時間下測試得到的F值和，共進(jìn)行10次實驗，取10次結(jié)果的平均值作為最后結(jié)果。

圖8 檢測結(jié)果Fβ值

圖9 檢測結(jié)果FPR

從圖8可以看出，在只使用一種特征的情況下，模型B的性能相對較差，30輪訓(xùn)練后的F值為0.977 8，模型A的性能相對較好，30輪訓(xùn)練后的F值為0.988 4，這說明本文所用到的空間特征比時間特征可以更好地反映網(wǎng)絡(luò)流量特性。

BotCatcher使用時間和空間這2種特征，從圖9可以看出，在同樣訓(xùn)練時間下，模型C的性能比模型A和模型B均有明顯提升，30輪訓(xùn)練后F值達(dá)到0.997 6，僅為0.012。綜上，在建立僵尸網(wǎng)絡(luò)檢測模型時，利用CNN和LSTM提取出來的多維特征相比單一特征能夠取得更高的準(zhǔn)確率和更低的誤報率，得到的模型準(zhǔn)確率可以滿足實際使用需求。

5 討論

BotCatcher由2種深度神經(jīng)網(wǎng)絡(luò)構(gòu)成，模型結(jié)

構(gòu)相比傳統(tǒng)機器學(xué)習(xí)模型要復(fù)雜得多，主要體現(xiàn)在以下2個方面。

1) CNN和LSTM這2種深層模型并行工作，模型層數(shù)較多，共有近300萬個參數(shù)可以調(diào)節(jié)。

2)本文所提模型需要的2種輸入格式分別為三維和四維，多維輸入導(dǎo)致訓(xùn)練集數(shù)據(jù)龐大。

以上2個原因?qū)е翨otCatcher雖然檢測準(zhǔn)確性較好，但是實際運行速度較為緩慢，且對計算環(huán)境的配置要求較高。BotCatcher運行的時間主要體現(xiàn)在神經(jīng)網(wǎng)絡(luò)特征的提取過程，尤其是輸入高維數(shù)據(jù)的RNN。由4.3節(jié)的結(jié)果可知，訓(xùn)練1 000個樣本所需時間大約在10~20 min，相比樸素貝葉斯、SVM等人工選取特征的常見機器學(xué)習(xí)算法具有較高的時間成本。但是計算機硬件對于深度學(xué)習(xí)的效率影響非常大，高性能的設(shè)備可以顯著提高深度學(xué)習(xí)的處理速度。本文的實驗過程采用CPU進(jìn)行模型準(zhǔn)確性的評估，如果使用具有大容量顯存和高吞吐量的GPU將會大幅度降低時間成本?？傊?，考慮到效率因素，BotCatcher可能暫時不適合實時檢測場景。接下來的工作中需要對其進(jìn)行優(yōu)化，在保證性能的同時提高檢測效率。

此外，本文特征提取部分所用到的結(jié)構(gòu)還可以選擇其他深度神經(jīng)網(wǎng)絡(luò)進(jìn)行進(jìn)一步嘗試，例如，可以使用LSTM網(wǎng)絡(luò)的變體門控循環(huán)單元（GRU, gated recurrent unit）對時間特征進(jìn)行學(xué)習(xí)，通過對比檢測效果進(jìn)一步優(yōu)化模型結(jié)構(gòu)。

6 結(jié)束語

由于僵尸網(wǎng)絡(luò)形態(tài)和機理的發(fā)展，基于機器學(xué)習(xí)的僵尸網(wǎng)絡(luò)檢測系統(tǒng)開始面臨人工提取特征困難的問題。本文提出一種基于深度學(xué)習(xí)的檢測模型并實現(xiàn)了其原型系統(tǒng)BotCatcher。該模型使用CNN和RNN這2種深層神經(jīng)網(wǎng)絡(luò)架構(gòu)，對原始流量自動化地提取時間與空間這2個維度的特征。其中，提取空間特征時，先將每條數(shù)據(jù)流轉(zhuǎn)化為一張灰度圖像，然后利用CNN在圖像識別領(lǐng)域應(yīng)用的方法從中學(xué)習(xí)特征；提取時間特征時，分別將每個數(shù)據(jù)分組中的字節(jié)序列以及每條數(shù)據(jù)流中的數(shù)據(jù)分組序列作為輸入建立雙層雙向LSTM神經(jīng)網(wǎng)絡(luò)，并從中學(xué)習(xí)特征。

BotCatcher通過結(jié)合時空特征對網(wǎng)絡(luò)流量進(jìn)行全面刻畫，將特征提取與模型訓(xùn)練過程串聯(lián)起來。系統(tǒng)不依賴于任何有關(guān)協(xié)議和拓?fù)涞南闰炛R，也不需要人工參與特征選擇。實驗證明，該檢測系統(tǒng)性能良好，相比只使用單一神經(jīng)網(wǎng)絡(luò)的檢測模型具有更高的準(zhǔn)確率與更低的誤報率，能夠滿足實際使用需求。

[1] CUI X, FANG B, SHI J, et al. Botnet triple-channel model: towards resilient and efficient bidirectional communication botnets[C]// International Conference on Security and Privacy in Communication Systems. 2013: 53-68.

[2] KOLIAS C, KAMBOURAKIS G, STAVROU A, et al. DDoS in the IoT: mirai and other botnets[J]. Computer, 2017, 50(7): 80-84.

[3] EHRENFELD J M. Wannacry, cybersecurity and health information technology: a time to act[J]. Journal of Medical Systems, 2017, 41(7): 104.

[4] LIVADAS C, WALSH R, LAPSLEY D, et al. Usilng machine learning technliques to identify botnet traffic[C]//31st IEEE Conference on Local Computer Networks. 2006: 967-974.

[5] KONDO S, SATO N. Botnet traffic detection techniques by C&C session classification using SVM[C]//International Workshop on Security. 2007: 91-104.

[6] BILGE L, BALZAROTTI D, ROBERTSON W, et al. Disclosure: detecting botnet command and control servers through large-scale netflow analysis[C]//The 28th Annual Computer Security Applications Conference. 2012: 129-138.

[7] FRAN?OIS J, WANG S, ENGEL T. BotTrack: tracking botnets using NetFlow and PageRank[C]//International Conference on Research in Networking. 2011: 1-14.

[8] GU G, PERDISCI R, ZHANG J, et al. BotMiner: clustering analysis of network traffic for protocol-and structure-independent botnet detection[C]//USENIX Security Symposium. 2008: 139-154.

[9] CUI X, FANG B X, YIN L H, et al. Andbot: towards advanced mobile botnets[C]//The 4th Usenix Workshop on Large-scale Exploits and Emergent Threats. 2011: 11.

[10] ZHANG J, SAHA S, GU G, et al. Systematic mining of associated server herds for malware campaign discovery[C]//2015 IEEE 35th International Conference on Distributed Computing Systems (ICDCS). 2015: 630-641.

[11] 崔鵬飛, 裘玥, 孫瑞. 面向網(wǎng)絡(luò)內(nèi)容安全的圖像識別技術(shù)研究[J]. 信息網(wǎng)絡(luò)安全, 2015(9): 154-157. CUI P F, QIU Y, SUN R. Research on image recognition technology for the network content security[J]. Netinfo Security, 2015(9): 154-157.

[12] GUL K S Q, 尹繼澤, 潘麗敏, 等. 基于深度神經(jīng)網(wǎng)絡(luò)的命名實體識別方法研究[J]. 信息網(wǎng)絡(luò)安全, 2017(10): 29-35. GUL K S Q, YIN J Z, PAN L M, et.al. Research on the algorithm of named entity recognition based on deep neural network[J]. Netinfo Security, 2017(10): 29-35.

[13] ILGUN K. USTAT: a real-time intrusion detection system for UNIX[C]// 1993 IEEE Computer Society Symposium on Research in Security and Privacy. 1993: 16-28.

[14] VIGNA G, KEMMERER R A. NetSTAT: a network-based intrusion detection approach[C]//14th Annual Computer Security Applications Conference. 1998: 25-34.

[15] GU G, PORRAS P A, YEGNESWARAN V, et al. BotHunter: detecting malware infection through IDS-driven dialog correlation[C]//USENIX Security Symposium. 2007: 1-16.

[16] WURZINGER P, BILGE L, HOLZ T, et al. Automatically generating models for botnet detection[C]//European Symposium on Research in Computer Security. 2009: 232-249.

[17] ARSHAD S, ABBASPOUR M, KHARRAZI M, et al. An anomaly-based botnet detection approach for identifying stealthy botnets[C]//2011 IEEE International Conference on Computer Applications and Industrial Electronics (ICCAIE). 2011: 564-569.

[18] SAAD S, TRAORE I, GHORBANI A, et al. Detecting P2P botnets through network behavior analysis and machine learning[C]//2011 Ninth Annual International Conference on Privacy, Security and Trust (PST). 2011: 174-180.

[19] AL-JARRAH O Y, ALHUSSEIN O, YOO P D, et al. Data randomization and cluster-based partitioning for botnet intrusion detection[J]. IEEE Transactions on Cybernetics, 2016, 46(8): 1796-1806.

[20] VENKATESH G K, NADARAJAN R A. HTTP botnet detection using adaptive learning rate multilayer feed-forward neural network[C]//WISTP. 2012: 38-48.

[21] TORRES P, CATANIA C, GARCIA S, et al. An analysis of recurrent neural networks for botnet detection behavior[C]//2016 IEEE Biennial Congress of Argentina (ARGENCON). 2016: 1-6.

[22] WANG W, ZHU M, ZENG X, et al. Malware traffic classification using convolutional neural network for representation learning[C]//2017 International Conference on Information Networking (ICOIN). 2017: 712-717.

[23] 王勇, 周惠怡, 俸皓, 等. 基于深度卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量分類方法[J]. 通信學(xué)報, 2018, 39(1): 14-23.WANG Y, ZHOU H Y, FENG H, et al. Network traffic classification method basing on CNN[J]. Journal on Communications, 2018, 39(1): 14-23.

[24] HADDADI F, PHAN D T, ZINCIR-HEYWOOD A N. How to choose from different botnet detection systems?[C]//Network Operations and Management Symposium (NOMS). 2016: 1079-1084.

[25] ZHAO D, TRAORE I, SAYED B, et al. Botnet detection based on traffic behavior analysis and flow intervals[J]. Computers & Security, 2013, 39: 2-16.

[26] WATSON D, RIDEN J. The honeynet project: data collection tools, infrastructure, archives and analysis[C]//WOMBAT Workshop on Information Security Threats Data Collection and Sharing. 2008: 24-30.

[27] SZABó G, ORINCSAY D, MALOMSOKY S, et al. On the validation of traffic classification algorithms[C]//International Conference on Passive and Active Network Measurement. 2008: 72-81.

BotCatcher: botnet detection system based on deep learning

WU Di1,2, FANG Binxing3,4,5, CUI Xiang1,3, LIU Qixu1,2

1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2. School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049, China 3. Cyberspace Institute of Advanced Technology, Guangzhou University, Guangzhou 510006, China 4. Institute of Electronic and Information Engineering of UESTC in Guangdong, Dongguan 523808, China 5. School of Cyberspace Security, Beijing University of Posts and Telecommunications, Beijing 100876, China

Machine learning technology has wide application in botnet detection. However, with the changes of the forms and command and control mechanisms of botnets, selecting features manually becomes increasingly difficult. To solve this problem, a botnet detection system called BotCatcher based on deep learning was proposed. It automatically extracted features from time and space dimension, and established classifier through multiple neural network constructions. BotCatcher does not depend on any prior knowledge which about the protocol and the topology, and works without manually selecting features. The experimental results show that the proposed model has good performance in botnet detection and has ability to accurately identify botnet traffic .

botnet, deep learning, detection, feature

TP309.5

A

10.11959/j.issn.1000?436x.2018135

吳迪（1991?），男，遼寧撫順人，中國科學(xué)院大學(xué)博士生，主要研究方向為網(wǎng)絡(luò)攻防技術(shù)。

方濱興（1960?），男，江西萬年人，中國工程院院士，北京郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向為計算機體系結(jié)構(gòu)、計算機網(wǎng)絡(luò)與信息安全。

崔翔（1978?），男，黑龍江訥河人，博士，廣州大學(xué)研究員，主要研究方向為網(wǎng)絡(luò)攻防技術(shù)。

劉奇旭（1984?），男，江蘇徐州人，博士，中國科學(xué)院副研究員、中國科學(xué)院大學(xué)副教授，主要研究方向為網(wǎng)絡(luò)攻防技術(shù)、網(wǎng)絡(luò)安全評測。

2018?03?13；

2018?07?10

崔翔，cuixiang@iie.ac.cn

國家重點研發(fā)計劃基金資助項目（No.2016YFB0801604）；東莞市引進(jìn)創(chuàng)新科研團(tuán)隊計劃基金資助項目（No.201636000100038）；中國科學(xué)院網(wǎng)絡(luò)測評技術(shù)重點實驗室和網(wǎng)絡(luò)安全防護(hù)技術(shù)北京市重點實驗室基金資助項目

The National Key Research and Development Program of China (No.2016YFB0801604), Dongguan Innovative Research Team Program (No.201636000100038), The Key Laboratory of Network Assessment Technology at Chinese Academy of Sciences and Beijing Key Laboratory of Network Security and Protection Technology