【技术实现步骤摘要】
一种基于深度学习的加密恶意流量的检测系统和方法
本专利技术涉及计算机网络安全领域,尤其涉及一种基于深度学习的加密恶意流量的检测系统和方法。
技术介绍
SSL安全套接层协议提供应用层和传输层之间的数据安全性机制,在客户端和服务器之间建立安全通道,对数据进行加密和隐藏,确保数据在传输过程中不被改变[1]。SSL协议在应用层协议通信之前就已经完成加密算法和密钥的协商,在此之后所传送的数据都会被加密,从而保证通信的私密性。HTTPS加密恶意流量就是在流量传输时使用了SSL加密协议,躲避普通的流量分析技术,为加密流量检测带来新的挑战。而现有的恶意流量检测技术大都要对流量有效载荷内容进行分析,那么对于加密的流量需要先解密再进行分析,但很多时候都没有足够的条件可以对加密恶意流量进行解密,这种方法的实际应用价值不高。所以近年来逐渐出现了基于机器学习的分析方法。因此,本领域的技术人员致力于开发一种基于深度学习的加密恶意流量的检测系统和方法。
技术实现思路
有鉴于现有技术的上述缺陷,本专利技术所要解决的技术问题是在不需要知道解密后流量内容的情况下,对流量的恶意与否进行判断。为实现上述目的...
【技术保护点】
1.一种基于深度学习的加密恶意流量的检测系统,其特征在于,包括网站提交模块:用以在自建服务器上接受用户所上传的流量PCAP包;流量分析及存储模块:使用流量分析软件对所述网站提交模块的所述流量PCAP包进行分析,将分析结果存为日志文件;核心分析模块:对所述流量分析及存储模块的日志文件进行数据预处理,然后使用识别模型进行识别,最终组合模型结果,产生最终识别结果;反馈显示模块:收到所述核心分析模块产生的最终识别结果,判断是否检测到恶意流量,如果检测为非恶意流量,告知用户该流量包不存在恶意流量;如果检测为恶意流量,提取出恶意流量的域名信息,并根据白名单再次过滤,得到最终流量的信息,并显示给用户。
【技术特征摘要】
1.一种基于深度学习的加密恶意流量的检测系统,其特征在于,包括网站提交模块:用以在自建服务器上接受用户所上传的流量PCAP包;流量分析及存储模块:使用流量分析软件对所述网站提交模块的所述流量PCAP包进行分析,将分析结果存为日志文件;核心分析模块:对所述流量分析及存储模块的日志文件进行数据预处理,然后使用识别模型进行识别,最终组合模型结果,产生最终识别结果;反馈显示模块:收到所述核心分析模块产生的最终识别结果,判断是否检测到恶意流量,如果检测为非恶意流量,告知用户该流量包不存在恶意流量;如果检测为恶意流量,提取出恶意流量的域名信息,并根据白名单再次过滤,得到最终流量的信息,并显示给用户。2.如权利要求1所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述流量分析软件为BRO。3.如权利要求1或2所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述流量分析及存储模块包括事件引擎,所述事件引擎将传入的数据包流减少为一系列更高级别的事件,并保存为日志文件。4.如权利要求3所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述流量分析及存储模块还包括脚本解释器,脚本解释器执行事件处理程序处理从事件引擎得到的事件。5.如权利要求1所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述预处理包括特征分析、流量图分析,以及域名分析;所述识别模型包括xgboost模型、word2vec+LSTM模型、CNN模型。6.如权利要求1所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述最终流量的信息包括IP地...
【专利技术属性】
技术研发人员:邹福泰,许文亮,马志远,高逸飞,李林森,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。