【技术实现步骤摘要】
基于行为分析的恶意加密流量检测方法及系统
本申请涉及流量检测
,尤其涉及一种基于行为分析的恶意加密流量检测方法及系统。
技术介绍
加密流量是指通过特定的加密算法进行加密处理后的网络流量,旨在保护上网流量的安全性,使带有用户数据和隐私不能轻易地被不法分子获得。但恶意的网络流量同样可以通过加密算法进行传播,而不能被防火墙、安全网关等防护措施发现,从而对目标设备发起攻击,窃取目标用户的信息。因此,如何有效识别恶意加密流量,对保证用户的网络数据安全,维护用户隐私具有重要的作用。与正常的网络流量加密方法相同,恶意的网络流量加密中,也是数据被加密,而握手报文以明文呈现。因此传统的恶意加密流量的检测方法就着重分析握手报文。一般是从内容为明文的握手报文中,提取某些字段的信息,如TLS协议(TransportLayerSecurity,安全传输层协议)版本信息、客户端所支持的加密套件信息、服务器端所选择的加密套件、客户端与服务器端各自所携带的拓展信息以及服务器端下发的证书链中的信息等等,根据这些提取出来的内容对加密流量进行特征化...
【技术保护点】
1.一种基于行为分析的恶意加密流量检测方法,其特征在于,包括:/n获取网络流量数据;/n对所述网络流量数据进行特征分析,获得基于会话的特征序列;所述会话包括流通于同一对网络终端间的多条所述网络流量数据;/n将所述特征序列输入检测模型,获得检测结果评分,所述检测模型为根据样本集训练获得的随机森林模型,所述样本集包括恶意样本和白样本;/n根据所述检测结果评分,确定所述网络流量是否为恶意加密流量。/n
【技术特征摘要】
1.一种基于行为分析的恶意加密流量检测方法,其特征在于,包括:
获取网络流量数据;
对所述网络流量数据进行特征分析,获得基于会话的特征序列;所述会话包括流通于同一对网络终端间的多条所述网络流量数据;
将所述特征序列输入检测模型,获得检测结果评分,所述检测模型为根据样本集训练获得的随机森林模型,所述样本集包括恶意样本和白样本;
根据所述检测结果评分,确定所述网络流量是否为恶意加密流量。
2.根据权利要求1所述的恶意加密流量检测方法,其特征在于,在获取网络流量数据的步骤后,对网络流量数据进行过滤,包括:
根据所述网络流量数据的传输协议,判断所述网络流量数据是否TCP报文;
如果所述网络流量数据不是TCP报文,舍弃所述网络流量数据。
3.根据权利要求1所述的恶意加密流量检测方法,其特征在于,对所述网络流量数据进行特征分析,获得基于会话的特征序列的步骤,包括:
提取当前所述网络流量数据中的五元组信息;
匹配当前所述网络流量数据归属的会话,所述网络流量数据归属的会话为由历史流量数据组成的集合;所述历史流量数据对应的五元组信息与当前所述网络流量数据对应五元组信息相同;
将所述网络流量数据计入相匹配的会话。
4.根据权利要求3所述的恶意加密流量检测方法,其特征在于,对所述网络流量数据进行特征分析,获得基于会话的特征序列的步骤,还包括:如果当前所述网络流量数据未匹配到归属的会话,根据所述五元组信息建立新会话。
5.根据权利要求3所述的恶意加密流量检测方法,其特征在于,对所述网络流量数据进行特征分析,获得基于会话的特征序列的步骤,还包括:
从归属于同一会话的网络流量数据中提取特征字段;
确定握手报文,所述握手报文为包含所述特征字段的网络流量数据;
从所述握手报文中提取特征信息;
将所述特征数据添加到特征序列。
6.根据权利要求5所述的恶意加密流量检测方法,其特征在于,将所述特征数据添加到特征序列的步骤后,所述方法还包括:...
【专利技术属性】
技术研发人员:李韦成,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。