【技术实现步骤摘要】
一种针对基于SSL加密的VPN流量识别方法
本专利技术涉及加密流量识别领域,具体涉及一种针对基于SSL加密的VPN流量识别方法。
技术介绍
互联网技术的高速发展,在为人们生活带来便利的同时,也会被一些犯罪分子用于不法传输,这对网络空间的稳定性及安全性产生了极大的影响。使得网络安全问题越来越受到人们的关注,因此,全球加密网络流量不断飙升。虽然流量经过加密后再传输,使得传输数据的安全性得到保障,但也为流量的审计增加了难度。如果没有解密技术,IT团队将无法查看流量内包含的信息。这意味着加密能够像隐藏其他信息一样隐藏恶意流量,从而带来一系列蠕虫、木马和病毒。因此识别加密流量对于维护网络的安全运行具有十分重要的意义。Facebook、Twitter和LinkedIn等使用SSL协议的网站,在过去都曾遭受过恶意软件传播、数据泄露和垃圾邮件等威胁的侵害。针对SSL流量的识别,Bernaille等人提出了一种SSH流量识别方法,该方法基于SSH协议建立连接阶段的特征,对使用SSL协议的流量进行识别。Alshammari采用签名和统计...
【技术保护点】
1.一种针对基于SSL加密的VPN流量的识别方法,其特征在于,采用Bit级DPI指纹生成技术识别SSL流量,对数据进行预处理后,通过特定的规则生成位签名,再对位签名进行运行长度编码,利用编码后的位签名生成SSL状态转换机,用来识别SSL流量,在已识别的SSL流量基础上利用基于注意力机制的双向GRU网络流量识别模型,识别SSLVPN流量。/n
【技术特征摘要】
1.一种针对基于SSL加密的VPN流量的识别方法,其特征在于,采用Bit级DPI指纹生成技术识别SSL流量,对数据进行预处理后,通过特定的规则生成位签名,再对位签名进行运行长度编码,利用编码后的位签名生成SSL状态转换机,用来识别SSL流量,在已识别的SSL流量基础上利用基于注意力机制的双向GRU网络流量识别模型,识别SSLVPN流量。
2.根据权利要求1所述的针对基于SSL加密的VPN流量的识别方法,其特征在于,包括以下步骤:
(1)获取数据集:捕获网络数据流量,生成会话,通过五元组对网络数据流量过滤分流并获取原始实验数据集,将原始数据集分为实验数据集和位签名数据集两部分;
(2)数据预处理:提取实验数据集和位签名数据集中每条流内所有数据包的有效载荷数据并连接起来;
(3)位签名:使用位签名数据集的有效载荷的不变位集,依据如果每个流的第k位(1≤k≤L)的值都为0,k签名位设置为0,如果每个流的第k位(1≤k≤L)的值为1,k签名位设置为1,如果这些位的位置中有0位和1位,则第k个签名位设置为^的规则,生成SSL加密流量特定的位签名;
(4)运行长度编码:对步骤(3)生成的位签名进行运行长度编码RLE;
(5)SSL状态转换机:将经过编码的位签名转换成SSL状态转换机;
(6)识别SSL流量:提取实验数据集中每个流的有效负载的前40位,将它们输入到SSL状态转换机,识别目的加密流量;
(7)SSL流量实验数据集:利用步骤(6)中识别出来的SSL加密流量组成SSL流量实验数据集;
(8)SSL流集数据预处理:读取数据流,截断数据,并拆分为一定长度的向量,将SSL流量实验数据集分为训练集和测试集两部分;
(9)识别SSLVPN加密流量:将经过步骤(8)处理后的数据集输入到基于注意力机制的双向GRU网络流量识别算法,识别SSLVPN加密流量;
(10)对获得的指标结果分析,并选取参数,优化加密流量识别方法。
3.根据权利要求2所述的针对基于SSL加密的VPN流量的识别方法,其特征在于,其特征在于,所述步骤(1)中所述获取数据集的具体内容和方法是:
1)定义TCP流为以握手协议中的SYN标志位开始,并且以FIN标志位或以RST标志位结尾的TCP双向流;
2)定义UDP流为以第一个数据包到达为开始,如果两个数据包到达的时间间隔超过一分钟,则认为数据流结束,新数据流的开始。
4.根据权利要求3所述的针对基于SSL加密的VPN流量的识别方法,其特征在于,其特征在于,所述步骤(2)中数据预处理,具体内容和过程为:
1)检测每条流内的所有数据包;
2)若该数据包包含有效负载,则提取有效有负载;
3)按顺序连接提取到的有效负载...
【专利技术属性】
技术研发人员:姜文刚,王宇航,翟江涛,王晰晨,
申请(专利权)人:江苏科技大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。