异常TLS加密流量检测方法与系统技术方案

本发明专利技术提供了一种异常TLS加密流量检测方法，其特征在于，包括如下步骤：S1：分别获取异常加密流量和正常流量的流量报文数据集S2：对获取的正常流量的TLS流量报文数据集进行信息预处理；S3：建立决策树预测模型，将数据样本引入随机森林模型，对所述决策树预测模型进行训练；S4：根据所述生成的规则，使用分类算法，对预处理后的新数据进行分类或预测。本发明专利技术利用随机森林算法可以识别出加密流量报文中的异常流量，可以为用户隐私保护和网络安全提供技术支持，在异常流量报文识别过程中，异常加密流量报文中的TLS握手信息对识别异常加密流量报文有重要作用。报文有重要作用。报文有重要作用。

【技术实现步骤摘要】
异常TLS加密流量检测方法与系统


[0001]本专利技术涉及网络技术安全领域，其涉及异常TLS加密流量检测方法的方法与系统。

技术介绍

[0002]本申请对于
技术介绍
的描述属于与本申请相关的相关技术，仅仅是用于说明和便于理解本申请的申请内容，不应理解为申请人明确认为或推定申请人认为是本申请在首次提出申请的申请日的现有技术。
[0003]随着人工智能的发展，一些互联网公司为了分析用户行为存在未经用户同意收集用户隐私数据的问题，互联网公司对收集数据的过程中产生的流量报文进行了加密。部分大陆用户存在使用非法软件绕过gfw检测的行为，因为非法软件采用了特殊的加密方式目前无法对这些流量进行限制流量的操作。为了识别出这些异常流量数据本文通过收集特定环境下的流量报文并进行数据分析使用本方法对异常流量报文识别率达到99.3％。
[0004]随着技术的发展，流量加密技术越来越成熟，同时也得到了更大规模的应用，多数网站都对ca证书进行了认证，非明文传输的方式在保护了流量数据安全的同时对异常流量的识别也带来了非常大的困难和挑战，针对明文传输进行开发的异常流量识别工具已经无法实现对异常的加密流量进行识别的工作。
[0005]一方面，某些垄断性公司内置服务中会侵害到用户隐私比如apple公司默认配置会去收集用户定位信息，手机的部分app会强制用户提供位置信息，通讯录信息等否则该款app将不能够被使用，微软windows 10系统中在静默状态下会去收集部分未经用户同意的隐私数据并以加密流量传输的方式将这些用户隐私数据传输给微软的服务器。用户在不知不觉中成为了为这些大公司提供数据的机器。
[0006]另一方面，继Shadowsock、v2rayN主流绕过GFW检测的方式之后当前市场上出现了通过torjan的方式绕过GFW检测，其加密技术采用了常规的https访问ca证书认证的方式。因为此种方式加密方式与正常访问网页的流量相似程度过高，现有技术不能实现对此加密流量的识别，为国内网络安全环境提出了新的挑战。

技术实现思路

[0007]本专利技术为了解决上述问题，采集了加密流量中的关键信息进行研究后使用特征工程对关键信息字段进行了筛选，使用筛选后的数据对随机森林算法进行训练，使用训练后的算法监控旁路流量识别出了异常加密流量。
[0008]本专利技术的目的在于提供一种异常TLS加密流量检测方法，其特征在于，包括如下步骤：
[0009]S1：分别获取异常加密流量和正常流量的流量报文数据集；
[0010]S2：对获取的正常流量的TLS流量报文数据集进行信息预处理；
[0011]S3：建立决策树预测模型，将数据样本引入随机森林模型，对所述决策树预测模型进行训练；
[0012]S4：根据所述生成的规则，使用分类算法，对预处理后的新数据进行分类或预测。
[0013]可选的，所述步骤S1中，所述异常流量来源具体包括：
[0014]系统静置状态下包括用户信息的TLS加密流量报文；以及
[0015]非法翻墙软件产生的流量报文，所述报文握手请求的目的ip地址与用户访问网络资源的真实ip地址不同。
[0016]可选的，所述步骤S1中，所述获取正常流量的流量数据集，包括：
[0017]将静默状态下的所有ip地址种类配置到不被允许访问的ip地址中，然后模拟用户正常通过浏览器访问各类型主流网站期间产生的报文，标记为正常流量。
[0018]可选的，所述步骤S2中，所采集的TLS流量报文数据集包括：
[0019]Client hello报文采集信息，具体包括：数据包长度、数据包达到间隔时间顺序、TLS记录长度、TLS记录时间、TLS内容类型、TLS握手类型、TLS密码套件、TLS扩展长度、TLS扩展类型、TLS版本号、TLS随机数，10个参数；
[0020]Server hello、Certificate optional、Certificate request optional、Server key exchange optional报文中采集信息，具体包括：数据包长度、数据包达到间隔时间顺序、TLS记录长度、TLS记录时间、 TLS内容类型、TLS握手类型、TLS密码套件、TLS版本、TLS会话ID、TLS 随机；
[0021]Certificate optional、Client key exchange、Certificate verify optional报文中采集信息，具体包括：数据包长度、数据包达到间隔时间顺序、TLS记录长度、TLS内容类型、TLS握手类型、TLS版本、TLS密钥长度；
[0022]Change cipher spec报文中采集信息，具体包括：数据包长度、数据包达到间隔时间顺序、TLS记录长度、TLS内容类型、TLS握手类型、TLS 版本。
[0023]可选的，所述步骤S3中具体包括：
[0024]S3.1)将训练集进行递归分析，生成一颗一颗倒立的决策树结构；
[0025]S3.2)分析这棵树从根节点到叶子节点的路径，产生一系列规则；
[0026]S3.3)生成t个决策树之后，形成随机森林模型。
[0027]可选的，所述步骤S4中，随机森林的分类算法中，m＝7，计算方式如下：
[0028]log2M+1。
[0029]本专利技术还提供一种异常TLS加密流量检测系统，包括以下单元：
[0030]获取单元，用于分别获取异常加密流量和正常流量的流量报文数据集；
[0031]信息预处理单元，用于对获取的正常流量的TLS流量报文数据集进行信息预处理；
[0032]模型建立和训练单元，用于建立决策树预测模型，将数据样本引入随机森林模型，对所述决策树预测模型进行训练；
[0033]分类预测单元，用于根据所述生成的规则，使用分类算法，对预处理后的新数据进行分类或预测。
[0034]可选的，模型建立和训练单元还包括：
[0035]决策树生成模块，用于将训练集进行递归分析，生成一颗一颗倒立的决策树结构；
[0036]规则产生模块，用于分析这棵树从根节点到叶子节点的路径，产生一系列规则；
[0037]随机森林模型生成模块，用于生成t个决策树之后，形成随机森林模型。
[0038]本专利技术还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该
程序被处理器执行时实现上述任一项所述方法的步骤。
[0039]本专利技术还提供一种终端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现上述任一项所述方法的步骤。
[0040]本专利技术实施的上述方案与现有技术相比，至少具有以下有益效果：本专利技术利用随机森林能计算参数的重要性，只选取少量几维重要的特征来近似表示原数据，因此对数据有降维的作用。此外，可以根据异常数据特征定义，在数据有众多的不同特征时，用于特征选择，选本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常TLS加密流量检测方法，其特征在于，包括如下步骤：S1：分别获取异常加密流量和正常流量的流量报文数据集；S2：对获取的正常流量的TLS流量报文数据集进行信息预处理；S3：建立决策树预测模型，将数据样本引入随机森林模型，对所述决策树预测模型进行训练；S4：根据所述生成的规则，使用分类算法，对预处理后的新数据进行分类或预测。2.如权利要求1所述的异常TLS加密流量检测方法，其特征在于：所述步骤S1中，所述异常流量来源具体包括：系统静置状态下包括用户信息的TLS加密流量报文；以及非法翻墙软件产生的流量报文，所述报文握手请求的目的ip地址与用户访问网络资源的真实ip地址不同。3.如权利要求1所述的异常TLS加密流量检测方法，其特征在于：所述步骤S1中，所述获取正常流量的流量数据集，包括：将静默状态下的所有ip地址种类配置到不被允许访问的ip地址中，然后模拟用户正常通过浏览器访问各类型主流网站期间产生的报文，标记为正常流量。4.如权利要求1所述的异常TLS加密流量检测方法，其特征在于：所述步骤S2中，所采集的TLS流量报文数据集包括：Client hello报文采集信息，具体包括：数据包长度、数据包达到间隔时间顺序、TLS记录长度、TLS记录时间、TLS内容类型、TLS握手类型、TLS密码套件、TLS扩展长度、TLS扩展类型、TLS版本号、TLS随机数，10个参数；Server hello、Certificate optional、Certificate request optional、Server key exchange optional报文中采集信息，具体包括：数据包长度、数据包达到间隔时间顺序、TLS记录长度、TLS记录时间、TLS内容类型、TLS握手类型、TLS密码套件、TLS版本、TLS会话ID、TLS随机；Certificate optional、Client key exchange、Certificate verify optional报文中采集信息，具体包括：数据...

【专利技术属性】
技术研发人员：樊树胜，贺本彪，
申请(专利权)人：杭州立思辰安科科技有限公司，
类型：发明
国别省市：