【技术实现步骤摘要】
面向TLS加密流量的网络应用识别方法及装置
本专利技术涉及网络安全
,具体地涉及一种面向TLS加密流量的网络应用识别方法、一种面向TLS加密流量的网络应用识别装置以及一种电子设备。
技术介绍
TLS(TransportLayerSecurity)协议具备良好的兼容性和易用性,因此网络应用大多使用TLS加密协议来保证信息在网络中安全的传输。如何有效识别TLS协议下的网络应用已成为当前网络管理面临的挑战,TLS加密流量网络应用的识别已经成为网络管理、网络安全以及网络攻击防范等领域中一种具有重要意义的技术手段。当前技术问题存在需要选取多个数据包的特征、而且需要缓存完整的协议数据流组合不同的数据包特征,同时采用多层神经网路的深度学习算法计算量大,实际应用中CPU和内存消耗性能较大,在对于性能要求比较高的防火墙设备中应用困难,很难实现对网络流量在线实时识别。如何在保证准确率不下降情况下,不依赖完整网络数据流,在网络流结束之前就实现对网络应用的识别,成为了当前的主要技术难点。
技术实现思路
本专利技术实...
【技术保护点】
1.一种面向TLS加密流量的网络应用识别方法,其特征在于,所述识别方法包括:/n获取网络应用采用TLS协议建立连接的ClientHello报文;/n检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;/n根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量;/n将所述特征向量输入训练好的分类模型,基于所述分类模型对所述特征向量的分类结果确定所述网络应用的类型。/n
【技术特征摘要】
1.一种面向TLS加密流量的网络应用识别方法,其特征在于,所述识别方法包括:
获取网络应用采用TLS协议建立连接的ClientHello报文;
检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;
根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量;
将所述特征向量输入训练好的分类模型,基于所述分类模型对所述特征向量的分类结果确定所述网络应用的类型。
2.根据权利要求1所述的识别方法,其特征在于,获取网络应用采用TLS协议建立连接的ClientHello报文,包括:
确定报文为TCP报文且满足ClientHello报文的特征,则所述报文为ClientHello报文。
3.根据权利要求1所述的识别方法,其特征在于,所述N个检测特征包括:存在预设的加密套件,和\或存在预设的签名算法,和\或存在预设的支持扩展组。
4.根据权利要求1所述的识别方法,其特征在于,根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量,包括:
从所述ClientHello报文对应的N维布尔向量中选择若干特征元素,从所述ClientHello报文的报文属性中选择报文长度,组合得到所述特征向量。
5.根据权利要求4所述的识别方法,其特征在于,从所述ClientHello报文的N维布尔向量中选择若干特征元素,包括:
采用随机森林算法判断每个检测特征在随机森林中的每棵决策树上的基尼指数;
基于所述检测特征对应的基尼指数,得到所述检测特征的重要性评分;
基于所述重要性评分选择若干检测特征对应的特征元素。
6.根据权利要求1所述的识别方法,其特征在于,所述训练好的分类模型采用以下步骤得到:<...
【专利技术属性】
技术研发人员:兰亭洋,刘叶,王智民,王高杰,
申请(专利权)人:北京六方云信息技术有限公司,北京六方云科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。