本发明专利技术实施方式提供一种面向TLS加密流量的网络应用识别方法及装置,其中一种面向TLS加密流量的网络应用识别方法,所述识别方法包括:获取网络应用采用TLS协议建立连接的ClientHello报文;检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量;将所述特征向量输入训练好的分类模型,基于所述分类模型对所述特征向量的分类结果,确定所述网络应用的类型。同时还提供了对应的TLS加密流量的网络应用识别方法装置及电子设备。本发明专利技术提供的实施方式无需对对TLS加密流量进行数据解密就能快速对TLS加密流量的应用进行识别。
【技术实现步骤摘要】
面向TLS加密流量的网络应用识别方法及装置
本专利技术涉及网络安全
,具体地涉及一种面向TLS加密流量的网络应用识别方法、一种面向TLS加密流量的网络应用识别装置以及一种电子设备。
技术介绍
TLS(TransportLayerSecurity)协议具备良好的兼容性和易用性,因此网络应用大多使用TLS加密协议来保证信息在网络中安全的传输。如何有效识别TLS协议下的网络应用已成为当前网络管理面临的挑战,TLS加密流量网络应用的识别已经成为网络管理、网络安全以及网络攻击防范等领域中一种具有重要意义的技术手段。当前技术问题存在需要选取多个数据包的特征、而且需要缓存完整的协议数据流组合不同的数据包特征,同时采用多层神经网路的深度学习算法计算量大,实际应用中CPU和内存消耗性能较大,在对于性能要求比较高的防火墙设备中应用困难,很难实现对网络流量在线实时识别。如何在保证准确率不下降情况下,不依赖完整网络数据流,在网络流结束之前就实现对网络应用的识别,成为了当前的主要技术难点。
技术实现思路
本专利技术实施例的目的是提供一种一种面向TLS加密流量的网络应用识别方法、一种面向TLS加密流量的网络应用识别装置,以及一种电子设备。为了实现上述目的,本专利技术第一方面提供一种面向TLS加密流量的网络应用识别方法,所述识别方法包括:获取网络应用采用TLS协议建立连接的ClientHello报文;检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量;将所述特征向量输入训练好的分类模型,基于所述分类模型对所述特征向量的分类结果,确定所述网络应用的类型。优选的,获取网络应用采用TLS协议建立连接的ClientHello报文,包括:确定获取的报文为TCP报文且满足ClientHello报文的特征,则所述获取的报文为ClientHello报文。优选的,所述N个检测特征包括:存在预设的加密套件,和\或存在预设的签名算法,和\或存在预设的支持扩展组。优选的,根据所述N维布尔向量和所述ClientHello报文的报文属性,得到特征向量,包括:从所述N维布尔向量中选择若干特征元素,从所述报文属性中选择报文长度,组合得到所述特征向量。优选的,从所述N维布尔向量中选择若干特征元素,包括:采用随机森林算法判断每个检测特征在随机森林中的每棵决策树上的基尼指数;基于所述检测特征对应的基尼指数,得到所述检测特征的重要性评分;基于所述重要性评分选择若干检测特征对应的特征元素。优选的,所述训练好的分类模型采用以下步骤得到:选择或构建随机森林分类器;确定对所述随机森林分类器进行优化的训练集和验证集;采用所述训练集和所述验证集优化所述随机森林分类器中的决策树数量和决策树的每个节点随机选择的最大特征数;将优化后的所述随机森林分类器作为所述训练好的分类模型。优选的,确定对所述随机森林分类器进行优化的训练集和验证集,包括:从基于TLS协议的网络流量提取出ClientHello报文;采用所述ClientHello报文所属的网络应用对所述ClientHello报文进行标注后,得到网络流量数据集;确认所述网络流量数据集中的ClientHello报文与网络应用的对应关系;将所述网络流量数据集分为所述训练集和所述验证集。本专利技术第二方面提供了一种面向TLS加密流量的网络应用识别装置,所述识别装置包括:报文获取模块,用于获取网络应用采用TLS协议建立连接的ClientHello报文;特征适配模块,用于检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;向量构建模块,用于根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量;以及分类确定模块,用于将所述特征向量输出训练好的分类模型,基于所述分类模型对所述特征向量的分类结果,确定所述网络应用的类型。本专利技术第三方面提供了一种电子设备,包括:至少一个处理器;存储器,与所述至少一个处理器连接;其中,所述存储器存储有能被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现前述的面向TLS加密流量的网络应用识别方法。优选的,所述电子设备为防火墙或服务器。本专利技术第四方面提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得处理器被配置成执行上述的面向TLS加密流量的网络应用识别方法。本专利技术第五方面提供一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现上述的面向TLS加密流量的网络应用识别方法。上述技术方案提供的方法和装置,具有以下有益效果:无需对TLS加密流量进行数据解密,就可以较短时间内快速对TLS加密流量的应用进行识别。也不需要缓存完整的网络数据流,仅依赖ClientHello报文。因此具有识别速度快和降低处理负荷的优点,适合在对性能要求比较高的防火墙等设备中使用。后的具体实施方式部分予以详细说明。附图说明附图是用来提供对本专利技术实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本专利技术实施例,但并不构成对本专利技术实施例的限制。在附图中:图1示意性示出了根据本专利技术实施方式中的面向TLS加密流量的网络应用识别方法的步骤示意图;图2示意性示出了根据本专利技术实施方式中的ClientHello报文的确定流程示意图;图3示意性示出了根据本专利技术实施方式中的面向TLS加密流量的网络应用识别方法的流程示意图;图4示意性示出了根据本专利技术实施方式中的面向TLS加密流量的网络应用识别装置的结构框图;图5示意性示出了根据本专利技术实施方式中的面向TLS加密流量的网络应用识别装置的应用场景示意图。具体实施方式以下结合附图对本专利技术实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术实施例,并不用于限制本专利技术实施例。图1示意性示出了根据本专利技术实施方式中的面向TLS加密流量的网络应用识别方法的步骤示意图。如图1所示,一种面向TLS加密流量的网络应用识别方法,包括:S01,获取网络应用采用TLS协议建立连接的ClientHello报文;当网络应用采用TLS协议进行通信时,需要首先建立TLS连接。因此TLS协议中的第一个ClientHello报文中包括了建立连接的各种参数,通过对以上参数进行解析,能够从ClientHello报文识别出网络应用的类型。S02,检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;通过设置N个检测特征,通过该ClientHello报文与检测特征的适配结果为“真”时,对应本文档来自技高网...
【技术保护点】
1.一种面向TLS加密流量的网络应用识别方法,其特征在于,所述识别方法包括:/n获取网络应用采用TLS协议建立连接的ClientHello报文;/n检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;/n根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量;/n将所述特征向量输入训练好的分类模型,基于所述分类模型对所述特征向量的分类结果确定所述网络应用的类型。/n
【技术特征摘要】
1.一种面向TLS加密流量的网络应用识别方法,其特征在于,所述识别方法包括:
获取网络应用采用TLS协议建立连接的ClientHello报文;
检测所述ClientHello报文与N个检测特征的适配结果,得到所述ClientHello报文对应的N维布尔向量;
根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量;
将所述特征向量输入训练好的分类模型,基于所述分类模型对所述特征向量的分类结果确定所述网络应用的类型。
2.根据权利要求1所述的识别方法,其特征在于,获取网络应用采用TLS协议建立连接的ClientHello报文,包括:
确定报文为TCP报文且满足ClientHello报文的特征,则所述报文为ClientHello报文。
3.根据权利要求1所述的识别方法,其特征在于,所述N个检测特征包括:存在预设的加密套件,和\或存在预设的签名算法,和\或存在预设的支持扩展组。
4.根据权利要求1所述的识别方法,其特征在于,根据所述ClientHello报文对应的N维布尔向量和所述ClientHello报文的报文属性,得到特征向量,包括:
从所述ClientHello报文对应的N维布尔向量中选择若干特征元素,从所述ClientHello报文的报文属性中选择报文长度,组合得到所述特征向量。
5.根据权利要求4所述的识别方法,其特征在于,从所述ClientHello报文的N维布尔向量中选择若干特征元素,包括:
采用随机森林算法判断每个检测特征在随机森林中的每棵决策树上的基尼指数;
基于所述检测特征对应的基尼指数,得到所述检测特征的重要性评分;
基于所述重要性评分选择若干检测特征对应的特征元素。
6.根据权利要求1所述的识别方法,其特征在于,所述训练好的分类模型采用以下步骤得到:<...
【专利技术属性】
技术研发人员:兰亭洋,刘叶,王智民,王高杰,
申请(专利权)人:北京六方云信息技术有限公司,北京六方云科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。