【技术实现步骤摘要】
基于图分析的恶意加密流量检测方法
[0001]本专利技术涉及网络通信
,具体而言,涉及一种基于图分析的恶意加密流量检测方法。
技术介绍
[0002]随着互联网应用规模的扩大,对网络安全风险防范的意识不断增强,越来越多的应用通过加密手段实现隐私数据保护,网络中加密流量占比越来越高。与此同时,攻击者也通过加密手段隐藏自己的信息,使用加密通信的恶意代码、加密信道的恶意攻击层出不穷,这给传统的基于规则的流量检测方法带来了巨大挑战。
[0003]目前主流的加密流量攻击检测手段有两种:解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为,但这种方法会消耗大量的资源,成本很高,同时也违反了加密的初衷,解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量,不解密进行流量检测的方法逐渐被业界研究人员关注起来,这种方法无需对其进行解密,通过利用己经掌握的数据资源,对加密流量进行判别。
[0004]传统不解密流量检测方法主要基于五元组信息。但是在当前网络环境中,随着端口跳变技术、动态端口技术、隧道技术的提出与使用,使得基于端口等五元组信息的流量检测方法己经无法满足检测需求。
技术实现思路
[0005]本专利技术的目的包括提供一种基于图分析的恶意加密流量检测方法,其能够快速、准确地判断加密流量是否为恶意,而且,无需对加密流量解密。
[0006]本专利技术的实施例可以这样实现:
[0007]第一方面,本专利技术提供一种基于图分析的恶意加密流量检测方法,方法 ...
【技术保护点】
【技术特征摘要】
1.一种基于图分析的恶意加密流量检测方法,其特征在于,所述方法包括:提取已经打标的加密流量的特征;采用所述加密流量的所述特征对GraphSAGE图模型进行训练;提取待检测的所述加密流量的所述特征,并输入训练好的所述GraphSAGE图模型,以判断所述加密流量是否为恶意。2.根据权利要求1所述的基于图分析的恶意加密流量检测方法,其特征在于,所述特征包括统计特征和图像特征。3.根据权利要求1所述的基于图分析的恶意加密流量检测方法,其特征在于,已经打标的所述加密流量的样本格式为:[标签,ID编号,特征,G];其中,所述标签表示加密流量为恶意流量或正常流量;所述ID编号表示加密流量的身份标识;所述特征表示统计特征或图像特征;所述G表示为G=(V,E,X);其中,V={v1,v2,v3,
···
}是加密流量的图像特征的节点集合,v
i
表示ID编号为i的加密流量的节点;E={e
ij
,e
pq
,e
xy
,
···
}表示无向边集合,若v
i
和v
j
有关系,则e
ij
=1,若v
i
和v
j
没有关系,则e
ij
=0;X={x1,x2,x3,
···
}表示节点属性集合,x
i
表示ID编号为i的节点的统计特征。4.根据权利要求3所述的基于图分析的恶意加密流量检测方法,其特征在于,v
i
={x
i
,y
i
},即v
i
有两种表示形式x
i
和y
i
,其中,x
i
表示属性特征集合,y
i
表示灰度图。5.根据权利要求3或4所述的基于图分析的恶意加密流量检测方法,其特征在于,v
i
和v
j
是否有关系的判断方法包括:计算每一个节点与其余节点的相似度;根据所述相似度,构建相似度矩阵S:其中,S
ij
表示节点i和节点j的相似度,S
11
=S
22
=
...
【专利技术属性】
技术研发人员:李祺,杨彦青,赵键锦,米嘉欣,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。