基于图分析的恶意加密流量检测方法技术

本发明专利技术的实施例提供了一种基于图分析的恶意加密流量检测方法，涉及网络通信技术领域。基于图分析的恶意加密流量检测方法包括：提取已经打标的加密流量的特征；采用加密流量的特征对GraphSAGE图模型进行训练；提取待检测的加密流量的特征，并输入训练好的GraphSAGE图模型，以判断加密流量是否为恶意。该检测方法能够快速、准确地判断加密流量是否为恶意，而且，无需对加密流量解密。无需对加密流量解密。无需对加密流量解密。

【技术实现步骤摘要】
基于图分析的恶意加密流量检测方法


[0001]本专利技术涉及网络通信
，具体而言，涉及一种基于图分析的恶意加密流量检测方法。

技术介绍

[0002]随着互联网应用规模的扩大，对网络安全风险防范的意识不断增强，越来越多的应用通过加密手段实现隐私数据保护，网络中加密流量占比越来越高。与此同时，攻击者也通过加密手段隐藏自己的信息，使用加密通信的恶意代码、加密信道的恶意攻击层出不穷，这给传统的基于规则的流量检测方法带来了巨大挑战。
[0003]目前主流的加密流量攻击检测手段有两种：解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为，但这种方法会消耗大量的资源，成本很高，同时也违反了加密的初衷，解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量，不解密进行流量检测的方法逐渐被业界研究人员关注起来，这种方法无需对其进行解密，通过利用己经掌握的数据资源，对加密流量进行判别。
[0004]传统不解密流量检测方法主要基于五元组信息。但是在当前网络环境中，随着端口跳变技术、动态端口技术、隧道技术的提出与使用，使得基于端口等五元组信息的流量检测方法己经无法满足检测需求。

技术实现思路

[0005]本专利技术的目的包括提供一种基于图分析的恶意加密流量检测方法，其能够快速、准确地判断加密流量是否为恶意，而且，无需对加密流量解密。
[0006]本专利技术的实施例可以这样实现：
[0007]第一方面，本专利技术提供一种基于图分析的恶意加密流量检测方法，方法包括：
[0008]提取已经打标的加密流量的特征；
[0009]采用加密流量的特征对GraphSAGE图模型进行训练；
[0010]提取待检测的加密流量的特征，并输入训练好的GraphSAGE图模型，以判断加密流量是否为恶意。
[0011]在可选的实施方式中，特征包括统计特征和图像特征。
[0012]在可选的实施方式中，已经打标的加密流量的样本格式为：[标签，ID编号，特征，G]；
[0013]其中，标签表示加密流量为恶意流量或正常流量；
[0014]ID编号表示加密流量的身份标识；
[0015]特征表示统计特征或图像特征；
[0016]G表示为G＝(V，E，X)；
[0017]其中，V＝{v1，v2，v3，
···
}是加密流量的图像特征的节点集合，v
i
表示ID编号为i的加密流量的节点；
[0018]E＝{e
ij
，e
pq
，e
xy
，
···
}表示无向边集合，若v
i
和v
j
有关系，则e
ij
＝1，若v
i
和v
j
没有关系，则e
ij
＝0；
[0019]X＝{x1，x2，x3，
···
}表示节点属性集合，x
i
表示ID编号为i的节点的统计特征。
[0020]在可选的实施方式中，v
i
＝{x
i
,y
i
}，即v
i
有两种表示形式x
i
和y
i
，其中，x
i
表示属性特征集合，y
i
表示灰度图。
[0021]在可选的实施方式中，v
i
和v
j
是否有关系的判断方法包括：
[0022]计算每一个节点与其余节点的相似度；
[0023]根据相似度，构建相似度矩阵S：
[0024][0025]其中，S
ij
表示节点i和节点j的相似度，S
11
＝S
22
＝
···
＝S
NN
＝1；
[0026]根据相似度矩阵S，得到邻接矩阵A：
[0027][0028]其中，当且仅当S
ij
在S
i1
至S
iN
中排在前K个时，a
ij
＝1，其余情况下a
ij
＝0；
[0029]当加密流量的证书颁发主体和证书颁发机构相同且a
ij
＝0，则e
ij
＝1；其余情况e
ij
＝a
ij
。
[0030]在可选的实施方式中，统计特征包括连接特征、SSL特征和证书特征，提取统计特征的方法包括：
[0031]解析加密流量的样本数据，生成日志文件；
[0032]从日志文件中提取连接特征、SSL特征和证书特征。
[0033]在可选的实施方式中，日志文件包括conn.log文件、ssl.log文件和x509.log文件，从日志文件中提取连接特征、SSL特征和证书特征的步骤包括：
[0034]从conn.log文件中提取连接特征；
[0035]从ssl.log文件中提取SSL特征；
[0036]从x509.log文件中提取证书特征。
[0037]在可选的实施方式中，提取图像特征的方法包括：
[0038]流量切分：将连续的原始的加密流量拆分为多个会话文件；
[0039]流量清洗：删除会话文件中对分类结果会产生干扰以及会导致模型产生偏差的信息数据；
[0040]图片生成：将清洗过的会话文件进行处理，生成图像特征。
[0041]在可选的实施方式中，图片生成的步骤包括：
[0042]对清洗过的会话文件的前784个字节进行统一长度处理；
[0043]以字节为单位转换为0至255中的一个整数，使得每个字节对应一个灰度像素值；
[0044]将784个字节排列成28*28的矩阵，并构造为宽28个像素、高28个像素的灰度图像，灰度图像即为图像特征。
[0045]在可选的实施方式中，对清洗过的会话文件的前784个字节进行统一长度处理的步骤包括：
[0046]对文件长度大于784个字节的会话文件，截取会话文件前784个字节的长度；
[0047]对文件长度小于784个字节的会话文件，在会话文件的后面补充0x00直到文件长度为784个字节。
[0048]本专利技术实施例提供的基于图分析的恶意加密流量检测方法的有益效果包括：
[0049]该检测方法首先通过提取已经打标的加密流量的特征，并用这些特征训练模型，然后提取待检测的加密流量的特征，并输入训练好的GraphSAGE图模型，就能够判断出待检测的加密流量是否为恶意，能够快速、准确地判断加密流量是否为恶意，而且，无需对加密流量解密。
附图说明
[0050]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于图分析的恶意加密流量检测方法，其特征在于，所述方法包括：提取已经打标的加密流量的特征；采用所述加密流量的所述特征对GraphSAGE图模型进行训练；提取待检测的所述加密流量的所述特征，并输入训练好的所述GraphSAGE图模型，以判断所述加密流量是否为恶意。2.根据权利要求1所述的基于图分析的恶意加密流量检测方法，其特征在于，所述特征包括统计特征和图像特征。3.根据权利要求1所述的基于图分析的恶意加密流量检测方法，其特征在于，已经打标的所述加密流量的样本格式为：[标签，ID编号，特征，G]；其中，所述标签表示加密流量为恶意流量或正常流量；所述ID编号表示加密流量的身份标识；所述特征表示统计特征或图像特征；所述G表示为G＝(V，E，X)；其中，V＝{v1，v2，v3，
···
}是加密流量的图像特征的节点集合，v
i
表示ID编号为i的加密流量的节点；E＝{e
ij
，e
pq
，e
xy
，
···
}表示无向边集合，若v
i
和v
j
有关系，则e
ij
＝1，若v
i
和v
j
没有关系，则e
ij
＝0；X＝{x1，x2，x3，
···
}表示节点属性集合，x
i
表示ID编号为i的节点的统计特征。4.根据权利要求3所述的基于图分析的恶意加密流量检测方法，其特征在于，v
i
＝{x
i
,y
i
}，即v
i
有两种表示形式x
i
和y
i
，其中，x
i
表示属性特征集合，y
i
表示灰度图。5.根据权利要求3或4所述的基于图分析的恶意加密流量检测方法，其特征在于，v
i
和v
j
是否有关系的判断方法包括：计算每一个节点与其余节点的相似度；根据所述相似度，构建相似度矩阵S：其中，S
ij
表示节点i和节点j的相似度，S
11
＝S
22
＝
...

【专利技术属性】
技术研发人员：李祺，杨彦青，赵键锦，米嘉欣，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：