本申请提供一种恶意加密流量检测方法,包括:获取样本流量;提取样本流量中的特征;利用基于有监督学习算法的随机森林模型对特征进行重要性度量,整合重要性大于预设阈值的特征,得到特征集合;利用夏普利值计算特征集合中各特征的特征权重,根据特征权重对特征进行排序,得到特征序列;从特征序列中选取最优特征子集建立检测模型;利用检测模型执行恶意加密流量检测。本申请利用随机森林模型进行特征的重要性度量,删除了噪声和无关信息。结合夏普利值计算特征权重,能够消除特征中的冗余信息,从而降低检测模型检测恶意加密流量时的误报率。本申请还提供一种恶意加密流量检测系统、计算机可读存储介质和电子设备,具有上述有益效果。有益效果。有益效果。
【技术实现步骤摘要】
一种恶意加密流量检测方法、系统及相关装置
[0001]本申请涉及网络流量检测领域,特别涉及一种恶意加密流量检测方法、系统及相关装置。
技术介绍
[0002]随着加密流量的持续增长,通过加密流量进行恶意攻击的手段会更加多样,面临的恶意流量威胁也会逐步加大,网络安全形势将更加严峻、复杂。如何有效检测恶意加密流量已成为亟待解决的问题。恶意加密流量检测的目的在于检测出隐藏在加密流量之中的C&C、Botnet、DDoS等恶意流量,是保障网络安全的重要手段。
[0003]当前,基于特征的机器学习检测方法需要利用专门的特征工程提取加密流量数据特征,特征的好坏直接影响模型检测的精度。虽然人为参与了特征工程,但是特征中依然存在噪音,无关信息以及冗余信息,会增加误报率。其生成的模型可解释性一般。而且检测模型缺少可解释性,不能为后续的技术分析提供有效信息。
技术实现思路
[0004]本申请的目的是提供一种恶意加密流量检测方法、恶意加密流量检测系统、计算机可读存储介质和电子设备,能够降低检测的误报率,提高检测模型的可解释性。
[0005]为解决上述技术问题,本申请提供一种恶意加密流量检测方法,具体技术方案如下:
[0006]获取样本流量;所述样本流量包括正常加密流量和恶意加密流量;
[0007]提取所述样本流量中的特征;所述特征包括TCP通信特征和TLS握手协议特征;
[0008]利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量,整合重要性大于预设阈值的特征,得到特征集合;
[0009]利用夏普利值计算所述特征集合中各特征的特征权重,根据所述特征权重对所述特征进行排序,得到特征序列;
[0010]从所述特征序列中选取最优特征子集建立检测模型;
[0011]利用所述检测模型执行恶意加密流量检测。
[0012]可选的,获取样本流量包括:
[0013]利用网络流量采集工具收集正常流量数据和恶意流量数据;
[0014]从所述正常流量数据和所述恶意流量数据中筛选得到TLS加密流量数据,将所述TLS加密流量数据作为所述样本数据。
[0015]可选的,提取所述样本流量中的特征之后,还包括:
[0016]将字符串类型的所述TCP通信特征和所述TLS握手协议特征均转换为数字型特征,并对所有特征进行归一化处理。
[0017]可选的,所述利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量,整合重要性大于预设阈值的特征,得到特征集合包括:
[0018]将所述特征划分为训练集和测试集;
[0019]利用基于有监督学习算法的随机森林模型对所述训练集进行测试,并利用所述测试集进行验证,确定各所述特征对应的基尼指数;
[0020]将所述基尼指数作为重要性度量,选择所述基尼指数大于预设阈值的特征,得到特征集合。
[0021]可选的,从所述特征序列中选取最优特征子集建立检测模型包括:
[0022]采用后向顺序搜索方式确定所述特征序列中误报率低于预设值的最优特征子集;
[0023]根据所述最优特征子集建立检测模型。
[0024]可选的,所述TCP通信特征包括五元组、会话时长,上行流量,下行流量,上下行流量之比,上行包数,下行包数,上下行包数之比中至少一项;
[0025]所述TLS握手协议特征包括一般握手特征、TLS指纹特征和证书特征;所述一般握手特征包括TLS版本,客户端扩展数量,服务端扩展数量,客户端密码套件数量中的至少一项,所述TLS指纹特征包括客户端指纹特征和服务端指纹特征,所述证书特征包括证书是否自签名、证书是否过期、证书链长度、电子设备证书中附带的其它站点数量中的至少一项。
[0026]本申请还提供一种恶意加密流量检测系统,包括:
[0027]数据获取模块,用于获取样本流量;所述样本流量包括正常加密流量和恶意加密流量;
[0028]特征提取模块,用于提取所述样本流量中的特征;所述特征包括TCP通信特征和TLS握手协议特征;
[0029]重要性度量模块,用于利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量,整合重要性大于预设阈值的特征,得到特征集合;
[0030]特征权重计算模块,用于利用夏普利值计算所述特征集合中各特征的特征权重,根据所述特征权重对所述特征进行排序,得到特征序列;
[0031]模型构建模块,用于从所述特征序列中选取最优特征子集建立检测模型;
[0032]检测模块,用于利用所述检测模型执行恶意加密流量检测。
[0033]可选的,数据获取模块包括:
[0034]流量采集单元,用于利用网络流量采集工具收集正常流量数据和恶意流量数据;
[0035]流量筛选单元,用于从所述正常流量数据和所述恶意流量数据中筛选得到TLS加密流量数据,将所述TLS加密流量数据作为所述样本数据。
[0036]本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的方法的步骤。
[0037]本申请还提供一种电子设备,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如上所述的方法的步骤。
[0038]本申请提供一种恶意加密流量检测方法,包括:获取样本流量;所述样本流量包括正常加密流量和恶意加密流量;提取所述样本流量中的特征;所述特征包括TCP通信特征和TLS握手协议特征;利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量,整合重要性大于预设阈值的特征,得到特征集合;利用夏普利值计算所述特征集合中各特征的特征权重,根据所述特征权重对所述特征进行排序,得到特征序列;从所述特征序列中选取最优特征子集建立检测模型;利用所述检测模型执行恶意加密流量检测。
[0039]本申请重点提取样本流量中的TCP通信特征和TLS握手协议特征,利用随机森林模型进行特征的重要性度量,删除了噪声和无关信息。结合夏普利值计算特征权重,能够消除特征中的冗余信息,从而降低检测模型检测恶意加密流量时的误报率。
[0040]本申请还提供一种恶意加密流量检测系统、计算机可读存储介质和电子设备,具有上述有益效果,此处不再赘述。
附图说明
[0041]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0042]图1为本申请实施例所提供的一种恶意加密流量检测方法的流程图;
[0043]图2为本申请实施例所提供的一种恶意加密流量检测系统结构示意图。
具体实施方式
[0044]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意加密流量检测方法,其特征在于,包括:获取样本流量;所述样本流量包括正常加密流量和恶意加密流量;提取所述样本流量中的特征;所述特征包括TCP通信特征和TLS握手协议特征;利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量,整合重要性大于预设阈值的特征,得到特征集合;利用夏普利值计算所述特征集合中各特征的特征权重,根据所述特征权重对所述特征进行排序,得到特征序列;从所述特征序列中选取最优特征子集建立检测模型;利用所述检测模型执行恶意加密流量检测。2.根据权利要求1所述的恶意加密流量检测方法,其特征在于,获取样本流量包括:利用网络流量采集工具收集正常流量数据和恶意流量数据;从所述正常流量数据和所述恶意流量数据中筛选得到TLS加密流量数据,将所述TLS加密流量数据作为所述样本数据。3.根据权利要求1所述的恶意加密流量检测方法,其特征在于,提取所述样本流量中的特征之后,还包括:将字符串类型的所述TCP通信特征和所述TLS握手协议特征均转换为数字型特征,并对所有特征进行归一化处理。4.根据权利要求1所述的恶意加密流量检测方法,其特征在于,所述利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量,整合重要性大于预设阈值的特征,得到特征集合包括:将所述特征划分为训练集和测试集;利用基于有监督学习算法的随机森林模型对所述训练集进行测试,并利用所述测试集进行验证,确定各所述特征对应的基尼指数;将所述基尼指数作为重要性度量,选择所述基尼指数大于预设阈值的特征,得到特征集合。5.根据权利要求1所述的恶意加密流量检测方法,其特征在于,从所述特征序列中选取最优特征子集建立检测模型包括:采用后向顺序搜索方式确定所述特征序列中误报率低于预设值的最优特征子集;根据所述最优特征子集建立检测模型。6.根据权利要求1所述的恶意加密流量检测方法,其特征在于,所述TCP通信特征包括五元组、会话时长,上行流量,下行流量,上下行...
【专利技术属性】
技术研发人员:巩俊辉,范渊,吴卓群,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。