【技术实现步骤摘要】
一种加密网络流量的监控方法
[0001]本专利技术涉及网络监控
,主要提供一种加密网络流量的监控方法。
技术介绍
[0002]近年来,网络流量在不同的网络协议和行为准则下发生了巨大变化,大多数网络流量以加密的方式进行传输,随着加密网络流量的逐步盛行,明文协议的使用频率较低,尽管它们在LAN网络中仍然相对流行,在网络内容加密传输的应用场景中,网络的可见性就变得尤为重要了。这意味着需要用新的测量指标来补充现有技术,检测加密网络流量的同时对该流量进行特征化,用于识别网络行为以及防备安全威胁和变化。
[0003]假设网络的可见性是当代网络安全机制的基础,显然很有必要采取适当的措施及机制来保证零信任或虚拟网络的正常运行;因为各种原因,加密流量的解密并不实用,包括但不限于道德和技术问题,这些问题阻止中间人技术在非 TLS(传输层安全)协议(如SSH、BitTorrent和Skype)上运行。
[0004]与传统的其他的方法不同,本专利技术在不搜索特定流量或恶意软件指纹的情况下,以简化计算量的方式构建网络流量模型对流量进行分类。同时定义了一种新的度量指标和技术,类似于用于明文的指标和技术,可以用于加密流量的处理。达到了在不解码加密流量有效负载的情况下与明文传输具有相同级别的可见性,以解决以上的缺陷。
技术实现思路
[0005](一)专利技术目的
[0006]本专利技术的目的在于提供一种加密网络流量的监控方法,以解决上述
技术介绍
中提出的问题。
[0007](二)技术方案
...
【技术保护点】
【技术特征摘要】
1.一种加密网络流量的监控方法,包括加密流量,其特征在于:通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;从而达到少量计算就可以实现监控加密流量的目的;对于新增的流量模型,将该流量设置为未知流量模型,同时将流量设置为有限权限,可访问部分必要的网络系统资源,计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型,其具体步骤流程如下:步骤一,设置加密流量模型的监测度量指标,形成度量指标向量,其中,ω
i
表示加密流量模型的度量的第i个指标,N表示加密流量模型度量指标总数;步骤二,加密流量数据样本采集:根据加密流量数据包头信息中的五元组将加密网络流量数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具比如:CICFlowMeter对各个网络流进行特征提取,提取每个网络流的特征值,比如:流的特征值,比如:按照上述指标采集已知标准加密流量数据样本中的流量指标,形成流量模型标准流量样本或来自互联网上下载CICIDS2017的加密流量数据集,或来自NIST物联网加密流量集,或来自实时采集的含有恶意流量的数据集合,加密流量的采集数量不低于某个门限,且包含当前已知的各种正常以及非正常加密流量。然后将采集的指标构成流量模型指标库步骤三,计算加密流量模型指标库的特征值,在上述流量模型库中,根据相同的协议版本号的流量指标向量,采用分箱的技术方法构建流量模型的指标库特征值,分箱采用非对称的方式进行构建。2.根据权利要求1所述的一种加密网络流量的监控方法,其特征在于:首先进行下面的度量指标的计算:
1.将加密流量连接建立后首个流量包的载荷大小划分为M1个分箱,分别为其中PL
i
表示第i个分箱的范围,分箱范围分别为,PL1:小于2
α
个字节;PL2:包含在区间2
α
至2
α+1
个字节;PL3:包含在区间2
α+1
至2
α+2
个字节;大于个字节。优选地,a=5,M1=8。2.将加密流量包的IAT也划分为M2个分箱,分别为其中IAT
i
表示第i个分箱的IAT值的范围,分箱范围分别为,IAT1:小于20*Tms;IAT2:包含在区间20*Tms至21*Tms;IAT3:包含在区间21*Tms至22*Tms;大于优选地,T=1,M2=8。3.将加密流量连接持续时间划分为M3个分箱,分别为其中FD1:小于F0*R秒,FD2:包含在F0*R秒至F1*R秒之间;大于秒。优选地,R=1,F=2.6,M3=8。4.将加密流量新连接创建的频率划分为M4个分箱,分别为其中CF1:大于C0*R次/秒,CF2:包含在小于次/秒至C
‑1...
【专利技术属性】
技术研发人员:郑超,黄园园,陈劲松,卢文朋,
申请(专利权)人:中电积至海南信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。