一种投票策略的加密恶意流量检测方法技术

本发明专利技术公开了一种投票策略的加密恶意流量检测方法。本发明专利技术利用Wireshark工具捕获流量包；对流量包进行预处理，过滤掉无效的流量并打上恶意/良性标签；对预处理后的流量包进行特征提取；对所提取的特征构建5个特征子集并进行标准化和编码；针对5个特征子集分别建立流分类器、TLS分类器、证书主体分类器、域名分类器和证书签名分类器模型，并进行参数调节；按照投票策略组合5个分类器模型构成MMVC检测模型；将5个特征子集通过流指纹融合构成样本集，并划分为训练集和测试集；将训练集输入检测模型进行训练，使用测试集检验检测模型性能；采用多模型投票的方法进行加密恶意流量检测，具有较强检测能力。具有较强检测能力。具有较强检测能力。

【技术实现步骤摘要】
一种投票策略的加密恶意流量检测方法


[0001]本专利技术属于数据识别中的加密恶意流量检测领域，尤其涉及一种投票策略的多模型投票（MMVC）加密恶意流量检测方法。

技术介绍

[0002]过去十年中，TLS加密协议为网络通信安全作出了重要贡献，例如HTTP Web协议、Tor匿名网络和虚拟专用网络都使用TLS加密其内容，保护信息内容在传输过程中不被截获和篡改。HTTPS 协议是由 HTTP与TLS 协议构建的可进行加密传输的网络协议，根据 Google 的浏览器数据，2014年HTTPS的使用从所有网页访问的40%增长到2021年3月的98%。在良性软件使用TLS加密通信的同时，恶意软件也采用TLS进行加密，使得传统的恶意流量拦截手段有效性降低。Sophos News的调研报告显示，2020年通过Internet与远程系统通信中，有23%的恶意软件使用TLS加密；而到2021年，达到了46%，因此检验网络中的TLS加密恶意流量具有很大的意义。
[0003]目前对于TLS加密恶意流量检测经历了3个阶段。第一阶段，通过解密技术破解TLS加密协本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种投票策略的加密恶意流量检测方法，其特征在于，检测方法包括以下步骤：步骤一，利用Wireshark工具捕获pcap流量包，得到原始数据包；步骤二，对数据包进行预处理，过滤原始数据包中无效的流量，并打上恶意/良性标签；步骤三，利用Zeek工具解析预处理后的数据包，并提取流特征、TLS握手特征和X.509证书特征；步骤四，将提取的所述流特征、TLS握手特征和X.509证书特征按照类别构建流特征子集、TLS握手特征子集、证书主体特征子集、域名特征子集和证书签名特征子集，并对上述5个特征子集进行标准化和编码，并对TLS握手特征子集进行降维；步骤五，为处理后的流特征子集、TLS握手特征子集、证书主体特征子集、域名特征子集和证书签名特征子集分别建立流分类器、TLS分类器、证书主体分类器、域名分类器和证书签名分类器模型，并对5个模型进行参数调节；步骤六，通过投票策略将流分类器、TLS分类器、证书主体分类器、域名分类器和证书签名分类器结合，构成多模型投票MMVC检测模型；步骤七，将步骤四处理后的5个特征子集通过流指纹融合构成样本集，并将样本集划分为训练集和测试集；步骤八，将训练集输入多模型投票MMVC检测模型进行训练，使用训练完成的多模型投票MMVC检测模型对测试集进行预测。2.如权利要求1所述的一种投票策略的加密恶意流量检测方法，其特征在于，所述流特征子集、TLS握手特征子集、证书主体特征子集、域名特征子集和证书签名特征子集特征包括：所述流特征子集包括TCP/UDP建立连接的过程、流的特征和到达过程；所述TLS握手特征子集包括TLS加密协议在握手阶段的Client Hello和Server Hello部分；所述证书主体特征子集包括证书主体信息、证书签发机构和证书有效期；所述域名特征子集包括证书支持保护的域名和域名长度；所述证书签名特征子集包括证书是否为自签名。3.如权利要求1所述的一种投票策略的加密恶意流量检测方法，其特征在于，所述特征子集、TLS握手特征子集、证书主体特征子集、域名特征子集和证书签名特征子集标准化和编码的方式包括：...

【专利技术属性】
技术研发人员：霍跃华，赵法起，
申请(专利权)人：中国矿业大学北京，
类型：发明
国别省市：