基于流量指纹和行为的恶意加密流量检测方法和系统技术方案

本发明专利技术提供一种基于流量指纹和行为的恶意加密流量检测方法和系统，通过从报文载荷部分提取加密套件和数字证书，生成流量指纹向量，将其与词分量一起识别是否为攻击，提高了识别的成功率；通过降维采样数据流得到离散化后的数据流，降低了后续所需的运算量；通过调用句法模型和语义分析模型，完成数据流的断句和冗余过滤，实现了特征提取的自动化；通过卷积神经网络和随机森林分类，可以进一步突出所需的特征向量，整合了不同的分类能力，克服了现有技术难以检测时刻变化的攻击的问题。现有技术难以检测时刻变化的攻击的问题。现有技术难以检测时刻变化的攻击的问题。

【技术实现步骤摘要】
基于流量指纹和行为的恶意加密流量检测方法和系统


[0001]本申请涉及网络安全
，尤其涉及一种基于流量指纹和行为的恶意加密流量检测方法和系统。

技术介绍

[0002]网络快速发展，其安全问题得到了用户的极大重视，尽管现在大多数流量都是经过加密的，但是恶意代码已经可以出现在数据加密过程中，并且可以通过加密来传输恶意代码。所以能够识别恶意加密流量就显得非常重要。
[0003]同时，潜在的恶意代码也会带来巨大的破坏力，其手段和攻击形式时刻发生着变化，难以被检测到。需要提出一种改进措施来完善机器学习的能力。
[0004]因此，急需一种针对性的基于流量指纹和行为的恶意加密流量检测方法和系统。

技术实现思路

[0005]本专利技术的目的在于提供一种基于流量指纹和行为的恶意加密流量检测方法和系统，解决现有技术不能够很好地识别出恶意加密流量，并且难以检测到手段和形式时刻变化的攻击。
[0006]第一方面，本申请提供一种基于流量指纹和行为的恶意加密流量检测方法，所述方法包括：
[0007]接收采集终端发送的数据流，从所述数据流中提取报文头部字段内容，识别出不同的客户端，为每一个客户端生成一个单独的标识符；
[0008]从报文载荷部分提取加密套件和数字证书，将所述标识符与所述加密套件和数字证书一起生成流量指纹向量；
[0009]根据所述加密套件对所述数据流进行解密，按照时域连续性采样所述数据流，得到降维后的离散数据流；
[0010]获取所述离散数据流，调用服务器的句法模型，进行断句，得到第一词分量；
[0011]将所述第一词分量，逐个输入服务器的语义分析模型，接收返回的所述第一词分量对应的词含义；
[0012]根据第一规则从词含义中过滤冗余信息，得到过滤后对应的第二词分量，将所述流量指纹向量和第二词分量一起输入矩阵模板，得到第一词分量矩阵；
[0013]将所述第一词分量矩阵输入到识别模型的输入层，计算出不同词类的标准差，所述标准差用于确定后续卷积层的滑动窗口的宽度大小；所述识别模型为基于随机森林和卷积神经网络的模型架构；
[0014]所述输入层的输出送入所述识别模型的卷积层中，利用不同大小的滑动窗口来选择文本中的局部词分量，拼接局部词分量得到第二词分量矩阵，将所述第二词分量矩阵送入所述识别模型的池化层；
[0015]所述池化层通过选择池化函数来选择区分所述词含义有效的特征值，再次拼接得
到第三词分量矩阵；
[0016]将完成上述处理的第三词分量矩阵传输到所述识别模型的随机森林中进行分类，随机森林把所述第三词分量矩阵进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
[0017]根据所述分类结果判断所述采集终端发送的数据流是否包括攻击向量，如果包括攻击向量则阻断该数据流，反之则允许该数据流。
[0018]第二方面，本申请提供一种基于流量指纹和行为的恶意加密流量检测系统，所述系统包括：
[0019]预处理模块，用于接收采集终端发送的数据流，从所述数据流中提取报文头部字段内容，识别出不同的客户端，为每一个客户端生成一个单独的标识符；从报文载荷部分提取加密套件和数字证书，将所述标识符与所述加密套件和数字证书一起生成流量指纹向量；
[0020]解密模块，用于根据所述加密套件对所述数据流进行解密，按照时域连续性采样所述数据流，得到降维后的离散数据流；
[0021]AI模块，用于获取所述离散数据流，调用服务器的句法模型，进行断句，得到第一词分量；将所述第一词分量，逐个输入服务器的语义分析模型，接收返回的所述第一词分量对应的词含义；根据第一规则从词含义中过滤冗余信息，得到过滤后对应的第二词分量，将所述流量指纹向量和第二词分量一起输入矩阵模板，得到第一词分量矩阵；
[0022]识别模块，包括识别模型，所述识别模型为基于随机森林和卷积神经网络的模型架构，用于接收AI模块输出的所述第一词分量矩阵，输入到识别模型的输入层，计算出不同词类的标准差，所述标准差用于确定后续卷积层的滑动窗口的宽度大小；所述输入层的输出送入所述识别模型的卷积层中，利用不同大小的滑动窗口来选择文本中的局部词分量，拼接局部词分量得到第二词分量矩阵，将所述第二词分量矩阵送入所述识别模型的池化层；所述池化层通过选择池化函数来选择区分所述词含义有效的特征值，再次拼接得到第三词分量矩阵；
[0023]将完成上述处理的第三词分量矩阵传输到所述识别模型的随机森林中进行分类，随机森林把所述第三词分量矩阵进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
[0024]执行模块，用于根据所述分类结果判断所述采集终端发送的数据流是否包括攻击向量，如果包括攻击向量则阻断该数据流，反之则允许该数据流。
[0025]第三方面，本申请提供一种基于流量指纹和行为的恶意加密流量检测系统，所述系统包括处理器以及存储器：
[0026]所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
[0027]所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
[0028]第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面四种可能中任一项所述的方法。
[0029]有益效果
[0030]本专利技术提供一种基于流量指纹和行为的恶意加密流量检测方法和系统，通过从报文载荷部分提取加密套件和数字证书，生成流量指纹向量，将其与词分量一起识别是否为攻击，提高了识别的成功率；通过降维采样数据流得到离散化后的数据流，降低了后续所需的运算量；通过调用句法模型和语义分析模型，可以自动化完成数据流的断句和冗余过滤，实现了特征提取的自动化；通过卷积神经网络和随机森林分类，可以进一步突出所需的特征向量，整合了不同的分类能力，克服了现有技术难以检测时刻变化的攻击的问题。
附图说明
[0031]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0032]图1为本专利技术基于流量指纹和行为的恶意加密流量检测方法的大致流程图；
[0033]图2为本专利技术基于流量指纹和行为的恶意加密流量检测系统的架构图。
具体实施方式
[0034]下面结合附图对本专利技术的优选实施例进行详细阐述，以使本专利技术的优点和特征能更易于被本领域技术人员理解，从而对本专利技术的保护范围做出更为清楚明确的界定。
[0035]图1为本申请提供的基于流量指纹和行为的恶意加密流量检测方法的大致流程图，所述方法包括：
[0036]接收采集终端发本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量指纹和行为的恶意加密流量检测方法，其特征在于，所述方法包括：接收采集终端发送的数据流，从所述数据流中提取报文头部字段内容，识别出不同的客户端，为每一个客户端生成一个单独的标识符；从报文载荷部分提取加密套件和数字证书，将所述标识符与所述加密套件和数字证书一起生成流量指纹向量；根据所述加密套件对所述数据流进行解密，按照时域连续性采样所述数据流，得到降维后的离散数据流；获取所述离散数据流，调用服务器的句法模型，进行断句，得到第一词分量；将所述第一词分量，逐个输入服务器的语义分析模型，接收返回的所述第一词分量对应的词含义；根据第一规则从词含义中过滤冗余信息，得到过滤后对应的第二词分量，将所述流量指纹向量和第二词分量一起输入矩阵模板，得到第一词分量矩阵；将所述第一词分量矩阵输入到识别模型的输入层，计算出不同词类的标准差，所述标准差用于确定后续卷积层的滑动窗口的宽度大小；所述识别模型为基于随机森林和卷积神经网络的模型架构；所述输入层的输出送入所述识别模型的卷积层中，利用不同大小的滑动窗口来选择文本中的局部词分量，拼接局部词分量得到第二词分量矩阵，将所述第二词分量矩阵送入所述识别模型的池化层；所述池化层通过选择池化函数来选择区分所述词含义有效的特征值，再次拼接得到第三词分量矩阵；将完成上述处理的第三词分量矩阵传输到所述识别模型的随机森林中进行分类，随机森林把所述第三词分量矩阵进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；根据所述分类结果判断所述采集终端发送的数据流是否包括攻击向量，如果包括攻击向量则阻断该数据流，反之则允许该数据流。2.根据权利要求1所述的方法，其特征在于：所述识别模型在训练时，通过反向的传播方式来最小化熵损失函数，避免过饱和，当所述识别模型的精度满足阈值的要求，则表明该识别模型训练完成。3.根据权利要求1所述的方法，其特征在于：所述每棵决策树的分类能力具有针对性，所述指定量特征值是根据不同分类得出的，将同一个特征向量矩阵通过决策树按照不同的角度进行分类，即完成针对不同分类能力的整合功能。4.根据权利要求2或3任一项所述的方法，其特征在于：所述投票的方式包括将每棵决策树的输出结果进行加权累加。5.一种基于流量指纹和行为的恶意加...

【专利技术属性】
技术研发人员：李新，齐帅，翟宏伟，
申请(专利权)人：天津市国瑞数码安全系统股份有限公司，
类型：发明
国别省市：