一种恶意加密流量检测方法、装置和电子设备制造方法及图纸

本发明专利技术提供了一种恶意加密流量检测方法、装置和电子设备，利用作为客户端与服务器端进行交互时产生的消息的特征信息的第一流量交互特征和第二流量交互特征对机器学习模型进行训练得到的恶意加密流量检测模型可以通过对客户端与服务器端进行交互时产生的消息的特征信息进行识别，有效的对客户端与服务器端进行交互时产生的消息中的恶意加密流量进行检测，大大提高了恶意加密流量的检测效率。大大提高了恶意加密流量的检测效率。大大提高了恶意加密流量的检测效率。

【技术实现步骤摘要】
一种恶意加密流量检测方法、装置和电子设备


[0001]本专利技术涉及计算机
，具体而言，涉及一种恶意加密流量检测方法、装置和电子设备。

技术介绍

[0002]目前，使用加密通信协议如TLS协议的恶意流量增长很快。在无法进行流量解密的场景中，当前绝大多数流量安全检测技术在应对恶意加密流量时面临严峻挑战。基于明文协议分析所构建的检测方法中，利用规则检测的方式无法从加密数据中提取有效检测规则以对恶意加密流量进行检测；利用文件检测的方式由于无法从加密流量还原文件而无法对恶意加密流量进行检测；而且，很难从加密流量中提取明确的恶意行为进而对恶意加密流量进行检测。

技术实现思路

[0003]为解决上述问题，本专利技术实施例的目的在于提供一种恶意加密流量检测方法、装置和电子设备。
[0004]第一方面，本专利技术实施例提供了一种恶意加密流量检测方法，包括：
[0005]获取恶意加密流量样本数据和正常加密流量样本数据；其中，所述恶意加密流量样本数据和所述正常加密流量样本数据分别包括客户端与服务器端之间交互的多个消息；
[0006]从所述恶意加密流量样本数据中提取出所述恶意加密流量样本数据中的第一基本流量特征和第一流量交互特征，并从所述正常加密流量样本数据中提取出所述正常加密流量样本数据中的第二基本流量特征和第二流量交互特征；其中，所述第一基本流量特征，用于表示与所述恶意加密流量样本中消息的长度、消息的数量、消息到达客户端或者服务器端的时间间隔相关的特征信息；所述第一流量交互特征，用于表示所述恶意加密流量样本中客户端与服务器端进行交互时产生的消息的特征信息；所述第二基本流量特征，用于表示与所述正常加密流量样本中消息的长度、消息的数量、消息到达客户端或者服务器端的时间间隔相关的特征信息；所述第二流量交互特征，用于表示所述正常加密流量样本中客户端与服务器端进行交互时产生的消息的特征信息；
[0007]利用得到的所述第一基本流量特征、所述第一深度流量特征、所述第二基本流量特征和所述第二深度流量特征，对机器学习模型进行训练，得到恶意加密流量检测模型；
[0008]利用得到的恶意加密流量检测模型。对恶意加密流量进行检测。
[0009]第二方面，本专利技术实施例还提供了一种恶意加密流量检测装置，包括：
[0010]获取模块，用于获取恶意加密流量样本数据和正常加密流量样本数据；其中，所述恶意加密流量样本数据和所述正常加密流量样本数据分别包括客户端与服务器端之间交互的多个消息；
[0011]提取模块，用于从所述恶意加密流量样本数据中提取出所述恶意加密流量样本数据中的第一基本流量特征和第一流量交互特征，并从所述正常加密流量样本数据中提取出
所述正常加密流量样本数据中的第二基本流量特征和第二流量交互特征；其中，所述第一基本流量特征，用于表示与所述恶意加密流量样本中消息的长度、消息的数量、消息到达客户端或者服务器端的时间间隔相关的特征信息；所述第一流量交互特征，用于表示所述恶意加密流量样本中客户端与服务器端进行交互时产生的消息的特征信息；所述第二基本流量特征，用于表示与所述正常加密流量样本中消息的长度、消息的数量、消息到达客户端或者服务器端的时间间隔相关的特征信息；所述第二流量交互特征，用于表示所述正常加密流量样本中客户端与服务器端进行交互时产生的消息的特征信息；
[0012]训练模块，用于利用得到的所述第一基本流量特征、所述第一深度流量特征、所述第二基本流量特征和所述第二深度流量特征，对机器学习模型进行训练，得到恶意加密流量检测模型；
[0013]检测模块，用于利用得到的恶意加密流量检测模型。对恶意加密流量进行检测。
[0014]第三方面，本专利技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面所述的方法的步骤。
[0015]第四方面，本专利技术实施例还提供了一种电子设备，所述电子设备包括有存储器，处理器以及一个或者一个以上的程序，其中所述一个或者一个以上程序存储于所述存储器中，且经配置以由所述处理器执行上述第一方面所述的方法的步骤。
[0016]本专利技术实施例上述第一方面至第四方面提供的方案中，从获取到的恶意加密流量样本数据中提取第一基本流量特征和第一流量交互特征，并从正常加密流量样本数据中提取第二基本流量特征和第二流量交互特征，其中，所述第一基本流量特征和所述第二基本流量特征是与消息的长度、消息的数量、消息到达客户端或者服务器端的时间间隔相关的特征信息，所述第一流量交互特征和所述第二流量交互特征是客户端与服务器端进行交互时产生的消息的特征信息；然后利用作为客户端与服务器端进行交互时产生的消息的特征信息的第一流量交互特征和第二流量交互特征对机器学习模型进行训练，得到恶意加密流量检测模型，与相关技术中利用规则检测的方式、利用文件检测的方式以及从加密流量中提取恶意行为的方式均不能对加密流量进行恶意流量检测相比，利用作为客户端与服务器端进行交互时产生的消息的特征信息的第一流量交互特征和第二流量交互特征对机器学习模型进行训练得到的恶意加密流量检测模型可以通过对客户端与服务器端进行交互时产生的消息的特征信息进行识别，有效的对客户端与服务器端进行交互时产生的消息中的恶意加密流量进行检测，大大提高了恶意加密流量的检测效率；而且，利用作为客户端与服务器端进行交互时产生的消息的特征信息的第一流量交互特征和第二流量交互特征对机器学习模型进行训练得到的恶意加密流量检测模型，而未使用与握手协商、证书相关的特征信息来对恶意加密流量检测模型训练，可以使恶意加密流量检测模型不受到握手协商以及证书这些易仿冒的信息的干扰，可以更加准确的对恶意加密流量进行检测；再者，未使用与通信协议相关的特征信息来对恶意加密流量检测模型训练，可以使训练得到的恶意加密流量检测模型可以对使用任何通信协议的恶意流量进行检测，而不受消息所使用通信协议的限制，增加了恶意加密流量检测模型的应用范围。
[0017]为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0019]图1示出了本专利技术实施例1所提供的一种恶意加密流量检测方法的流程图；
[0020]图2示出了本专利技术实施例2所提供的一种恶意加密流量检测装置的结构示意图；
[0021]图3示出了本专利技术实施例3所提供的一种电子设备的结构示意图。
具体实施方式
[0022]在本专利技术的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意加密流量检测方法，其特征在于，包括：获取恶意加密流量样本数据和正常加密流量样本数据；其中，所述恶意加密流量样本数据和所述正常加密流量样本数据分别包括客户端与服务器端之间交互的多个消息；从所述恶意加密流量样本数据中提取出所述恶意加密流量样本数据中的第一基本流量特征和第一流量交互特征，并从所述正常加密流量样本数据中提取出所述正常加密流量样本数据中的第二基本流量特征和第二流量交互特征；其中，所述第一基本流量特征，用于表示与所述恶意加密流量样本中消息的长度、消息的数量、消息到达客户端或者服务器端的时间间隔相关的特征信息；所述第一流量交互特征，用于表示所述恶意加密流量样本中客户端与服务器端进行交互时产生的消息的特征信息；所述第二基本流量特征，用于表示与所述正常加密流量样本中消息的长度、消息的数量、消息到达客户端或者服务器端的时间间隔相关的特征信息；所述第二流量交互特征，用于表示所述正常加密流量样本中客户端与服务器端进行交互时产生的消息的特征信息；利用得到的所述第一基本流量特征、所述第一深度流量特征、所述第二基本流量特征和所述第二深度流量特征，对机器学习模型进行训练，得到恶意加密流量检测模型；利用得到的恶意加密流量检测模型，对恶意加密流量进行检测。2.根据权利要求1所述的方法，其特征在于，在所述获取恶意加密流量样本数据和正常加密流量样本数据步骤之后，还包括：对所述恶意加密流量样本数据和所述正常加密流量样本数据分别进行清洗和拆分，得到清洗和拆分后的所述恶意加密流量样本数据和所述正常加密流量样本数据。3.根据权利要求1所述的方法，其特征在于，利用得到的所述第一基本流量特征、所述第一深度流量特征、所述第二基本流量特征和所述第二深度流量特征，对机器学习模型进行训练，得到恶意加密流量检测模型，包括：对得到的所述第一基本流量特征、所述第一深度流量特征、所述第二基本流量特征和所述第二深度流量特征进行特征工程处理，以得到对模型进行训练的备选特征集；将所述备选特征集输入到所述机器学习模型中，对所述机器学习模型进行训练，得到恶意加密流量检测模型。4.一种恶意加密流量检测装置，其特征在于，包括：获取模块，用于获取恶意加密流量样本数据和正常加密流量样本数据；其中，所述恶意加密流量样本数据和所述正常加密流量样...

【专利技术属性】
技术研发人员：梁兴强，
申请(专利权)人：北京观成科技有限公司，
类型：发明
国别省市：