【技术实现步骤摘要】
一种传输层安全协议加密流量的识别方法及系统
[0001]本专利技术涉及计算机网络
,具体讲涉及一种传输层安全协议加密流量的识别方法及系统。
技术介绍
[0002]近年来,网络流量中使用加密技术的比例激增,加密网络流量占比高达70%以上。鉴于许多情况下加密网络数据无法直接解密检测,加密通信安全检测在网络安全领域面临着严峻挑战。加密通信中最常用的加密技术就是利用传输层安全协议(TLS,Transport Layer Security)协议对其通信过程进行加密,传输层安全协议的目的是为客户端与服务器之间的信息传输构建一个加密通道,该协议主要分为两层:传输层安全协议记录协议和传输层安全协议握手协议。
[0003]目前的加密通信识别技术主要有以下三种:一是基于明文特征的规则检测,二是基于机器学习的模型检测,三是基于深度学习的模型检测。
[0004]基于明文特征的规则检测是通过匹配已知的恶意加密流量所用X.509证书的证书指纹以及域名等信息,来检测输入流量是否为恶意流量。基于此方法已有成熟的检测系统,如Snort、Suricata等。此方法的优势是可以快速检测出已知的恶意流量,但对于新型威胁、未知威胁无从判断。特别的,当加密流量使用会话恢复时,加密流量中不包含证书,无法利用证书指纹规则进行检测。当加密流量不使用DNS请求获得服务器地址时,无法利用域名规则进行检测。
[0005]思科采用监督式机器学习模型来检测恶意加密流量,充分利用网络流数据独特且多样化的特性,特征数据包括传输层安全协议握手元数据、与...
【技术保护点】
【技术特征摘要】
1.一种传输层安全协议加密流量的识别方法,其特征在于,包括:获取被检测加密流量数据;基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。2.根据权利要求1所述方法,其特征在于,所述分类模型的训练包括:基于直方图和直方图对应的消息类型构建训练集;将所述训练集中的直方图作为卷积神经网络的输入,将所述直方图对应的消息类型作为输出对所述卷积神经网络进行训练得到。3.根据权利要求2所述方法,其特征在于,所述卷积神经网络包括:输入层、卷积层、池化层、全连接层和输出层:所述输入层,用于将所述直方图裁剪成设定尺寸并进行归一化处理后输出彩色图像矩阵作为输入数据矩阵,同时将所述输入数据矩阵传输至所述卷积层;所述卷积层,用于基于所述输入数据矩阵,利用预先设定的卷积核按照预先设定的步长进行卷积操作,得到卷积特征,并将所述卷积特征传输至所述池化层;所述池化层,用于利用预先设定的汇合核按照预先设定的步长对所述卷积特征进行汇合操作,输出所述汇合核覆盖区域的最大值作为汇合结果,同时将所述汇合结果传输至全连接层;所述全连接层,用于将所述全连接层中每个神经元与所述池化层的所有神经元进行全连接,将所述池化层最后一层汇合结果平铺得到全连接层第一层的神经元向量,利用所述全连接层第一层的神经元向量计算得到全连接层第二层神经元向量,依次计算得到全连接层最后一层神经元向量,并将所述全连接层最后一层神经元向量传递到所述输出层;所述输出层,用于利用softmax函数对所述全连接层最后一层神经元向量进行分类。4.根据权利要求3所述方法,其特征在于,所述卷积特征按下式计算:式中,H
i
为卷积特征第i层的特征图,f(x)为非线性激励函数,H
i
‑1为卷积特征第i
‑
1层的特征图,运算符表示卷积核与第i
‑
1层图像或特征图进行卷积操作,W
i
为第i层卷积核的权值向量,b
i
为偏移向量。5.根据权利要求3所述方法,其特征在于,所述汇合核覆盖区域的最大值按下式计算:H
i+1
=max_pooling(H
i
)式中,H
i+1
为汇合核覆盖区域的最大值,H
i
为卷积特征第i层的特征图。6.根据权利要求3所述方法,其特征在于,所述神经元向量按下式计算:式中,y
i
为全连接层第i层的神经元向量,g(x)为神经元激励函数,y
i
‑1表示全连接层第i
‑
1层的神经元向量,y0为最后一个池化层所得特征图铺得到,ω
...
【专利技术属性】
技术研发人员:王迪,刘圣龙,夏雨潇,赵涛,吕艳丽,张舸,周鑫,江伊雯,
申请(专利权)人:国家电网有限公司大数据中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。