一种加密C&C通信流量识别方法及系统技术方案

本发明专利技术提供的一种加密C&C通信流量识别方法及系统，所述识别方法包括：获取待识别的加密通信流量，对流量进行解析；进行特征提取，包括证书特征、域名特征和数据包特征，并对提取得到的特征数据进行归一化处理，获得归一化特征数据；训练加密C&C通信识别模型，获得训练通信识别模型；将所述归一化特征数据，输入所述训练通信识别模型中，获得加密流量数据的类别标签，包括C&C通信和非C&C通信。解决现有技术中由于忽略了证书行为的特征以及未融合多种特征，导致对加密C&C通信流量识别准确率低的问题。问题。问题。

【技术实现步骤摘要】
一种加密C＆C通信流量识别方法及系统


[0001]本专利技术涉及网络安全
，尤其涉及一种加密C&C通信流量识别方法及系统。

技术介绍

[0002]命令与控制(C&C通信)是恶意软件在目标主机落地并执行之后，伺机和攻击者服务器建立的信道，以便进一步的接受攻击者的指令造成信息泄露、本地信息破坏等重大安全事故。通常，恶意软件通常利用加密C&C通信规避安全软件检测，因此加密C&C通信的准确识别对于识别勒索软件等恶意软件具有重要的作用。
[0003]目前，对于加密C&C通信识别的方法是提取加密网络流量的特征，根据提取的特征训练识别模型，对这些加密网络流量进行识别，检测出加密C&C通信流量。但是现有的识别方法只提取数据包行为特征或者域名特征，一方面忽略了重要的证书行为特征，另一方面并未很好的融合多种特征，导致加密C&C通信流量识别的准确率不高。

技术实现思路

[0004]鉴于上述问题，提出了本专利技术以便提供克服上述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种加密C&C通信流量识别方法，其特征在于，所述识别方法包括：获取待识别的加密通信流量，对流量进行解析；进行特征提取，包括证书特征、域名特征和数据包特征，并对提取得到的特征数据进行归一化处理，获得归一化特征数据；训练加密C&C通信识别模型，获得训练通信识别模型；将所述归一化特征数据，输入所述训练通信识别模型中，获得加密流量数据的类别标签，包括C&C通信和非C&C通信。2.根据权利要求1所述的一种加密C&C通信流量识别方法，其特征在于，所述DGA域名识别模型的训练方法具体包括：步骤S1：获取训练数据，包括DGA域名样本和正常的域名样本；步骤S2：截取DGA域名字符串；步骤S3：将训练数据集中的域名填充至等长；步骤S4：采用Word2Vec方法，将等长的域名转化为矩阵表示；步骤S5：将矩阵输入到长短期记忆模型中进行训练，得到流量识别模型。3.根据权利要求2所述的一种加密C&C通信流量识别方法，其特征在于，所述DGA域的识别方法包括：输入一个域名，对域名进行预处理；将处理后的域名转化为矩阵；将所述矩阵输入到预先训练好的长短期记忆模型中，得到域名的类别标签。4.根据权利要求2所述的一种加密C&C通信流量识别方法，其特征在于，所述深度神经网络训练模型训练的方法具体包括：获取待训练的加密流量数据，包括加密C&C通信流量数据和正常的加密流量数据，所述加密流量数据带有人工标注的类别标签；对加密流量数据进行预处理，使用开源工具将流量数据转换为日志文件，并存储到数据库中；对加密流量数据进行特征提取，获得数据特征；将提取的特征数据进行归一化处理，根据所述提取得到的特征数据的不同取值范围，预设相应的分段值，根据所述预设分段值，对所述提取得到的特征数据进行归一化处理；将归一化处理后的特征数据，输入到预先构建的深度神经网络模型中进行训练。5.根据权利要求4所述的一种加密C&C通信流量识别方法，其特征在于，所述数据特征具体包括：证书行为特征、域名特征和数据包行为特征。6.根据权利要求5所述的一种加密C&a...

【专利技术属性】
技术研发人员：李慧，郭超，韦崴，方绪鹏，
申请(专利权)人：中国电子产业工程有限公司，
类型：发明
国别省市：