一种针对域名生成算法的加密流量识别方法及系统技术方案

本发明专利技术公开了一种针对域名生成算法的加密流量识别方法及系统，首先对DoH流量进行过滤，仅保留数据包的加密字段长度、时间戳和方向，构建流量序列Flow<subgt;raw</subgt;；然后根据时间窗口t将流量序列Flow<subgt;raw</subgt;划分成若干流量子序列，并计算每个子序列的特征向量F<subgt;raw</subgt;；接着将子序列特征F<subgt;raw</subgt;送入Boosting分类器进行流量分类，区分出DGA流量和非DGA流量，进而确定该流量是否为DGA生成的加密流量；根据Boosting分类器的分类结果，通过基于多层感知机框架的映射模型对被识别为DGA流量的特征进行特征加强，生成高维特征F<subgt;high</subgt;；最后将高维特征F<subgt;high</subgt;送入DGA加密流量分类模型，从而识别该流量所属的DGA恶意软件类别。本发明专利技术有效克服了现有技术在DGA流量识别方面泛化性差、准确度低、时间开销大的挑战。

【技术实现步骤摘要】

本专利技术属于计算机学科中人工智能，涉及一种加密流量识别方法及系统，具体涉及一种人工智能流量识别中针对域名生成算法的加密流量识别方法及系统。

技术介绍

1、为了应对传统域名系统(domain name system，dns)中明文传输带来的隐私和安全问题，加密dns协议被开发出来，主要包括dns over https(doh)和dns over tls(dot)两种方案。这些方案通过加密通信和特定技术减少隐私泄露风险，获得了广泛支持。加密dns协议能有效防护用户免受监控和信息泄露的威胁。

2、然而，加密dns服务也能被攻击者用来隐藏行踪，给管理员的追踪带来困难。例如攻击者利用域名生成算法(domain generation algorithm，dga)产生随机域名以逃避侦测，给防御者带来挑战。这种技术的使用导致资源需求上的不对称，使得攻击者更易利用它来控制感染设备。

3、现有针对dga通讯的流量识别研究目前主要依据其随机域名及明文流量，即利用明文流量中域名的随机性和统计特征来识别出dga流量。这些方法在加密dns环境中显然不再适用。本文档来自技高网...

【技术保护点】

1.一种针对域名生成算法的加密流量识别方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的针对域名生成算法的加密流量识别方法，其特征在于：步骤1中，构建流量序列Flowraw＝{(ti,li,di),i＝1,…,n}，其中n为过滤后数据包的数量，ti为第i个数据包的时间戳，li为第i个数据包的加密字段长度，di为第i个数据包的方向，其中由客户端发往服务器的数据包记为正，由服务器发往客户端的数据包记为负。

3.根据权利要求1所述的针对域名生成算法的加密流量识别方法，其特征在于，步骤2的具体实现包括以下子步骤：

4.根据权利要求1所述的针对域名生成算...

【技术特征摘要】

1.一种针对域名生成算法的加密流量识别方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的针对域名生成算法的加密流量识别方法，其特征在于：步骤1中，构建流量序列flowraw＝{(ti,li,di),i＝1,…,n}，其中n为过滤后数据包的数量，ti为第i个数据包的时间戳，li为第i个数据包的加密字段长度，di为第i个数据包的方向，其中由客户端发往服务器的数据包记为正，由服务器发往客户端的数据包记为负。

3.根据权利要求1所述的针对域名生成算法的加密流量识别方法，其特征在于，步骤2的具体实现包括以下子步骤：

4.根据权利要求1所述的针对域名生成算法的加密流量识别方法，其特征在于，步骤3的具体实现包括以下子步骤：

5.根据权利要求1...

【专利技术属性】
技术研发人员：杜瑞颖，朱蓓佳，陈晶，李思勤，黄雅静，吴聪，
申请(专利权)人：武汉大学，
类型：发明
国别省市：