[发明专利]基于载荷相邻概率模型的加密流量识别方法

说明书

本发明公开了一种基于载荷相邻概率模型的加密流量识别方法，目的是提供一种利用非加密流量特征的高准确性普适加密流量识别方法。技术方案是：第一步，输入非加密网络流量，统计报文数据载荷字节间的相邻次数，并选择数值点区分高概率相邻关系及低概率相邻关系，构建相邻概率关系模型；第二步，输入网络会话流量，提取相邻特征和随机性特征，同时辅以基于信息熵的数据随机性特征；第三步，将非加密流量及加密流量的相邻特征和随机性特征作为输入送入基于机器学习的分类引擎进行训练，继而根据未知流量的相邻特征和随机性特征进行加密流量识别。相比于目前主流加密流量识别方法，本发明可以对未知加密协议流量普适识别，且有效提升了识别准确性。

技术领域

本发明涉及一种网络流量识别方法，特别是涉及一种基于载荷相邻概率模型的加密流量识别方法。

背景技术

当前，采用加密机制的网络协议越来越多。一方面，通信加密有助于安全和隐私保护，另一方面，也成为不法分子逃避安全监测和管理的屏障。加密流量识别对网络犯罪行为分析具有重要意义。

加密就是把明文转换为不可辨识的密文的过程，使非授权人无法识别和篡改。加密流量的本质是加密协议交互产生的加密数据。加密流量识别方法主要划分为两类：(1)基于数据载荷特征识别。某些加密协议在密钥协商阶段可能交互部分明文参数，比如版本号、密钥长度等，其值域范围及所在偏移位置可作为识别特征。该类方法有利于识别加密流量的协议类型或业务名称，但是必须针对应用定制协议识别规则，且不能识别未知加密协议。(2)基于数据随机性识别。随机性检测是评价加密算法好坏的关键指标，从识别的角度来说，数据随机性也是评判该数据是否为加密数据的重要凭证。该类方法适于普适加密流量识别，但准确性有待进一步提高。目前尚无利用非加密流量特征的普适加密流量识别方法。

发明内容

针对已有加密流量识别方法中，基于数据载荷特征识别的加密流量识别方法不能识别尚未定制协议识别规则的加密协议，而基于数据随机性识别的加密流量识别方法准确性不高的问题，本发明在已有数据随机性识别方法的基础上，首次利用非加密网络流量的载荷相邻特征改进加密流量识别，提供一种基于载荷相邻概率模型的加密流量识别方法。本发明的技术方案为：将载荷数据字符相邻关系按照概率统计值高低划分为高概率、低概率相邻关系两类，设计非加密流量数据载荷相邻概率模型；在此基础上，提取网络流量会话的相邻特征，统计高概率相邻关系连续出现的次数，从大到小选择若干个结果作为相邻特征，同时辅以基于信息熵的数据随机性特征；最后，将非加密流量及加密流量的相邻特征和随机性特征作为输入送入基于机器学习的分类引擎进行训练，继而根据未知流量的相邻特征和随机性特征进行加密流量识别。

具体技术方案如下：

第一步，建立载荷相邻概率模型。输入非加密网络流量，统计报文数据载荷字节间的相邻次数，并选择数值点区分高概率相邻关系及低概率相邻关系，构建相邻概率关系模型。具体步骤为：

步骤1.1初始化。初始化载荷相邻记录矩阵A[R][R]，及相邻概率关系矩阵B[R][R]，R为整数，由于ASCII码中有256个字符，R≥256，R优选为256。A、B矩阵大小均设置成R×R，初始值均为全0；0≤m≤R-1，0≤n≤R-1，m、n均为整数，A_m,n、B_m,n记录ASCII码中编码为m的字符与编码为n的字符之间的相邻次数和相邻概率，如字符a、b在ASCII码表中的十进制编码分别是97和98，A_97,98、B_97,98记录载荷中字符a与字符b相邻的次数和相邻概率，即载荷中字符ab出现的次数和概率。