[发明专利]一种识别异常加密流量的方法及装置

说明书

本发明实施例提供一种识别异常加密流量的方法及装置，所述方法包括：获取加密流量文件；对所述加密流量文件进行预处理，以确定加密流量对应的流量协议；根据所述流量协议的类型，选择相对应的行为识别规则对所述加密流量进行行为识别；根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则，识别异常加密流量。所述装置执行上述方法。本发明实施例提供的识别异常加密流量的方法及装置，能够准确地对异常加密流量进行识别。

技术领域

本发明实施例涉及数据流量识别技术领域，具体涉及一种识别异常加密流量的方法及装置。

背景技术

随着网络技术的飞速发展，互联网及相关应用出现在了我们日常生活中的每一个角落，相应的，互联网上的加密流量的种类越来越多，规模也越来越大。互联网使得人们的日常生活质量得以不断的改善和提高，但与此同时互联网也带来了越来越多的问题，例如，病毒木马大规模扩散并造成危害、大量P2P应用和流量造成的网络大规模堵塞与延迟、敌对势力利用互联网对我国重要机关单位与科研院所进行窃密与网络攻击，这些问题都急需处理。解决上述问题的一个关键是如何在复杂的真实网络环境中，准确、有效地识别各类型的加密流量，并检测出其中的异常流量。

现有技术采用基于端口的流量识别技术对异常流量进行识别，该技术方法简单且计算开销小，并且针对传统的应用具有较高的准确率。但是随着端口伪装技术以及端口跳变技术、动态端口技术和隧道技术的提出与使用，该技术方法也正逐渐失去其优势，识别准确率也在逐渐降低。

因此，如何准确地对异常加密流量进行识别，成为亟须解决的问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种识别异常加密流量的方法及装置。

第一方面，本发明实施例提供一种识别异常加密流量的方法，所述方法包括：

获取加密流量文件；

对所述加密流量文件进行预处理，以确定加密流量对应的流量协议；

根据所述流量协议的类型，选择相对应的行为识别规则对所述加密流量进行行为识别；

根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则，识别异常加密流量。

第二方面，本发明实施例提供一种识别异常加密流量的装置，所述装置包括：

获取单元，用于获取加密流量文件；

确定单元，用于对所述加密流量文件进行预处理，以确定加密流量对应的流量协议；

选择单元，用于根据所述流量协议的类型，选择相对应的行为识别规则对所述加密流量进行行为识别；

识别单元，用于根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则，识别异常加密流量。

第三方面，本发明实施例提供另一种识别异常加密流量的装置，包括：处理器、存储器和总线，其中，

获取加密流量文件；

对所述加密流量文件进行预处理，以确定加密流量对应的流量协议；

根据所述流量协议的类型，选择相对应的行为识别规则对所述加密流量进行行为识别；

根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则，识别异常加密流量。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，包括：

所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如下方法：

获取加密流量文件；