[发明专利]一种IPv6网络中的HTTPS应用识别方法

说明书

本发明公开一种IPv6网络中的HTTPS应用识别方法，步骤一、捕获SSL/TLS数据包并形成流量样本，将同一个会话的数据包组流，获取流特征；步骤二、基于SSL/TLS流量样本建立二阶Markov链模型；步骤三、基于SSL/TLS流量样本建立HMM模型；步骤四、根据二阶Markov链模型和HMM模型构建加权集成分类器；步骤五、通过加权集成分类器对新到的SSL/TLS加密流进行识别分类。本发明对SSL/TLS加密应用分类问题进行处理，增强网络的可控性和安全性。

技术领域

本发明涉及通讯技术领域，具体涉及一种IPv6网络中的HTTPS应用识别方法。

背景技术

目前，国内电信运营商对主干网进行了IPv6改造，全面支持IPv4/IPv6双栈；国内大型互联网公司的主营业务全面支持IPv4/IPv6双栈；预计改造将在2019年年初全面开展，并将在2020年全面完成。从目前的IPv6改造情况来看，IPv6流量将在短时间内爆发。虽然IPv6协议内置IPSec加密协议，实际实现过程中不被采用，因为IPSec是网络层加密，而HTTPS是应用层加密，一条HTTPS流只需加解密一次，如果一条HTTPS流包含10 个IP报文，需要加解密10次。因此，在IPv6网络中仍然存在大量的HTTPS加密应用流量，对这些加密流量进行分类管理是IPv6网络安全的重中之重。

近年来，随着IPv6、5G、物联网和工业互联网的飞速发展，新型网络应用不断涌现。互联网上各类网络应用在为用户提供便捷服务的同时，也给网络带来了安全隐患，比如网络上传输的用户信息存在被非法监听、劫持、窃取和修改的风险。SSL/TLS协议在保证网络安全的大背景下应运而生，SSL/TLS协议通过加密技术在客户端和服务器之间建立安全通道，被广泛应用于网上支付、社交等重要网络服务，预计到2020年SSL/TLS流量占比将达到80％以上。

当前互联网上SSL/TLS加密网络应用越来越多，且越来越复杂，由于传统的基于端口和基于载荷的方法无法对SSL/TLS网络应用实现有效的精细化分类。SSL/TLS协议在保护网络安全的同时，也隐藏着异常流量，异常流量可以轻松躲过DPI检测。为了在保障网络安全的同时提供更好的服务质量，需要对网络上的各类SSL/TLS加密应用进行有效的监管。

由于SSL/TLS加密应用的可用信息有限，为了有效识别SSL/TLS加密应用，只能以SSL/TLS握手过程中消息类型序列特征为基础。鉴于SSL/TLS应用之间握手过程的消息类型序列是类似的，无法很好地识别较多的SSL/TLS应用。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明的目的是提供一种IPv6网络中的HTTPS应用识别方法，对SSL/TLS加密应用分类问题进行处理，将机器学习方法用于SSL/TLS加密应用分类，增强网络的可控性和安全性。

具体的，本发明提出一种加权集成分类方法WENC解决现有SSL/TLS加密应用识别存在的不足。为了增强应用模型的可区分性，联合考虑握手过程中的消息类型和对应报文大小二维特征建立二阶Markov链模型。此外，利用数据传输过程中的应用数据报文大小序列特征建立HMM，并根据相邻报文大小相关性改进发射概率。最后，加权集成分类器提高泛化性能。

为了实现根据本发明的这些目的和其他优点，提供了一种IPv6网络中的HTTPS应用识别方法，包括以下步骤：

步骤一、捕获SSL/TLS数据包并形成流量样本，将同一个会话的数据包组流，获取流特征；

步骤二、基于SSL/TLS流量样本建立二阶Markov链模型；

步骤三、基于SSL/TLS流量样本建立HMM模型；

步骤四、根据二阶Markov链模型和HMM模型构建加权集成分类器；