[发明专利]基于可疑度评估的HTTP混淆流量检测方法

权利要求书

1.一种基于可疑度评估的HTTP混淆流量检测方法，其特征在于，包括以下流程：

步骤1：捕获网络流量数据，筛选出其中的HTTP流量；

步骤2：提取HTTP流中每个数据包的TCP有效负载，重组成完整报文；

步骤3：对每条流的首个请求报文和首个响应报文进行特征匹配，匹配内容为协议头部信息的完整性匹配、内容类型标识与负载实际类型的一致性匹配；

步骤4、根据匹配结果，计算每个特征的可疑度数值；

步骤5、进行可疑度加权，与可疑度阈值比较，确定混淆HTTP；

步骤3中，在协议头部完整性匹配过程中，设置一个长度为N的一维向量，代表所考察的N个首部字段的匹配结果，匹配对象中未出现的首部字段，一维向量中对应的位置设1；匹配对象中出现的首部字段，一维向量中对应的位置设0；

步骤3中，内容类型标识与负载实际类型匹配包括负载的压缩格式匹配和负载MIME类型匹配，具体为：

根据内容类型标识“Content-Encoding”字段匹配负载的压缩格式，若符合“Content-Encoding”字段，匹配结果设0，并解压负载数据；若不符合，匹配结果设1；

根据内容类型标识“Content-Type”字段匹配负载的MIME类型，若负载类型为文本文件，则计算负载内容的负载信息熵，设负载信息X共有M个字符，当中的每个字符x出现的次数为N(x)，则每个字符出现的概率为N(x)/M，由公式(1)计算负载熵：

若负载信息熵高于明文负载熵阈值，匹配结果设1，否则匹配结果设0；若负载类型为非文本文件，则根据“Content-Type”字段所标识的MIME类型匹配负载数据的文件头，若符合“Content-Type”字段，匹配结果设0，否则匹配结果设1；

步骤4中，由公式(2)计算每个特征的可疑度数值：

其中是流量x的第i个特征，该特征包含m个子特征，是第i个特征的可疑权重向量；对于“协议头部信息”特征而言，为所考察的m个首部字段的可疑权重向量，各字段权重数值的设置方法为：根据已统计的正常HTTP报文各首部字段出现的频次比例为所有m个首部字段设置权重值，出现频次越高的字段权重值越高，且满足对于“负载数据类型”特征而言，匹配结果只有成功和失败两种；

步骤5中，由公式(3)计算可疑度加权值：

其中是流量x的第i个特征，该特征包含m个子特征，是第i个特征的可疑权重向量，η_i是比例系数，可以根据实际网络情况和每个特征的重要程度进行动态调整；

步骤5中，根据可疑度加权值与可疑度阈值确定分类结果的判决函数如公式(4)：

其中Se(x)是数据流x的可疑度数值，thres是可疑度阈值，可疑度阈值可以根据实际网络情况和检测需求进行动态调整，若可疑度加权值大于等于可疑度阈值，输出结果为混淆HTTP，否则输出结果为正常HTTP。

2.根据权利要求1所述的基于可疑度评估的HTTP混淆流量检测方法，其特征在于，步骤1中，采用Wireshark软件和Hyperscan正则匹配库捕获网络流量数据。

3.根据权利要求1所述的基于可疑度评估的HTTP混淆流量检测方法，其特征在于，步骤2中，采用Matlab软件提取HTTP流中每个数据包的TCP有效负载。