[发明专利]基于可疑度评估的HTTP混淆流量检测方法

说明书

本发明公开一种基于可疑度评估的HTTP混淆流量检测方法，首先过滤网络流量，提取出HTTP协议形式的数据流，分析HTTP数据流的协议头部信息的完整性、内容类型标识以及负载的数据类型三个特征，使用可疑度函数计算各特征的可疑度，将可疑度的加权数作为判决器的输入，由判决器判别数据流属于正常HTTP还是混淆HTTP，可疑度加权值超过判决阈值则判断为混淆，否则就判断为正常。本发明不依赖数据流易变的指纹特征，具有很好的适应性，能够适应不同网络环境的复杂情况。

技术领域

本发明涉及网络与信息安全技术，具体涉及一种基于可疑度评估的HTTP混淆流量检测方法。

背景技术

流量混淆技术利用特定手段将任意协议格式的数据转换成特定协议的数据，它既可以作为网络流量数据传输过程中的一种隐私保护手段，也可以用于对抗网络安全机制，泄露数据或用作CC通道，威胁公众安全。尤其是HTTP混淆技术，因为HTTP被互联网广泛使用，对应的80端口承载着大量必要应用，所以几乎没有防火墙会对该端口进行封堵，这使HTTP混淆十分泛滥。因此，检测HTTP混淆流量的存在，防止危害发生，是至关重要的环节。HTTP混淆流量检测技术作为网络安全防护领域内的一项非常重要的技术，引起了研究者的广泛关注，而且目前为止已经取得了很多的研究成果。

根据文献检索，发现现有的检测技术大部分都是基于机器学习分类算法，这种研究方法相比较传统的基于规则和模式的方式而言，有了很大的进一步，但是研究对象大多设定为某个特定混淆软件产生的混淆流量，并且有指定的监测环境，不具备通用性。同时这类检测方案的机器学习训练大都基于有限的实验数据，在较为封闭的数据集上的效果甚至接近100％，但真实网络环境中流量的形态更加丰富，这些基于较为封闭的实验数据得到的分类器，在真实的网络环境中会产生大量的虚警。

发明内容

本发明的目的在于提供一种基于可疑度评估的HTTP混淆流量检测方法。

本发明的目的在于提供一种基于可疑度评估的HTTP混淆流量检测方法，包括以下流程：

步骤1：捕获网络流量数据，筛选出其中的HTTP流量；

步骤2：提取HTTP流中每个数据包的TCP有效负载，重组成完整报文；

步骤3：对每条流的首个请求报文和首个响应报文进行特征匹配，匹配内容为协议头部信息的完整性匹配、内容类型标识与负载实际类型的一致性匹配；

步骤4、根据匹配结果，计算每个特征的可疑度数值；

步骤5、进行可疑度加权，与可疑度阈值比较，确定混淆HTTP。

作为一种优选实施方式，步骤1中，采用Wireshark软件和Hyperscan正则匹配库捕获网络流量数据。

作为一种优选实施方式，步骤2中，采用Matlab软件提取HTTP流中每个数据包的TCP有效负载。

作为一种优选实施方式，步骤3中，在协议头部完整性匹配过程中，设置一个长度为N的一维向量，代表所考察的N个首部字段的匹配结果，匹配对象中未出现的首部字段，一维向量中对应的位置设1；匹配对象中出现的首部字段，一维向量中对应的位置设0。

作为一种优选实施方式，步骤3中，内容类型标识与负载实际类型匹配包括负载的压缩格式匹配和负载MIME类型匹配，具体为：

根据内容类型标识“Content-Encoding”字段匹配负载的压缩格式，若符合“Content-Encoding”字段，匹配结果设0，并解压负载数据；若不符合，匹配结果设1；

根据内容类型标识“Content-Type”字段匹配负载的MIME类型，若负载类型为文本文件，则计算负载内容的负载信息熵，设负载信息X共有M个字符，当中的每个字符x出现的次数为N(x)，则每个字符出现的概率为N(x)/M，由公式(1)计算负载熵：