[发明专利]一种面向网络中HTTPS隧道流量的检测方法

权利要求书

1.一种面向网络中HTTPS隧道流量的检测方法，其特征在于，包括以下步骤：

1)通过样本采集模块采集网络流量并从中解析出TCP Flow，然后加窗截取Flow的前5分钟数据包；

2)通过特征提取模块从样本采集模块处理好的TCP Flow中，提取后续用到的各种原始特征，然后分别对其进行计算，得到最终数值化的指纹特征和统计特征；

3)通过模型训练模块根据特征提取模块输出的数值特征，训练能够对测试数据进行是否为隧道流量判断的机器学习分类模型。

2.根据权利要求1所述的面向网络中HTTPS隧道流量的检测方法，其特征在于，在步骤1)中，所述网络流量包括正常流量和隧道流量。

3.根据权利要求1或2所述的面向网络中HTTPS隧道流量的检测方法，其特征在于，在步骤1)中，每个Flow中包含多个TCP数据包，并根据采样时间排序，截取前5分钟内的TCP数据包，即从Flow中的第一个数据包开始，计算每个数据包采样时间和第一个数据包的差值：

Δ＝T_i-T₁，1＜i＜C；

其中，T_i指TCP Flow中第i个TCP包的采样时间；C指该TCP Flow中TCP数据包的数量；如果T_C-T₁＜3000，即该TCP Flow的持续时长小于5分钟，则不做加窗处理；如果T_X-T₁＝3000，则截取该TCP Flow中的第1到X个TCP包，丢弃第X之后的TCP数据包。

4.根据权利要求1所述的面向网络中HTTPS隧道流量的检测方法，其特征在于，在步骤2)中，提取后续用到的各种原始特征包括握手信息处理阶段和应用信息处理阶段，握手信息处理阶段能够分别读取HTTPS客户端或浏览器发出的TLS Record，应用信息处理阶段能够区分数据包的上行或下行方向。

5.根据权利要求4所述的面向网络中HTTPS隧道流量的检测方法，其特征在于，握手信息处理阶段客户端TLS Record提取的原始特征有：客户端支持的加密套件、会话标识、客户端支持的压缩方法和客户端支持的扩展；握手信息处理阶段服务器TLS Record提取的原始特征有：服务器支持的扩展和服务器证书。

6.根据权利要求5所述的面向网络中HTTPS隧道流量的检测方法，其特征在于，应用信息处理阶段提取的原始特征有：每个应用Record的采样时间和每个应用Record的方向。

7.根据权利要求1或4所述的面向网络中HTTPS隧道流量的检测方法，其特征在于，在步骤3)中，将步骤2)得到的指纹特征和统计特征输入Scikit-learn机器学习库，使用其中的随机森林分类算法Random Forest Classifier训练机器学习分类模型。