[发明专利]一种面向网络中HTTPS隧道流量的检测方法

说明书

本发明涉及计算机网络安全领域，具体是一种面向网络中HTTPS隧道流量的检测方法，包括以下步骤：1)通过样本采集模块采集网络流量并从中解析出TCP Flow，然后加窗截取Flow的前5分钟数据包；2)通过特征提取模块从样本采集模块处理好的TCP Flow中，提取后续用到的各种原始特征，然后分别对其进行计算，得到最终数值化的指纹特征和统计特征；3)通过模型训练模块根据特征提取模块输出的数值特征，训练能够对测试数据进行是否为隧道流量判断的机器学习分类模型。本发明降低了对HTTPS隧道流量检测的误报率和漏报率；流量样本加窗，减少了流量处理的工作量。

技术领域

本发明涉及计算机网络安全领域，具体是一种面向网络中HTTPS隧道流量的检测方法。

背景技术

如今计算机网络发展迅猛，连接的用户、设备数量迅速增长；承载的功能、服务类别不断扩张；传输的数据、资料日趋敏感。国际电信联盟ITU(InternationalTelecommunication Union)估计，截至2018年末，互联网用户数量高达39亿，占全球人口的51.2％。根据中国互联网络信息中心CNNIC(China Internet Network InformationCenter)于2019年2月最新发布的《中国互联网络发展状况统计报告》，截至2018年12月，我国网民规模为8.29亿，互联网普及率达59.6％。此外，随着企事业单位信息建设深入，包括政务、金融等在内的大量服务转移到互联网，与之相关的重要、敏感资产和数据也接入互联网。目前，物联网建设方兴未艾，电网、工业设备等基础设施也逐步接入互联网。互联网已经深入我们社会的各个方面。这是一个全新机遇，也带来了严峻挑战。与互联网的不断深入伴随的是网络攻击面的不断扩大。在个人层面，个人电脑或智能手机的网络账号、隐私数据可能被攻击者盗走；在企业层面，服务器或数据库中的知识产权、核心数据可能被攻击者窃取；在社会层面，电信、电网等关键基础设施可能被攻击者破坏。

网络的基础协议是TCP/IP协议栈，设备间的通信数据以分组交换(PacketSwitching)的形式进行，这些数据包组成了我们所说的网络流量。如何从网络流量中识别出恶意流量是一个很重要的问题。在该领域学术界和工业界进行了大量的研究实践。然而，网络攻击与防御技术此消彼长，攻击者不断尝试新的方法躲避检测。随着网络防火墙和入侵检测系统能力不断增强，恶意软件很难“突破”限制，因此越来越多的恶意软件采用混淆的方法，即将其通信流量伪装成正常流量。目前，Web服务是网络上流量占比最高的服务之一，其采用的HTTP/HTTPS协议也成为恶意软件伪装的主要目标。这种通过伪装或封装成其他协议的技术就是隧道。如何有效的检测基于HTTPS协议的隧道，从而识别网络中的恶意攻击行为，对增强网络的安全性，保护个人和社会数据安全具有很高的研究意义。

无论是协议封装还是协议伪装，隧道流量只能做到近似正常流量，其本质依然不同。基于此，理论上存在观察手段可用区分二者。某种意义上，隧道检测的本质是流量分类，即将“隧道流量”和“正常流量”区分。在流量分类领域广泛使用的四种方法，基于端口信息、基于有效载荷、基于主机行为和基于统计特征的方法，都可以用在隧道流量的检测(分类)中。其中，基于端口信息的流量分类方法由于端口欺骗技术的存在，目前已经很少用在隧道流量检测中。基于主机行为的流量分类方法也因为无法有效处理传输层加密的信息，以及受NAT技术影响较大，对网络环境要求较高，也较少用在隧道流量检测中。目前基于有效负载的流量分类方法，也称为基于深度包检测(Deep Packet Inspection，DPI)的方法在隧道流量检测中使用较为广泛。其优势在于设计合理的指纹可以有效提高检测准确率，且能够将误报率控制在较低水平。此外，基于统计特征的流量分类方法，即基于机器学习的方法，目前也有广泛使用。该方法的优势在于计算开销较低，且能够处理加密流量。