[发明专利]一种精准复原TLS协议加密传输数据明文长度指纹的方法

说明书

本发明公开了一种精准复原TLS协议加密传输数据明文长度指纹的方法。该方法首先在代理设备上采集应用数据，获得应用的明文数据并提取其长度特征构成应用数据单元ADU的明文字典，然后对ADU明文字典对应的密文数据提取密文长度指纹，通过明文字典对其打标签，再通过机器学习得到TLS协议加密数据长度指纹精准复原回归模型。需要使用该模型时，对使用TLS协议加密传输的ADU提取密文长度指纹，再使用机器学习获得的精准复原模型进行回归分析，可精准复原出这些ADU密文数据对应的应用层明文ADU长度指纹。本发明具有通用性，复原出的明文长度指纹可以应用于最常见的使用TLS1.2加密传输的应用内容识别。

技术领域

本发明属于网络安全技术领域，尤其涉及一种精准复原TLS协议加密传输数据明文长度指纹的方法。

背景技术

互联网最初的设计功能已经远跟不上实际的需求，隐私保护和安全防护是互联网应用必须考虑的问题，在TCP协议之上使用TLS(transport Layer Security,TLS)协议实现数据的加密传输是最通用的实现安全传输的方法。由于数据重要程度不一样，有些应用只对用户登录数据加密传输，有些应用则是对所有数据都加密传输，这些措施为互联网应用提供了很好的安全防护。但是另一方面，加密流量比重的增加给互联网流量监管带来极大的挑战。如何从加密的数据中抽取出网络管理和安全管理需要的信息已经成为互联网中亟待解决的问题。

目前对加密流量的数据分析根据分析目标主要分为两大类：类型识别和内容识别。对加密流量的类型进行识别的研究开展的比较早，包括的范围也比较广，包括对网络流量应用类型的识别，恶意软件流量的识别，对加密视频播放模式的识别等。这类分析都不涉及到用户信息的具体内容，从方法上看，这类加密流量分析方法大部分类似，首先从数据中提取出与类型分类相关性高的特征，对训练数据打标签后，通过机器学习获得分类模型，再使用训练好的模型对测试数据进行分类识别。这类加密流量类型识别必须有已经打好标签的训练数据集，最终可以获得的是加密流量类型分类结果。但是结果中无法包含与上层应用具体内容相关的信息，如用户传输的具体内容，与服务器交互的操作等，都无法识别。

在网络管理和网络安全领域内有较大需求且最具挑战性的是对加密应用内容的识别。随着加密传输的普及，对加密应用内容的识别成为网络监管者最大的需求和挑战。由于加密算法的完备，加密流量的内容无法直接识别，但是数据被加密以后的数据长度与明文数据长度之间具有较为密切的对应关系，通常将数据的长度称为数据的长度指纹，加密数据内容识别需要将加密传输数据的密文长度指纹与指纹库中的明文长度指纹进行匹配，现有的匹配算法都是直接用密文长度指纹与明文长度指纹进行匹配，导致识别误差大，无法在大规模指纹库中使用。而如何将密文长度指纹复原成明文长度指纹再匹配还没有文献研究，因此本发明提出一种新的方法，通过提取TLS分片特征，将密文长度指纹复原成明文长度指纹后再进行匹配，可将其应用于加密应用内容的识别。

发明内容

发明目的：针对以上问题，本发明公开了一种精准复原TLS协议加密传输数据明文长度指纹的方法。该方法首先在代理设备上采集应用数据，获得应用的明文数据并提取其长度特征构成应用数据单元ADU的明文字典，然后对ADU明文字典对应的密文数据提取密文长度指纹，通过明文字典对其打标签，再通过机器学习得到TLS协议加密数据长度指纹精准复原回归模型。需要使用该模型时，对使用TLS协议加密传输的ADU提取密文长度指纹，再使用机器学习获得的精准复原模型进行回归分析，可精准复原出这些ADU密文数据对应的应用层明文ADU长度指纹。本发明具有通用性，复原出的明文长度指纹可以应用于最常见的使用TLS1.2加密传输的应用内容识别。

技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种精准复原TLS协议加密传输数据明文长度指纹的方法，该方法具体包括如下步骤：

(1)采集应用的明文数据信息，并提取其明文特征构成应用数据单元ADU明文字典；