[发明专利]一种基于深度学习的加密型恶意流量检测系统和方法

权利要求书

1.一种基于隐马尔科夫链的加密型恶意流量检测系统，其特征在于，包括数据收集模块、预处理模块、指纹生成模块、指纹库、评估模块，并依次连接；所述数据收集模块使用网络嗅探工具收集流量样本，通过应用监控程序关联流量样本与进程；所述预处理模块把研究对象设定为每个进程及其对应的通信信息，把所述研究对象的网络流收集到一起；所述指纹生成模块对所述流量样本进行序列化，传入隐马尔科夫模型，生成指纹；所述指纹经处理后存储在所述指纹库中；所述评估模块分析所述指纹特征，找出异常指纹；

所述每个进程及其对应的通信信息标记为七元组，包括进程名称、进程号、源IP、源端口、目的IP、目的端口、网络流方向，即process name，process id,srcIP，srcPort，dstIP，dstPort，direction；

所述网络嗅探工具为wireshark；

所述指纹的处理过程包括压缩；

所述评估模块分析所述指纹特征，还包括匹配包含相近基因的指纹。

2.一种基于隐马尔科夫链的加密流量检测方法，其特征在于，使用如权利要求1至5任一基于隐马尔科夫链的加密型恶意流量检测系统，包括以下步骤：

S001，Argus提取网络流，所述数据收集模块将网络嗅探工具部署在实验网环境中，收集所述实验网环境内的流量信息，并将所述流量信息通过开源网络流量分析工具Argus提取成包含双向通信信息的网络流的形式，在客户端使用网络监控工具匹配所述网络流与进程ID，保留相关的系统日志、事件信息以便验证；

S002，网络流七元组聚合，所述数据预处理模块将研究对象设定为每个进程及其对应的通信信息，标记为七元组，即process name,process id,srcIP,srcPort,dstIP,dstPort,direction，对每条网络流根据七元组进行匹配，把具有相同七元属性的网络流储存在同一个数组中；

S003，七元组数据序列化，所述指纹生成模块对所述七元组进行序列构造；

S004，基因序列对齐，创建指纹库，根据指纹生成算法，获取每个对象的基因序列，对其建立指纹库；

S005，基于HMM匹配，所述评估模块分析和检测包含恶意攻击的加密流量；

S006，输出结果。

3.如权利要求2所述的基于隐马尔科夫链的加密流量检测方法，其特征在于，所述步骤S001中，所述实验网环境内的流量信息包括源/目的地址IP和端口，网络流方向，证书信息。

4.如权利要求2所述的基于隐马尔科夫链的加密流量检测方法，其特征在于，所述步骤S001中，所述网络监控工具包括但不限于netstat，所述netstat在安卓客户端上通过busybox实现。

5.如权利要求2所述的基于隐马尔科夫链的加密流量检测方法，其特征在于，所述步骤S003中，所述序列构造包括分析七元组中网络流的数据包大小和方向。

6.如权利要求2所述的基于隐马尔科夫链的加密流量检测方法，其特征在于，所述步骤S005还包括：

S0051、使用同源搜索算法，比对多个序列中的相同片段；

S0052、将所述片段对齐，然后通过对齐的包对模型进行参数估计；

S0053、得到PHMM中的参数λ＝(A，E，π)，π为初始状态的概率分布；

S0054、和已知恶意攻击的流量基因进行匹配，对于最相近的网络流认为是包含恶意攻击的加密流量。