[发明专利]一种加密流量的识别方法、装置及设备

说明书

本发明公开了一种加密流量的识别方法、装置及设备，使用AI模型对加密流量进行识别，所述AI模型的训练过程包括以下步骤：S100、建立多个与数据流的不同特征相关的初级AI训练模型，并通过数据流对所述初级AI训练模型进行训练；S200、使用多模型融合的集合算法将所述初级AI训练模型进行融合；S300、基于S200的融合结果，使用监督学习算法进行次级AI训练，并得到次级AI训练模型；S400、当目标数据流经所述次级AI训练模型后的输出结果，在所述次级AI训练模型正常输出结果阈值范围外时，则判定该目标数据流为恶意流量。该发明通过使用多维度、多模型的方法实现了对加密流量进行检测，很好的解决了依赖单一AI模型所导致的误报率高、可解释性差的问题。

技术领域

本申请涉及恶意流量分析技术领域，更具体的说，是涉及一种加密流量的识别方法、装置及设备。

背景技术

随着互联网的高速发展和加密技术的广泛应用，加密流量所占的比重不断提升。相关机构预测，会有超过80％的企业网络流量将被加密，然而绝大多数网络设备对网络攻击、恶意软件等加密流量却无能为力。当攻击者利用SSL加密通道完成恶意软件载荷和漏洞利用的投递和分发，以及受感染主机与命令和控制(CC)服务器之间的通信，现有的检测手段却无法识别，针对恶意加密流量的检测技术尚属稀缺，原因主要如下：

一方面、恶意流量网络流之间也存在着行为上的特征，这些特征因为检测装置设计结构的原因没有被提取出来，传统的基于规则的检测手段无法检测加密流量，从加密流量中提取出经过加密的恶意流量；

另一方面、现网中的流量非常复杂，通过单一的AI模型进行检测，误报率高且可解释性差。

因为AI可以大幅度提高识别准确度和识别的效率，从而使使用AI方法进行恶意网络流量识别，成为了近些年来比较热门的研究课题，然而，网络中的流量复杂多样，不同数据格式类型的网络流量往往具有不同的特征，建立AI模型需要进行大量的训练过程。因此，如何为纷繁复杂的网络环境建立行之有效的AI模型，进而为后续的AI判断打下基础是需要亟需解决的问题。

发明内容

鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的加密流量的识别方法、装置及设备。具体方案如下：

一种加密流量的识别的方法，使用AI模型对加密流量进行识别，所述AI模型的训练过程包括以下步骤：

S100、建立多个与数据流的不同特征相关的初级AI训练模型，并通过数据流对所述初级AI训练模型进行训练；

S200、使用多模型融合的集合算法将所述初级AI训练模型进行融合；

S300、基于S200的融合结果，使用监督学习算法进行次级AI训练，并得到次级AI训练模型；

S400、当目标数据流经所述次级AI训练模型后的输出结果，在所述次级AI训练模型正常输出结果阈值范围外时，则判定该目标数据流为恶意流量。

进一步地，所述集合算法包括基于Stacking的多模型融合算法，其中初级AI训练模型的数量为m个，每个初级AI训练模型的训练集数据平均分为X份，每个测试集数据为Y行；经过所述Stacking的算法的融合各初级AI训练模型的训练集子矩阵和测试集子矩阵，最终形成X列m行的训练集矩阵，和Y行m列的测试集矩阵。

进一步地，在所述Stacking的算法的融合过程中，在对每个初级AI训练模型的测试集数据处理时，采用将该初级AI训练模型在进行X次训练时，将每次得到的测试集数据训练结果相加并取平均值，来得到一个Y行1列的测试集子矩阵，以代表该初级AI训练模型的测试集子矩阵。

进一步地，所述监督学习算法包括逻辑回归LR、和/或支持向量机SVM，对训练集矩阵和测试集矩阵进行训练，得到次级AI训练模型。