[发明专利]一种存储文件及网络数据流加密通信检测方法及系统

说明书

本发明公开了一种存储文件及网络数据流加密通信检测方法及系统，该方法包括：对待检测数据进行字节转换处理，得到待检测数据对应的二维灰度图片；该待检测数据为存储文件数据或网络数据流数据；将二维灰度图片输入预先训练好的加密通信检测模型，输出待检测数据是否被加密的结果；加密通信检测模型包括特征提取模块和特征映射模块；其中，特征提取模块用于对二维灰度图片进行特征提取，得到该二维灰度图的信息相关性特征图；特征映射模块用于对信息相关性特征图进行特征映射，得到待测数据是否被加密的结果。本发明可解决网络输入问题，实现自动特征提取，并判断数据是否加密，在避免复杂特征提取的同时提高分类精度，并适用于多种类型的数据。

技术领域

本发明涉及信息安全领域，特别涉及一种存储文件及网络数据流加密通信检测方法及系统。

背景技术

在计算机及网络通信时代，信息很容易被获取、复制和传播，因此，加密通信技术在信息时代获得了广阔的用武之地。事实上，近年来随着互联网普及率的提高以及人们保护隐私和信息安全等意识的提升，加密通信技术已被广泛深入使用于人们日常生活的方方面面。

加密通信技术可以为合法用户提供数据安全保护，例如，对自己计算机中存储的重要文件进行加密以防止被浏览和偷窃，在通过通讯工具传输文件时先进行加密等。但加密通信技术是一把双刃剑，它既可以作为保护伞保护用户的隐私和合法数据的安全，也同样可以被不法分子用于隐藏其违法行为数据，使得不法分子也能通过建立基于加密技术的安全信道来传输恶意数据，以达到隐藏其恶意性质和规避防火墙的检测等目的。因此，从网络安全监管的角度出发，研究加密通信检测及取证技术迫在眉睫。然而现有的加密检测方法大多基于传统特征工程技术，需要人工设计特征，过程繁琐，人工特征选取的好坏直接影响检测精度，且通常检测准确度并不高。

目前的加密通信检测，即隐写检测，需要进行检测和取证的加密通信检测场景通常有两种：一种是对数据进行加密后，存放于各类存储介质(如硬盘、U盘、光盘等，这些介质可以很容易的进行运输)，另一种是对数据进行加密后通过网络进行传输或直接通过加密信道，如虚拟专用网络(Virtual Private Network，VPN)，进行加密通信。通常可以通过计算待检测数据的熵值判断数据是否被加密，但是基于熵的方法对于压缩媒体数据和加密数据区分效果差，因此对于大量音视频数据的加密判定存在不足；还可以通过检验统计项对待检测的存储型数据进行测试，然后设定置信水平，如果检验统计特征值大于置信水平，则判定数据被加密，但该方法对于压缩型数据识别效果较差。还有通过机器学习来判断数据是否被加密，但现有的基于机器学习的方法通常需要人工设计特征，不是端到端的检测，因此过程较为繁琐，且检测准确度并不高。

也有一些加密通信检测方面的研究，如利用NIST SP800-22standard公布的15项测试项对待检测数据进行随机性测试，该测试总共提取188维特征，然后利用其提出的贪心算法进行特征选择，最后使用Support Vector Data Description(SVDD)算法利用选取的特征进行模型训练及检测。该贪心算法至少要进行375次特征选择，极端情况下最多需要进行17766次特征选取，因此至少需要训练375个SVDD模型并进行检测，最多需要训练17766个SVDD模型，非常繁琐；再如利用NIST测试标准进行15项测试，提取188维特征，通过寻找L1-norm正则化逻辑回归函数的最优解来进行特征选取，最后利用极速学习机进行模型训练与检测，该方法中特征维数的选取对结果影响较大；还有基于熵估计法的Skype加密流量实时检测方法，但该方法在加密数据流量较小时性能较差，也没有讨论对加密和非加密压缩流量的检测效果；Cisico公司提出的一种基于通信流上下文信息的加密恶意流量检测方法是比较好的工作，但是更偏重于恶意流量特征的提取和识别，并非通用的流量加密检测识别方法；还有一些基于端口的识别，或是基于内容签名的识别，再或是流量特征的识别方法，但这些方法只能针对特定的加密协议识别来实现。必须知道加密协议的细节。在开放的网络环境中，私有加密协议的出现使得这些方法难以实现。

发明内容

本发明的目的在于克服现有技术缺陷，提出了一种存储文件及网络数据流加密通信检测方法。