[发明专利]一种加密恶意流量的检测方法和装置

权利要求书

1.一种加密恶意流量的检测方法，其特征在于，包括：

在网络边界上实时采集网络数据流，所述网络数据流包括网络层数

据包和传输层数据包，基于所述网络层数据包和传输层数据包的特征，将所述数据流进行分组；

对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据

流；

对所述剩余数据流进行计算，基于计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充；其中，所述第一信息，包括：预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间；

基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充；其中，所述第二信息包括：数字证书和服务端的算法套件信息；

利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测；

所述在网络边界上实时采集网络数据，基于网络层和传输层的数据包特征，将数据流进行分组，包括：

将五元组信息相同的数据包划分为一组；其中，所述五元组信息包括：源IP地址、目的IP地址、源端口、目的端口以及传输层协议类。

2.根据权利要求1所述的方法，其特征在于，所述将五元组信息相同的数据包划分为一组之后，还包括：

在同一组中，基于所述数据包的时间戳进行所述数据包排序；

基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分；或者，对不带有所述特殊标识位且序列号差异超过第一设定值的所述数据包进行划分；其中，所述特殊标识位包括：SYN、FIN或RST。

3.根据权利要求2所述的方法，其特征在于，所述基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分，包括：

对数据包中包含特殊标识位且出现间隔时间超过第二设定值的所述数据包进行划分。

4.根据权利要求1所述的方法，其特征在于，所述对所述分组后

的数据流，通过白名单进行数据过滤，获得剩余数据流，包括：

对所述分组后的数据流，基于服务端IP 、数字证书和访问域名信息过滤掉白名单数据流。

5.根据权利要求1所述的方法，其特征在于，所述对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充，包括：

基于所述对过滤后的剩余数据流中的数据包，进行计算，基于计算得出的可疑流量，预测所述可疑流量信息；

通过数据传输的一般协议规则，补充所述可疑流量中的缺失数据包的第一信息到所在的可疑数据流中的相应位置。

6.根据权利要求1所述的方法，其特征在于，所述基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充，包括：

通过已知服务端IP，主动向服务端发起TLS请求，获得数字证书；

通过客户端与服务端的主动交互，获得所述服务端的算法套件信息；其中，所述算法套件信息包括：支持的算法、密钥长度以及协议版本；

基于所述数字证书和算法套件信息，对所述可疑流量进行所述第二信息补充。

7.根据权利要求1所述的方法，其特征在于，所述利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测，包括：

对所述第一信息和第二信息进行特征提取；

基于所述提取的特征利用预先训练好的机器学习模型进行恶意加密流量检测，检测出恶意加密数据。

8.根据权利要求7所述的方法，其特征在于，所述预先训练好的机器学习模型，是基于黑白流量构建的。

9.一种加密恶意流量的检测装置，其特征在于，包括：划分单元、过滤单元、预测单元、探测单元和检测单元；

所述划分单元，用于在网络边界上实时采集网络数据流，所述网络

数据流包括网络层数据包和传输层数据包，基于所述网络层数据包和传输层数据包的特征，将所述数据流进行分组；其中，所述在网络边界上实时采集网络数据，基于网络层和传输层的数据包特征，将数据流进行分组，包括：将五元组信息相同的数据包划分为一组；其中，所述五元组信息包括：源IP地址、目的IP地址、源端口、目的端口以及传输层协议类；

所述过滤单元，用于对所述分组后的数据流，通过白名单进行数据

过滤，获得剩余数据流；

所述预测单元，用于对所述剩余数据流进行计算，基于计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充；其中，所述第一信息，包括：预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间；

所述探测单元，用于基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充；其中，所述第二信息包括：数字证书和服务端的算法套件信息；

所述检测单元，用于利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测。