[发明专利]一种加密恶意流量的检测方法和装置

说明书

本发明提供了一种加密恶意流量的检测方法和装置。通过对采集到的数据流进行白名单过滤后，基于对可疑数据流进行计算结果，补充第一信息，基于主动网络探，补充第二信息，然后利用机器学习算法对进行第二信息补充后的可疑流量进行恶意流量检测。本发明对于一些关键信息，通过主动复现的方式进行服务端预测来进行信息补充弥补了非对称路由导致的数据确实缺失；还有效的补充了数据流分析所需的大部分信息，降低了基础数据的依赖性，提高了分析的灵活性和准确性。

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种加密恶意流量的检测方法和装置。

背景技术

在真实的网络应用中，恶意加密流量检测往往是在非对称路由环境下进行。即在一些大型网络边界，如省际、国际网络出口等，此类网络由于路由配置等方面的技术原因，同一个数据流的上下行数据可能不是通过同一个线路传输，从而导致一些检测节点无法获得一个数据流的全部流量。即需要在非对称路由环境中进行数据流的恶意行为检测。

在非对称路由环境中，发现恶意加密流量的恶意行为方法可以分为两种：第一种是非数据流分析法；即利用离散的数据包直接分析发现其中可能的恶意加密流量；第二种是数据流分析法：在非对称路由环境下，尽其所能的还原部分数据流，对可以还原的数据流进行分析，其余数据丢弃；但第一种方法所能获得的流量信息有限，在不还原数据流的情况下，很难获得真正有意义的数据信息，导致分析的准确性下降；第二种方法基于数据流的分析方法在分析过程中虽然对于可还原的数据流具有较好的准确性，但是由于非对称路由的特点导致可以实现流重组的数据比例较少，因此大量的数据可能被遗漏，从而造成恶意行为绕过。

因此，急需一种在非对称路由环境中对恶意加密流量检测的有效方法。

发明内容

本发明的目的在于提供一种加密恶意流量的检测方法和装置，能够解决上述提到的至少一个技术问题。具体方案如下：

根据本发明的具体实施方式，第一方面，本发明提供一种加密恶意流量的检测方法，具体包括：

在网络边界上实时采集网络数据流，所述网络数据流包括网络层数据包和传输层数据包，基于所述网络层数据包和传输层数据包的特征，将所述数据流进行分组；

对所述分组后的数据流，通过白名单进行数据过滤，获得剩余数据流；

对所述剩余数据流进行计算，基于所述计算结果，预测可疑流量信息，并对所述可疑流量进行第一信息补充；其中，所述第一信息，包括：预测丢失数据包的大小、预测丢失数据包的上下行方向、预测丢失数据包的传输时间；

基于主动网络探测所述可疑流量信息，对可疑流量进行第二信息补充；其中，所述第二信息包括：数字证书和服务端的算法套件信息；

利用机器学习算法对进行所述第一信息和所述第二信息补充后的所述可疑流量进行恶意流量检测。

可选的，所述在网络边界上实时采集网络数据，基于网络层和传输层的数据包特征，将数据流进行分组，包括：

将五元组信息相同的数据包划分为一组；其中，所述五元组信息包括：源IP地址、目的IP地址、源端口、目的端口以及传输层协议类。

可选的，所述将五元组信息相同的数据包划分为一组之后，还包括：

在同一组中，基于所述数据包的时间戳进行所述数据包排序；

基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分；或者，对不带有所述特殊标识位且序列号差异超过第一设定值的所述数据包进行划分；其中，所述特殊标识位包括：SYN、FIN或RST。

可选的，所述基于所述排序后的数据包中的特殊标识位对所述排序后的数据包进行划分，包括：

对数据包中包含特殊标识位且出现间隔时间超过第二设定值的所述数据包进行划分。