[发明专利]一种基于深度字典学习的加密流量异常检测方法

说明书

本发明公开了一种基于深度字典学习的加密流量异常检测方法，该方法可以在不同业务场景下，对加密流量中的异常有相对良好的实时检测效果。在本发明设计了流量特征提取模块、正常流量模式构建模块以及异常比对模块。流量特征提取模块用于将原始流量以流量会话为粒度进行聚合，并提取出会话的多个特征数据传入后续的正常流量模式构建模块；正常流量模式构建模块基于深度字典学习技术构建出可表示正常流量模式的稀疏字典，该字典会随着当新流量会话到来时相应地更新；异常比对模块用于在新流量会话到来时，计算该会话和当前字典之间的相关程度，如果相关度较大，则认为其是正常流量，反之则认为其是异常流量。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于深度字典学习的加密流量异常检测方法。

背景技术

计算机网络中的异常情况可能由多种原因引起，如恶意用户的攻击行为、普通用户的操作失误、硬件配置错误以及软件运行错误等。此类异常情况如不得到及时的发现和排查，会对网络系统的正常运作和其他合法用户的服务质量造成不良影响。所以，对网络中的异常进行检测是一项重要的工作。现阶段，网络中的流量可以作为检测此类异常的重要数据源，因此对流量异常检测技术研究具有重要的价值。流量异常检测技术的主要思路为在流量中挖掘出与正常流量的通信模式的有偏差的异常部分，因此可以用于检测传统基于规则匹配的方法所无法检测到的未知攻击或系统错误。

现今，流量加密协议如SSL、TLS等为流量通信提供了隐私保护、身份验证和完整性校验方面的能力，因此得到了广泛应用，然而却给流量异常检测带来了不便和挑战。因为流量加密协议会将流量的数据包载荷进行散列，因此数据包中的载荷已无法作为流量异常检测的对象，导致基于数据包载荷的语义或统计检测等深度包检测方法无法进行使用。现阶段已有众多恶意软件或木马以加密流量的方式进行网络攻击，以对现有防御措施进行绕过，带来了严重的威胁。因此，对加密流量进行异常检测成了一项重要的研究课题。

发明内容

本发明目的在于针对现有技术的不足，提供一种基于深度字典学习的加密流量异常检测方法。本发明的重点是利用深度字典的深度特征表示能力，将高维度的流量特征信息转化为较低维度的稀疏字典，并可以随着流量的不断到来对该字典的元素，以及字典元素和流量特征信息之间的相关系数进行更新，最后通过比对流量特征信息与稀疏字典之间的相关性决定该流量异常与否。

本发明的目的是通过以下技术方案来实现的：一种基于深度字典学习的加密流量异常检测方法，该方法包括以下步骤：

(1)流量特征提取模块首先对从访问用户端传入的加密流量进行处理，具体为：

(1.1)使用TCP/IP五元组为依据对流量进行聚合，得到流量会话集合S；

(1.2)对于S中每一个会话，其特征向量为F＝{f_i|i＝1，2，…，M}，其中f_i为第i个特征向量，M为特征向量的长度；

(2)正常流量模式构建模块基于流量会话特征向量构建并更新深度稀疏字典，具体为：

(2.1)稀疏字典由D＝{d_j|j＝1，2，…，N}表示，其中d_j为第j个字典元素，N为字典的长度；

(2.2)对于新到来的每个流量会话特征向量F，以为目标函数使用梯度下降训练法对稀疏字典D以及字典元素和特征向量F之间的相关系数集进行更新。其中K为字典所在的层数，Γ_k为第k层的相关系数矩阵，φ为ReLU非线性激活函数，为第二范数；

(3)异常比对模块计算更新完成的D与特征向量F的相关度，从而判断F是否为异常，具体为：