[发明专利]一种基于时序特征的加密流量异常检测方法

说明书

本发明公开了一种基于时序信息的异常流量检测方法，该方法仅仅依赖于流量本身的特征，不需要额外的TLS握手信息等即可对加密流量进行异常检测。本方法中主要设计了流量时序特征提取模块和离群检测模块。流量时序特征提取模块利用长短期记忆自动编码器准确流量中的时序信息，将高维度、复杂的原始数据提取为低维度数值信息，带来了易于操作、计算简单的好处；长短期记忆自动编码器采用无监督的训练方法，不依赖于往往在真实环境中难以获取且经常存在噪声的标签化数据；离群检测模块使用格鲁布斯检验法确定离群的数值特征，继而得到对流量异常情况的判断，有操作简单、结果准确的好处。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于时序特征的加密流量异常检测方法。

背景技术

现阶段，计算机网络中的攻击层出不穷，每天都会产出大量全新种类的攻击手段对网络系统的保密性、可用性以及完整性造成巨大威胁。传统的攻击检测方式多基于规则匹配，即基于已知的攻击模式形成规则，如果某个主机有相同模式的行为，即判断其为攻击行为。这种方法无法防御新种类的攻击(0day攻击)或已知攻击的变种。经常是在系统遭到破坏，经济遭到损失后，再给现有系统的漏洞打补丁或增添新的攻击规则以防御未来到来的同种攻击。这种“亡羊补牢”的方式攻击者带来极大的优势。

要想打破这一局面，对用户行为的异常检测是一项重要的技术手段。它可以在用户行为中挖掘出与正常行为的有偏差的异常部分，这一部分是网络攻击的概率较大。现阶段，用户所产生的流量可以作为用户异常检测的重要数据源，因此对流量异常检测技术研究具有重要的价值。现阶段，加密流量在网络中所占的比例逐渐升高，同时已有众多恶意软件或木马以加密流量的方式进行网络攻击，其目的为对现有防御措施进行绕过。因此，对加密流量进行异常检测成了一项重要的研究课题。然而，流量加密协议如SSL、TLS等为给流量异常检测带来了不便和挑战。因为流量加密协议会将流量的数据包载荷进行加密，因此数据包载荷无法作为异常检测的信息源。

现有的某些加密流量异常检测方法依赖于加密会话建立时的TLS握手信息，如加密算法、TLS拓展等。这种方法依赖于攻击者会提供相对不完整的握手信息这一假设。然而，如果攻击者也可以提供完整的握手信息，则此类检测方法将失去效果。因此，对加密流量的异常检测将更多地依赖于流量本身的特征，例如数据包长度、数据包之间的时间间隔以及数据包的流向等时序信息。

发明内容

本发明目的在于针对现有技术的不足，提供一种基于时序特征的加密流量异常检测方法。本发明的重点是利用长短期记忆自动编码器对时序信息的提取能力，从加密流量的各个数据包中提取出时序特征信息；最后对提取出的时序特征信息进行离群检测，从而得到加密流量中存在的异常。

本发明的目的是通过以下技术方案来实现的：一种基于时序特征的加密流量异常检测方法，该方法包括以下步骤：

(1)将流量以会话的形式进行表示，会话的集合为S＝{s_i|i＝1,2,…,N}；其中每一条会话为s_i＝{p_j|j＝1,2,…,M}，其中p_j为第j个的数据包，N为会话中包含数据包的数量；

(2)设长短期记忆自动编码器ξ的时间序列长度为L，则对于M大于等于L的会话，只取前L个数据包；对于M小于L的会话，在会话后面添加L-M个四元组全部赋0的数据包；

(3)将步骤(2)处理后的流量中的所有会话作为训练集，使用Adam优化算法对长短期记忆自动编码器ξ进行训练，得到训练完毕的模型ξ’；

(4)将步骤(2)处理后的会话集合S输入步骤(3)训练完毕的模型ξ’，则X＝{x_i|i＝1,2,…,N}为ξ’中隐藏层的输出，即为提取出的时序特征信息；

(5)求出X的均值mean以及标准差std，设格鲁布斯检验法的显著性等级为α；