[发明专利]一种针对加密代理通道内应用层协议的检测方法

说明书

本发明公开一种针对加密代理通道内应用层协议的检测方法，生成训练样本数据；按照TCP五元组信息和时间信息对训练样本数据集进行分流处理和标记；利用DPI技术提取数据负载内容，再使用单比特频数检测的方法对负载数据进行随机性检测；针对通过随机性检测的TCP数据流，提取数据流中数据包的长度特征向量、数量特征向量、时间特征向量、标志特征向量，计算负载长度序列熵，组成训练样本特征向量，训练分类模型；生成检测样本特征向量，输入分类模型，识别检测样本不同应用层协议的流量。本发明采用TCP数据流的多特征检测，能够有效实现加密代理通道内应用层协议的检测，从而描绘出加密代理通道内用户的具体通信行为。

技术领域

本发明涉及本发明涉及信息处理技术，尤其涉及一种加密代理通道内应用层协议的检测方法。

背景技术

互联网发展至今已具有非常庞大的规模，它渗透到了人们生活和工作的方方面面。但是在给使用者带来高效服务的同时，互联网也暴露出了越来越多的信息安全问题。例如，许多网络攻击者借助数据加密技术和代理服务技术隐藏传输信息，规避网络审查从事非法网络活动，给互联网治理带来巨大隐患。

目前加密代理技术一般采用Socks5协议作为传输基础，在代理服务客户端将用户数据进行加密、混淆，从而掩盖用户原始请求意图，转发给代理服务器进行解密、二级转发，以此实现恶意流量传输或者不合规资源访问。

由于加密的原因，现有的数据包流量分析等技术均无法实现对新型加密协议流量进行识别及代理通道内应用层协议的精细化检测，已经无法满足网络监管者的监管需求，因此急需研究新的甄别方法。

发明内容

本发明的目的在于提出一种密代理通道内应用层协议的检测方法，用以实现加密代理通道内应用层协议的有效检测。

实现本发明目的的技术解决方案为：一种针对加密代理通道内应用层协议的检测方法，包括如下步骤：

步骤1：捕获加密代理通道下不同应用层协议的流量数据包，生成训练样本数据S_train；

步骤2：按照TCP五元组信息和时间信息对训练样本数据集进行分流处理，标记应用层协议为SSH的TCP数据流为S-ssh，标记应用层协议为HTTP的TCP数据流为S-http，标记应用层协议为HTTPS的TCP数据流为S-https；

步骤3：针对训练样本中的每条TCP数据流，利用DPI技术提取其数据负载内容，再使用单比特频数检测的方法对负载数据进行随机性检测，确定其是否为加密随机流量；

步骤4：针对步骤3中的通过随机性检测的TCP数据流，分析不同应用层协议的通讯机制，提取数据流中数据包的长度特征向量L_test、数量特征向量N_test、时间特征向量T_test、标志特征向量F_test，计算负载长度序列熵L_test，组成训练样本特征向量V_train＝[L_sum,C_sum,S_max,E_max]；

步骤5：将训练样本特征向量V_train＝[L_sum,C_sum,S_max,E_max]，输入SVM分类器，训练得到分类模型M；

步骤6：捕获网络流量数据包，生成检测样本数据集S_test，按照步骤2-4，生成检测样本特征向量V_test＝[L_sum,C_sum,S_max,E_max]；