[发明专利]一种针对基于SSL加密的VPN流量识别方法

权利要求书

1.一种针对基于SSL加密的VPN流量的识别方法，其特征在于，采用Bit级DPI指纹生成技术识别SSL流量，对数据进行预处理后，通过特定的规则生成位签名，再对位签名进行运行长度编码，利用编码后的位签名生成SSL状态转换机，用来识别SSL流量，在已识别的SSL流量基础上利用基于注意力机制的双向GRU网络流量识别模型，识别SSLVPN流量，包括以下步骤：

(1)获取数据集：捕获网络数据流量，生成会话，通过五元组对网络数据流量过滤分流并获取原始实验数据集，将原始数据集分为实验数据集和位签名数据集两部分；

(2)数据预处理：提取实验数据集和位签名数据集中每条流内所有数据包的有效载荷数据并连接起来；

(3)位签名：使用位签名数据集的有效载荷的不变位集，依据如果每个流的第k位的值都为0，k签名位设置为0，如果每个流的第k位的值为1，k签名位设置为1，如果这些位的位置中有0位和1位，则第k个签名位设置为^的规则，生成SSL加密流量特定的位签名；

(4)运行长度编码：对步骤(3)生成的位签名进行运行长度编码RLE；

(5)SSL状态转换机：将经过编码的位签名转换成SSL状态转换机；

(6)识别SSL流量：提取实验数据集中每个流的有效负载的前40位，将它们输入到SSL状态转换机，识别目的加密流量；

(7)SSL流量实验数据集：利用步骤(6)中识别出来的SSL加密流量组成SSL流量实验数据集；

(8)SSL流集数据预处理：读取数据流，截断数据，并拆分为一定长度的向量，将SSL流量实验数据集分为训练集和测试集两部分；

(9)识别SSLVPN加密流量：将经过步骤(8)处理后的数据集输入到基于注意力机制的双向GRU网络流量识别算法，识别SSLVPN加密流量；

(10)对获得的指标结果分析，并选取参数，优化加密流量识别方法。

2.根据权利要求1所述的针对基于SSL加密的VPN流量的识别方法，其特征在于，所述步骤(1)中所述获取数据集的具体内容和方法是：

1)定义TCP流为以握手协议中的SYN标志位开始，并且以FIN标志位或以RST标志位结尾的TCP双向流；

2)定义UDP流为以第一个数据包到达为开始，如果两个数据包到达的时间间隔超过一分钟，则认为数据流结束，新数据流的开始。

3.根据权利要求2所述的针对基于SSL加密的VPN流量的识别方法，其特征在于，所述步骤(2)中数据预处理，具体内容和过程为：

1)检测每条流内的所有数据包；

2)若该数据包包含有效负载，则提取有效负载；

3)按顺序连接提取到的有效负载，用作后续签名生成阶段的输入。

4.根据权利要求3所述的针对基于SSL加密的VPN流量的识别方法，其特征在于，步骤(3)中所述位签名的具体过程为：

1)从SSL的L个流中各收集前n位，并为SSL流生成n位签名，第h个流的前n位为f_1h、f_2h、…、f_nh，L个流都被提取都用于生成如下签名，每个流提取的第k位[1,n]位置用来决定SSL流的第k个签名位，签名创建过程如下所示，其中每个Si是一个签名位：

2)根据1)所示规则生成SSL流的位签名。

5.根据权利要求4所述的针对基于SSL加密的VPN流量的识别方法，其特征在于，步骤(4)所述运行长度编码的具体过程为：

步骤(3)生成的位签名由1位、0位和^位组成，每个签名为n位，对位签名进行运行长度编码RLE，将许多连续数据元素中具有相同数据值的序列存储为单个值，并存储该数据值重复的次数计数。

6.根据权利要求5所述的针对基于SSL加密的VPN流量的识别方法，其特征在于，步骤(5)所述SSL状态转换机的具体过程为：

根据压缩后的位签名确定SSL状态转换机的状态个数，再为每一个状态配置相应的计数器作为保护，只有当约束被满足时，才允许转换；用压缩后的位签名生成SSL状态转换机。