[发明专利]一种针对混淆KCP协议加密流量的检测方法

说明书

本发明公开了一种针对混淆KCP协议加密流量的检测方法。该方法包括：基于五元组和时间信息对UDP混合流量做分流处理、基于DPI深度报文解析技术针对UDP流量提取数据包负载信息识别伪装应用类型和KCP混淆协议信息字段、提取上行流量前20个负载包序列检验KCP混淆协议通讯机制、提取流量数据传输中的心跳包利用负载信息验证心跳行为特征。本发明采用UDP数据流的多特征检测，能够有效实现混淆KCP协议加密代理通道的检测。

技术领域

本发明涉及网络安全技术领域的信息处理技术领域，具体是一种基于KCP协议加密代理通道检测方法。

背景技术

KCP是一个基于UDP传输协议的快速可靠协议，能以比TCP浪费10％-20％的带宽的代价，换取平均延迟降低30％-40％，且最大延迟降低三部的传输效果。

KCP协议主要提供加速、降延时、可靠传输、拥塞控制的功能，所以在网络传输中受到广泛应用。

混淆KCP协议是基于KCP协议而实现的流式传输协议，由KCP协议修改而来，可以按顺序传输任意的数据流，其可用作为HTTP的承载协议，为其提供安全服务。现有的数据包流量分析等技术均无法实现对混淆KCP协议流量进行识别，已经无法满足网络监管者的监管需求，因此急需研究新的甄别方法。

发明内容

本发明的目的在于提供一种针对混淆KCP协议加密代理通道检测方法，用以实现KCP混淆加密代理通道的有效检测。

实现本发明目的的技术解决方案为：一种针对混淆KCP协议加密流量的检测方法，包括以下步骤：

步骤1：捕获UDP混合流量，基于libpcap网络库对UDP混合流量进行分流处理，并逐条发送UDP数据流量信息至缓存队列；

步骤2：逐条读取缓存队列UDP流量信息，基于DPI技术对负载数据包信息做伪装与混淆协议检测，得到疑似混淆KCP流量信息；

步骤3：提取可疑上行流量负载长度信息，检验疑似混淆KCP流量的通讯行为；

步骤4：提取可疑上行流量负载数据信息，检验疑似混淆KCP流量心跳行为，得到最终判定为混淆KCP协议流量。

步骤5：收集KCP协议流量四元组、协议和时间信息，收集为一条命中记录。

本发明与现有技术相比，其显著优点：(1)能够有效对混淆KCP协议流量进行识别与检测(2)基于DPI技术的流量分析在现实网络环境应用性较强，很好的抵御现实网络环境的不稳定因素(3)本发明已经部分部署在边境监控审查系统平台中，具有对大量数据的分析能力，且检全率和准确率均在90％以上。

附图说明

图1为本发明针对KCP混淆协议加密流量的检测方法的流程示意图。

图2为实施例中特征计算基于数据包个数与分类结果准确率关系图。

具体实施方式

本发明一种针对混淆KCP协议加密代理通道检测方法，具体包括以下步骤：

步骤1：基于libpcap网络库，根据源地址、目的地址、源端口、目的端口、协议五元组以及时间信息对UDP混合流量进行分流处理，得到分流后UDP数据流信息，并逐流发送至缓存队列。

步骤2：逐条读取缓存队列UDP流量信息，提取数据负载包负载信息，识别伪装应用类型；提取数据包负载信息，过滤应用协议字段，提取伪装层之后第1-22字节负载信息，检测KCP协议规范性，若不符合KCP协议格式，则进一步识别负载内容是否为混淆KCP协议填充规则，从而筛选出疑似混淆KCP协议；提取伪装层和混淆层之后的数据负载，计算负载信息熵值，检验数据随机性，筛选出数据层经过随机加密的流量信息。