[发明专利]一种异常加密流量识别方法和系统

说明书

本发明涉及一种基于REF‑PSO特征提取的异常加密流量识别方法和系统。由预处理模块进行流量清洗和流量聚合，接着由特征提取模块利用Relief F算法给特征分配权重，去除权重较小的特征，选取权重较高的流量特征将粒子群初始化后经PSO优化算法获取最优特征子集，数据集划分模块按2:1比例划分训练数据集和测试数据集，模型训练模块和测试模块分别基于训练数据集和测试数据集进行训练和测试，将流量识别为正常加密流量和异常加密流量，将识别的异常加密流量按照恶意软件的类型进行划分。本发明能够有效区分正常加密流量和异常加密流量，准确率更高，运行时间更短。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于REF-PSO特征提取的异常加密流量识别方法和系统。

背景技术

近年来随着互联网的迅速发展，网络流量大增。网络流量中包含正常流量和异常流量。其中异常流量的增加意味着可能出现网络故障或甚至是网络恶意攻击。为了预防和及时阻止网络恶意攻击，维护良好的互联网用户环境，对于异常流量的高效精准识别分析具有重要意义。

异常流量可分为异常加密流量和异常未加密流量，相比于异常未加密流量，异常加密流量的报文长度、时间间隔和信息熵等特征均发生了改变，所包含的特征也不同于异常未加密流量，识别难度较大。

目前对于异常加密流量识别的相关研究较少，基于多粒度特征的异常流量识别中广泛使用的Moore特征集存在特征数量较多(总计248个)、特征选择主观性较强、识别准确率低、识别时间长等缺点。

因此，亟须一种针对网络监测中发现的异常加密流量的准确率高且识别时间段短的特征识别方法和系统。

发明内容

提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征；也不旨在用于确定或限制所要求保护的主题的范围。

本发明依据异常加密流量的特点，重点分析异常加密流量的特征，将特征分析和机器学习相结合，结合Relief F特征选择以及PSO(particle swarm optimization)粒子群优化，提出了基于REF-PSO特征提取的异常加密流量识别方法和系统。

本发明的方法和系统可对网络监测中的发现的异常加密流量进行识别分析，能够及时有效地识别流量中由于网络问题、故障、恶意软件攻击产生的异常加密流量，在第一时间排除网络故障、解决网络问题。可应用于不同类型异常加密流量识别，包括电子邮件、网页浏览、视频音频、即时通信、文件传输过程中恶意软件攻击产生的异常加密流量。

本发明的基于REF-PSO特征提取的异常加密流量识别方法包括：进行流量清洗并将清洗后的流量进行流量聚合；进行特征提取，利用Relief F算法滤除权重较低的流量特征，并通过选取权重较高的流量特征将粒子群初始化后经PSO优化算法获取最优特征子集；将处理好的流量数据划分成训练数据集和测试数据集；使用所述训练数据集进行模型训练调优参数，利用所述测试数据集使用调优参数后的模型进行测试；以及将流量识别为正常加密流量和异常加密流量。

本发明的基于REF-PSO特征提取的异常加密流量识别系统包括数据处理模块和异常流量识别模块，其中：数据处理模块包括用于进行流量清洗和流量聚合的预处理模块、用于特征提取的特征提取模块、以及用于数据集划分的数据集划分模块；异常流量识别模块包括模型训练模块和测试模块。其中特征提取模块利用Relief F算法滤除权重较低的流量特征，并通过选取权重较高的流量特征将粒子群初始化后经PSO优化算法获取最优特征子集。

通过阅读下面的详细描述并参考相关联的附图，这些及其他特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。

附图说明

以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。