[发明专利]一种恶意加密流量检测方法、系统及相关装置

说明书

本申请提供一种恶意加密流量检测方法，包括：获取样本流量；提取样本流量中的特征；利用基于有监督学习算法的随机森林模型对特征进行重要性度量，整合重要性大于预设阈值的特征，得到特征集合；利用夏普利值计算特征集合中各特征的特征权重，根据特征权重对特征进行排序，得到特征序列；从特征序列中选取最优特征子集建立检测模型；利用检测模型执行恶意加密流量检测。本申请利用随机森林模型进行特征的重要性度量，删除了噪声和无关信息。结合夏普利值计算特征权重，能够消除特征中的冗余信息，从而降低检测模型检测恶意加密流量时的误报率。本申请还提供一种恶意加密流量检测系统、计算机可读存储介质和电子设备，具有上述有益效果。

技术领域

本申请涉及网络流量检测领域，特别涉及一种恶意加密流量检测方法、系统及相关装置。

背景技术

随着加密流量的持续增长，通过加密流量进行恶意攻击的手段会更加多样，面临的恶意流量威胁也会逐步加大，网络安全形势将更加严峻、复杂。如何有效检测恶意加密流量已成为亟待解决的问题。恶意加密流量检测的目的在于检测出隐藏在加密流量之中的CC、Botnet、DDoS等恶意流量，是保障网络安全的重要手段。

当前，基于特征的机器学习检测方法需要利用专门的特征工程提取加密流量数据特征，特征的好坏直接影响模型检测的精度。虽然人为参与了特征工程，但是特征中依然存在噪音，无关信息以及冗余信息，会增加误报率。其生成的模型可解释性一般。而且检测模型缺少可解释性，不能为后续的技术分析提供有效信息。

发明内容

本申请的目的是提供一种恶意加密流量检测方法、恶意加密流量检测系统、计算机可读存储介质和电子设备，能够降低检测的误报率，提高检测模型的可解释性。

为解决上述技术问题，本申请提供一种恶意加密流量检测方法，具体技术方案如下：

获取样本流量；所述样本流量包括正常加密流量和恶意加密流量；

提取所述样本流量中的特征；所述特征包括TCP通信特征和TLS握手协议特征；

利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量，整合重要性大于预设阈值的特征，得到特征集合；

利用夏普利值计算所述特征集合中各特征的特征权重，根据所述特征权重对所述特征进行排序，得到特征序列；

从所述特征序列中选取最优特征子集建立检测模型；

利用所述检测模型执行恶意加密流量检测。

可选的，获取样本流量包括：

利用网络流量采集工具收集正常流量数据和恶意流量数据；

从所述正常流量数据和所述恶意流量数据中筛选得到TLS加密流量数据，将所述TLS加密流量数据作为所述样本数据。

可选的，提取所述样本流量中的特征之后，还包括：

将字符串类型的所述TCP通信特征和所述TLS握手协议特征均转换为数字型特征，并对所有特征进行归一化处理。

可选的，所述利用基于有监督学习算法的随机森林模型对所述特征进行重要性度量，整合重要性大于预设阈值的特征，得到特征集合包括：

将所述特征划分为训练集和测试集；

利用基于有监督学习算法的随机森林模型对所述训练集进行测试，并利用所述测试集进行验证，确定各所述特征对应的基尼指数；

将所述基尼指数作为重要性度量，选择所述基尼指数大于预设阈值的特征，得到特征集合。

可选的，从所述特征序列中选取最优特征子集建立检测模型包括：

采用后向顺序搜索方式确定所述特征序列中误报率低于预设值的最优特征子集；