[发明专利]基于网络行为特征的暗网加密应用服务识别方法及系统

权利要求书

1.基于网络行为特征的暗网加密应用服务识别方法，其特征在于，包括：

步骤1、采集历史一段时间内明网与暗网的应用流量数据，并根据五元组信息标注出对应的应用服务，作为训练集；

步骤2、以应用流量数据的五元组作为关键值对会话进行解析，提取会话特征；

步骤3、基于提取的会话特征，提取源IP地址对应的行为特征，同时提取目的IP地址与端口对应的行为特征，组合构建为IP行为特征；

步骤4、按相同的源IP地址，将IP行为特征拼接到会话特征中，形成网络行为特征集；

步骤5、根据网络行为特征集与训练集进行预测模型进行训练，完成训练后，通过预测模型对未知的网络行为特征样本进行应用服务识别；

会话特征包括统计特征、有效载荷特征、指纹特征、时间特征以及背景流量特征；所述统计特征包括数据报延迟时间特征、数据流的包长度统计特征、发送数据流的载荷长度统计特征、接收数据流的载荷长度统计特征以及有效载荷的字节分布统计特征；所述背景流量特征包括DNS响应信息中DNS响应中域名长度、DNS响应信息中域名中数字与非数字字符长度比、DNS响应信息中TTL值、DNS响应返回的IP地址数、DNS响应信息中域名在Alexa网站中的排名情况；所述指纹特征包括TCP指纹特征、TLS指纹特征；所述有效载荷特征包括首部标志特征、TLS与HTTP会话中的host特征；

行为特征包括：统计特征、历史行为特征以及背景信息特征；

其中，统计特征包括源IP发起会话的到达时间间隔特征、源IP发起请求的时间分布特征、源IP发起请求的频率特征、源IP所在会话与源IP的比例特征；历史行为特征包括源IP地址一段时间内HTTP会话、HTTPS会话、UDP会话、TCP会话的请求数以及源IP地址使用加密流量的时间频率；背景信息特征包括加密流量中的源/目的IP检测其是否标记为恶意IP、IP所属地址是否在境外、IP是否属于IDC。

2.根据权利要求1所述的基于网络行为特征的暗网加密应用服务识别方法，其特征在于，在进行预测模型训练之前，判断是否已存在暗网加密应用类型预测模型，若已存在，则直接通过该模型进行暗网加密应用服务识别，若不存在，进行预测模型训练，通过训练好的模型进行暗网加密应用服务识别。

3.根据权利要求2所述的基于网络行为特征的暗网加密应用服务识别方法，其特征在于，采用支持向量机作为预测模型。

4.根据权利要求3所述的基于网络行为特征的暗网加密应用服务识别方法，其特征在于，预测模型的训练方法为：将网络行为特征集与训练集输入支持向量机，选择随机森林算法，设置算法参数，进行预测模型训练。

5.一种基于网络行为特征的暗网加密应用服务识别系统，其特征在于，包括流量数据采集与处理模块、会话特征提取模块、IP行为特征提取模块、机器学习算法训练与预测模块；

流量数据采集与处理模块，用于采集明网与暗网应用流量数据，并进行预处理，形成训练集；

会话特征提取模块，用于提取会话特征；

IP行为特征提取模块，用于基于会话特征提取IP行为特征；

机器学习算法训练与预测模块，用于将会话特征与IP行为特征拼接形成网络行为特征，并根据网络行为特征与训练集进行预测模型进行训练，完成训练后，通过预测模型对未知的网络行为特征样本进行应用服务识别，输出预测结果；

会话特征包括统计特征、有效载荷特征、指纹特征、时间特征以及背景流量特征；所述统计特征包括数据报延迟时间特征、数据流的包长度统计特征、发送数据流的载荷长度统计特征、接收数据流的载荷长度统计特征以及有效载荷的字节分布统计特征；所述背景流量特征包括DNS响应信息中DNS响应中域名长度、DNS响应信息中域名中数字与非数字字符长度比、DNS响应信息中TTL值、DNS响应返回的IP地址数、DNS响应信息中域名在Alexa网站中的排名情况；所述指纹特征包括TCP指纹特征、TLS指纹特征；所述有效载荷特征包括首部标志特征、TLS与HTTP会话中的host特征；

行为特征包括：统计特征、历史行为特征以及背景信息特征；

其中，统计特征包括源IP发起会话的到达时间间隔特征、源IP发起请求的时间分布特征、源IP发起请求的频率特征、源IP所在会话与源IP的比例特征；历史行为特征包括源IP地址一段时间内HTTP会话、HTTPS会话、UDP会话、TCP会话的请求数以及源IP地址使用加密流量的时间频率；背景信息特征包括加密流量中的源/目的IP检测其是否标记为恶意IP、IP所属地址是否在境外、IP是否属于IDC。