[发明专利]一种基于国密系列算法的高效恶意流量检测方法

说明书

本发明提供了一种基于国密系列算法的高效恶意流量检测方法，包括以下步骤：步骤S1，发送方设定规则集；步骤S2，发送方与接收方设定协商密钥；步骤S3，发送方为规则集中规则生成具有通配符的向量、非通配符下标集合和随机数；步骤S4，发送方生成检测流量时所需的陷门信息；步骤S5，发送方通过协商密钥和向量生成快速检索表；步骤S6，发送方将陷门信息和快速检索表发送给云服务商；步骤S7，发送方将需要发送给接收方的明文数据转化为密文；步骤S8，发送方将密文发给云服务商，云服务商使用陷门信息、快速检索表和密文对流量进行过滤，得到正常流量和恶意流量；步骤S9，云服务商通过陷门信息还原出规则对应的操作，并对恶意流量执行操作。

技术领域

本发明涉及一种密文形式流量下的入侵检测方法，具体涉及一种基于国密系列算法的高效恶意流量检测方法。

背景技术

随着网络安全越来越受到大众的重视，现如今HTTPS被广泛应用在互联网中，研究表明当今在互联网上传输的数据其中80％数据均以密文形式传输，这虽然提高了数据在开放互联网上传输的安全性，但是由于数据包经过加密处理后，将对传统基于明文的流量入侵检测模型带来了巨大挑战。假设恶意代码以密文的形式对目标主机发起攻击，会给网络安全设备的流量入侵检测带来困难，也对互联网安全产生威胁。

入侵检测技术是基于开放的互联网，用户由于本地计算能力不足或存储空间有限，会将数据和公司自定义规则集外包给云服务商处理，如果数据和规则集都是以明文的方式传输给云服务商进行处理过滤，云服务商可以任意的获取用户的信息，对用户的隐私保护带来了重大挑战。

研究表明互联网上传输恶意流量占总体流量的不到0.01％，对于每个数据包都进行入侵检测将会耗费大量的计算成本和时间成本，由于云计算的出现计算成本降低了，但是时间成本确无法带来明显变化，这将对互联网用户的使用体验带来影响。

在基于密文的入侵检测模型中一般存在3个实体，分别为发送方，接收方和云服务商。为了让数据能够根据入侵检测规则集过滤，有些方案采取先把发送者发送的加密数据传送到云服务商，由云服务商解密后根据公司提供的明文规则集进行数据过滤，最后由云服务商再次加密数据发送给接受者，但是这无疑直接把明文的数据和规则集直接暴露给了云服务商，侵犯了用户的隐私。因此，研究流量在密文状态下的入侵检测技术对网络安全以及用户隐私保护重要意义。

发明内容

本发明是为了解决上述问题而进行的，目的在于提供一种基于国密系列算法的高效恶意流量检测方法。

本发明提供了一种基于国密系列算法的高效恶意流量检测方法，具有这样的特征，包括以下步骤：步骤S1，发送方设定自定义的规则集，该规则集只有发送方拥有；

步骤S2，发送方与接收方协商设定协商密钥；

步骤S3，发送方为规则集中每条规则生成具有通配符的向量、非通配符下标集合S以及对应的随机数K并保存；

步骤S4，发送方根据所有规则对应的向量、非通配符下标集合S、随机数K以及协商密钥进行全混淆计算，为每条规则生成对应的陷门信息，陷门信息记为Trapdoor＝{d₀，d₁，S，r}，包括随机数隐藏参数d₀、规则操作隐藏参数d₁、非通配符下标集合S以及匹配参数r；

步骤S5，发送方通过协商密钥和向量进行半混淆计算并异或，并将结果映射到布隆过滤器，生成快速检索表；

步骤S6，发送方将陷门信息和快速检索表发送给云服务商；

步骤S7，发送方将需要发送给接收方的明文数据按字节划分，结合协商密钥以字节为单位将明文数据通过半混淆计算得到密文；

步骤S8，发送方将密文发给云服务商，云服务商使用陷门信息、快速检索表以及密文对流量进行过滤，得到正常流量和恶意流量，并将正常流量发送至接收方；