[发明专利]基于精细化统计特征分析的伪造恶意加密流量检测方法

权利要求书

1.基于精细化统计特征分析的伪造恶意加密流量检测方法，其特征在于：具体包括如下步骤：

步骤一、获取加密流量数据，对获得的加密流量数据以TCP流为单位提取统计特征；一个TCP流为一次TCP连接，从三次握手到四次挥手的一个过程。流是双向的，一个TCP流的方向是由TCP握手的第一个数据包的发起方确定，发起方IP就是这个TCP流的源IP，接收方IP就是这个TCP流的目的IP。一个流里包括了从发起方发起第一个TCP握手包开始到发起方发送最后一个四次挥手数据包之间的所有通信数据包。不仅包括了以发起方为源IP，接收方为目的IP的数据包，也包括了接收方为源IP，发起方为目的IP的数据包。

提取的流的统计特征包括直接提取出的统计特征和根据直接提取出的统计特征计算的特征：

所述直接提取出的统计特征包括：源IP地址、目的IP地址、源端口、目的端口、协议编号、流持续时间、流中数据包到达间隔、正向流中数据包到达间隔、反向流中数据包到达间隔、正向流中数据包个数、反向流中数据包个数、正向流中数据包大小、反向流中数据包大小；

根据上述特征计算如下特征：流每秒数据包数、正向流中每秒数据包数、反向流中每秒数据包数、流每秒传输大小、正向流中每秒传输大小、反向流中每秒传输大小；

步骤二、对步骤一提取的流的统计特征进行流量净化，删除重复的流，删除规定项小于ε的流，ε为用户设定的极小值。

步骤三、对经步骤二净化的流的特征按照五元组分组，五元组包括源IP地址、目的IP地址、源端口号、目的端口号、协议编号；每组包括具有相同五元组值的流的特征集合。然后对每个分组进行还原处理，具体为：对每一个分组，将组内每个流的各项特征减步骤二得到的对应项的最小值，因为组内流的个数是一个有限数，所以最小值只需要取组内所有流在该对应项上的最小值即可，完成上述特征的还原处理。对于可能相减出现零的问题，对所有的结果值加1，得到还原处理后的结果。

步骤四、对经步骤三还原处理后的特征精细化处理，获得五元组的整体特征，将所有特征项的平均值保存，对每一条组内流，在其值的基础上加上对应项平均值。

步骤五、进行深度学习模型的训练，将步骤四得到的新特征放入深度学习模型训练。

步骤六、对恶意加密流量使用深度学习模型分类，输出恶意加密流量分类结果。

2.如权利要求1所述的基于精细化统计特征分析的伪造恶意加密流量检测方法，其特征在于：步骤五所述的深度学习模型采用Resnet或CNN模型。