[发明专利]基于精细化统计特征分析的伪造恶意加密流量检测方法

说明书

本发明涉及基于精细化统计特征分析的伪造恶意加密流量检测方法。本发明以流为单位提取统计特征，对提取的统计特征进行流量净化后，对提取的特征进行还原处理，对经还原处理后的特征精细化处理，对精细化处理后的特征进行深度训练。对恶意加密流量使用深度学习模型分类，输出恶意加密流量分类结果。本发明通过还原处理，可以减少伪造样本的干扰，在不影响非伪造样本检测准确率的情况下，提高伪造样本的检测能力。并且对还原后的特征进行精细化处理，增加了攻击会话的整体特征，有效提高恶意加密流量检测准确率。

技术领域

本发明属于网络安全技术领域，涉及一种基于精细化统计特征分析的伪造恶意加密流量检测方法。

背景技术

恶意加密流量检测是当今网络安全领域一项重要技术。恶意加密流量由于加密了数据包载荷，使得数据包载荷字符流接近随机分布，直接从数据包载荷分析加密流量十分困难，加大了恶意加密流量检测的难度。随着加密技术普及，网络中的加密流量越来越多，因此识别恶意加密流量具有重要意义。

传统的恶意加密流量检测方法一般是分为四类：

一是通过黑名单的方式，如恶意网站或数据包的端口号来区分。通过众所周知的网站或端口号对加密软件分类。但是如果恶意软件使用新的网站或非标准端口号。如动态端口或使用非恶意软件的常用端口，就能绕过这种限制。

二是传统的基于深度包检测(Deep Package Inspections，DPI)的流量分类方法，DPI理论上可以获得数据包中全部信息，也可以获得加密后的信息数据。但是如今加密算法强度很高，想要破解很难。如果不知道加密算法密钥，则无法理解包传输的具体内容，所以一般做法是维护数字签名，解密数据包，进行检测，这使得该方法面对加密流量时分类效率很低，且存在大量无法检测的情况。

三是将机器学习应用到恶意加密流量分类。机器学习的分类使用网络流量统计特征。根据数据包或者流字节和统计特征来分类。如随机森林(RF)、支持向量机(SV)、K近邻(KNN)。但是基于机器学习的分类方法依赖于专家提取的特征或模式。这个过程易出错且成本高昂。

四是深度学习应用在恶意加密流量分类。近年来，深度学习在解决图像分类、语音识别、自然语言处理这些复杂问题方面取得了巨大成功，如深度神经网络(DNN)、卷积神经网络(CNN)、递归神经网络(RNN)等。深度神经网络也被应用于加密流量分类，它不完全依赖于端口号，而是依赖于某些特征的综合，如深度学习能够学习原始输入和相应输出之间非线性关系。

中国专利号202111363318.2公开了一种“加密流量的检测方法及装置、存储介质”。方法包括：获取待检测加密流量的IP地址；判断所述IP地址是否为预设的恶意加密流量信息表中的IP地址；获取所述待检测加密流量对应的公钥证书中的颁发机构域名；判断所属颁发机构域名是否为所述预设的恶意加密流量信息表中的域名。

中国专利号202010058395.6公开了一种“基于行为分析的恶意加密流量检测方法及系统”。方法包括：在获取网络流量数据后，会对网络流量数据进行特征分析，获得基于会话的特征序列；再将特征序列输入检测模型，获得检测结果评分，以根据检测结果评分，确定网络流量是否为恶意加密流量。

中国专利号202011035454.4公开了一种“基于机器学习的https恶意加密流量检测方法及系统”。所述方法包括：将流量数据的四元组特征向量(源IP，目的IP，目的端口，协议类型)输入到训练好的随机森林模型，检测得到流量数据的恶意概率，实现恶意流量快速在线检测。