[发明专利]基于载荷相邻概率模型的加密流量识别方法有效
| 申请号: | 201511028537.X | 申请日: | 2015-12-31 |
| 公开(公告)号: | CN105430021B | 公开(公告)日: | 2018-06-12 |
| 发明(设计)人: | 孙一品;庞立会;陈曙晖;王飞;钟求喜;张博锋;刘宇靖;徐成成;闫晓明 | 申请(专利权)人: | 中国人民解放军国防科学技术大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 国防科技大学专利服务中心 43202 | 代理人: | 陆平静 |
| 地址: | 410073 湖*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于载荷相邻概率模型的加密流量识别方法,目的是提供一种利用非加密流量特征的高准确性普适加密流量识别方法。技术方案是:第一步,输入非加密网络流量,统计报文数据载荷字节间的相邻次数,并选择数值点区分高概率相邻关系及低概率相邻关系,构建相邻概率关系模型;第二步,输入网络会话流量,提取相邻特征和随机性特征,同时辅以基于信息熵的数据随机性特征;第三步,将非加密流量及加密流量的相邻特征和随机性特征作为输入送入基于机器学习的分类引擎进行训练,继而根据未知流量的相邻特征和随机性特征进行加密流量识别。相比于目前主流加密流量识别方法,本发明可以对未知加密协议流量普适识别,且有效提升了识别准确性。 | ||
| 搜索关键词: | 加密流量识别 随机性 加密流量 相邻特征 概率模型 相邻关系 数据随机性 分类引擎 概率关系 基于机器 加密网络 加密协议 输入网络 数据载荷 统计报文 高概率 信息熵 会话 构建 送入 主流 概率 学习 | ||
【主权项】:
基于载荷相邻概率模型的加密流量识别方法,其特征在于包含以下步骤:第一步,建立载荷相邻概率模型:输入非加密网络流量,统计报文数据载荷字节间的相邻次数,并选择数值点区分高概率相邻关系及低概率相邻关系,构建相邻概率关系模型,得到相邻概率关系矩阵,即载荷相邻概率模型,具体步骤为:步骤1.1 初始化:初始化载荷相邻记录矩阵A[R][R],及相邻概率关系矩阵B[R][R],R为整数,由于ASCII码中有256个字符,R≥256,A、B矩阵大小均设置成R×R,初始值均为全0;0≤m≤R‑1,0≤n≤R‑1,m、n均为整数,Am,n、Bm,n记录ASCII码中编码为m的字符与编码为n的字符之间的相邻次数和相邻概率;步骤1.2 统计报文数据载荷字节间的相邻次数,得到载荷相邻记录矩阵A:记共有P条非加密流量报文,记为Package1,…,Packagep,…PackageP,1≤p≤P,p、P均为整数,Packagep中的数据载荷为DATA[p],数据载荷长度为Lp,Lp≥2,Lp为整数;记DATA[p]i为DATA[p]第i位对应的ASCII字符,1≤i≤Lp,i为整数;逐一读取P条非加密流量报文,遍历DATA[1],…,DATA[p],…DATA[P],将单字节载荷之间的相邻关系统计入载荷相邻记录矩阵A;步骤1.3 构建相邻概率关系矩阵B:读取载荷相邻记录矩阵A中的R2个元素按照数值从大到小排序,选取第N个元素的数值作为分位点,即高概率相邻关系及低概率相邻关系分割点,记为Division,1≤N≤R2,N为整数;依次遍历A中的每个元素,若Am,n≥Division,则Bm,n=1,即m与n之间为高概率相邻关系;否则,Bm,n保持为0,即m与n之间为低概率相邻关系;A矩阵遍历结束后,得到相邻概率关系矩阵B,即载荷相邻概率模型;第二步,特征提取:输入网络会话流量,分别提取相邻特征和随机性特征;第三步,基于机器学习方法的分类识别:使用基于机器学习方法的分类引擎进行加密流量识别,将非加密流量及加密流量的相邻特征和随机性特征作为输入送入基于机器学习的分类引擎进行训练,训练结束后,根据未知流量的相邻特征和随机性特征进行加密流量识别,得到基于载荷相邻概率模型的加密流量识别结果。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军国防科学技术大学,未经中国人民解放军国防科学技术大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201511028537.X/,转载请声明来源钻瓜专利网。
