[发明专利]一种识别异常加密流量的方法及装置有效
| 申请号: | 201710561737.4 | 申请日: | 2017-07-11 |
| 公开(公告)号: | CN107360159B | 公开(公告)日: | 2019-12-03 |
| 发明(设计)人: | 石志鑫;殷其雷;王妍;王振伟;卢丹 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 11002 北京路浩知识产权代理有限公司 | 代理人: | 王莹;曹杰<国际申请>=<国际公布>=< |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明实施例提供一种识别异常加密流量的方法及装置,所述方法包括:获取加密流量文件;对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。所述装置执行上述方法。本发明实施例提供的识别异常加密流量的方法及装置,能够准确地对异常加密流量进行识别。 | ||
| 搜索关键词: | 加密流量 行为识别 流量协议 预处理 机器学习 预设规则 | ||
【主权项】:
1.一种识别异常加密流量的方法,其特征在于,包括:/n获取加密流量文件;/n对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;/n根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;/n根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量;/n所述流量协议的类型包括基础加密协议、C/S即时通信协议、P2P即时通信协议和P2P文件传输协议,相应的,所述根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别,包括:/n若所述流量协议为所述基础加密协议,选择相对应的第一行为识别规则对所述加密流量进行行为识别;/n或,/n若所述流量协议为所述C/S即时通信协议,选择相对应的第二行为识别规则对所述加密流量进行行为识别;/n或,/n若所述流量协议为所述P2P即时通信协议,选择相对应的第三行为识别规则对所述加密流量进行行为识别;/n或,/n若所述流量协议为所述P2P文件传输协议,选择相对应的第四行为识别规则对所述加密流量进行行为识别;/n所述若所述流量协议为所述基础加密协议,选择相对应的第一行为识别规则对所述加密流量进行行为识别,包括:/n对所述加密流量进行端口识别;/n若端口识别的识别结果为第一识别结果,则根据所述加密流量的包头信息和后续信息是否包括有指定字符串,确定所述加密流量的行为识别结果;/n或,/n若端口识别的识别结果为第二识别结果,则获取所述基础加密协议中的客户端节点在发送首个请求握手包过程中所提供的加密方法套件名称;/n在所述基础加密协议中的服务器节点与所述客户端节点进行后续数据传输的过程中,根据所述服务器节点是否向所述客户端节点发送过针对所述首个请求握手包反馈的服务器节点请求握手包,且所述服务器节点请求握手包的指定字段是否对应有所述加密方法套件名称,确定所述加密流量的行为识别结果。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710561737.4/,转载请声明来源钻瓜专利网。
- 上一篇:通过邮件进行会议邀请的方法、装置和介质
- 下一篇:多功能车顶行李仓及逃生方法
