[发明专利]一种基于流量行为的恶意加密流量检测方法、系统及设备

权利要求书

1.一种基于流量行为的恶意加密流量检测方法，其特征在于，包括：

从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征，并对特征进行编码；所述流量行为分布为流量包长分布的行为分布，包括：双向数据包长度信息，即客户端发出的、以及接收的前n个数据包长度信息；双向应用层数据包长度信息，即客户端发出的、以及接收的前n个应用数据包长度信息；提取的SSL/TLS协议信息包括：SSL/TLS握手信息及SSL/TLS证书信息；

通过深度神经网络从编码后的流量行为分布中提取隐含特征，并结合编码后的SSL/TLS协议信息进行分类检测；

结合指纹信息进行匹配，从而对分类检测结果进行调整，得到最终的分类检测结果；所述指纹信息包括：客户端指纹信息与服务器指纹信息；其中，客户端指纹信息包括：客户端发送首个数据包长度，客户端提供的加密套件长度；服务器指纹信息包括：服务器证书拥有者名称，服务器选择的加密算法；通过客户端指纹信息与服务器指纹信息的匹配对分类检测结果进行调整，得到最终的分类检测结果；

所述深度神经网络包括：编码器与解码器、以及全连接的MLP网络；

所述编码器与解码器，用于提取隐含特征；编码器的输入为编码后的流量行为分布，所述流量行为分布包含若干包长序列，编码后的单个包长序列通过编码器提取隐含特征构成了包含整个包长序列的双向特征z_e，再通过解码器得到基于解码器的双向特征z_d，最终将两组双向特征组合得到单个包长序列的复合特征z′：z′＝[z_e，z_d，z_e⊙z_d，|z_e-z_d|]；其中，⊙是元素积，|·|是绝对值；

全连接的MLP网络，用于实现分类检测；将所有包长序列的复合特征拼接得到总的复合特征z，并与编码后的SSL/TLS协议信息拼接为一个向量z_x，再通过全连接的MLP网络进行分类，最终通过softmax函数输出得到恶意流量与正常流量的分类结果。

2.根据权利要求1所述的一种基于流量行为的恶意加密流量检测方法，其特征在于，

所述编码器通过多层的双向长短记忆网络实现；编码后的单个包长序列记为l′＝[l₁，l₂，......，l_n]，其中，n为包长序列中信息数目；

每一双向长短记忆网络包含一个前向长短记忆网络从l₁读到l_n；以及一个反向长短记忆网络从l_n读到l₁，则：

其中，和分别是基于编码器的前向隐含特征和后向隐含特征，初始隐含特征和为0，t为包长序列中信息的索引；将前向隐含特征和后向隐含特征串联起来，得到汇总特征

将第i-1层双向长短记忆网络得到汇总特征记为并输入至第i层双向长短记忆网络，则：

其中，与分别为第i层双向长短记忆网络的前向隐含特征和后向隐含特征，初始隐含特征和为0；

将所有层的双向长短记忆网络的输出串联起来，得到包含整个包长序列的双向特征z_e：

其中，J为编码器中双向长短记忆网络的层数。

3.根据权利要求1所述的一种基于流量行为的恶意加密流量检测方法，其特征在于，

所述解码器通过多层的双向长短记忆网络实现；每一双向长短记忆网络包含一个前向长短记忆网络与一个反向长短记忆网络

第一层双向长短记忆网络的输入为编码器输出的双向特征z_e，得到基于解码器的前向隐含特征和后向隐含特征

其中，n为包长序列中信息数目，t为包长序列中信息的索引；

上一层双向长短记忆网络的输出作为下一层双向长短记忆网络的输入，最终将所有层的双向长短记忆网络的输出串联起来，得到基于解码器的双向特征z_d：

其中，J为解码器中双向长短记忆网络的层数。