[发明专利]一种基于流量行为的恶意加密流量检测方法、系统及设备

说明书

本发明公开了一种基于流量行为的恶意加密流量检测方法、系统及设备，不需要对数据包进行过多的人工分析，只需要提取数据包的统计特征和SSL(Secure Sockets Layer，SSL)/TLS(Transport Layer Security，TLS)协议字段的部分信息，利用深度神经网络进行特征处理得到隐含特征，进而进行加密流量检测，并通过指纹信息调整检测结果；不仅提升了检测效率，还提高了恶意流量检测的准确率。

技术领域

本发明涉及计算机网络与网络空间安全领域，尤其涉及一种基于流量行为的恶意加密流量检测方法、系统及设备。

背景技术

随着互联网应用规模的扩大，对网络安全风险防范的意识不断增强，越来越多的应用通过加密手段实现数据隐私保护，网络中加密流量占比越来越高。与此同时，攻击者也通过加密手段隐藏自己的信息，使用加密通信的恶意代码、加密信道的恶意攻击层出不穷，这给传统的基于规则的流量检测方法带来了巨大挑战。

目前主流的加密流量攻击检测手段有两种：解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为，但这种解方法会消耗大量的资源，成本很高，同时也违反了加密的初衷，解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量，不解密进行流量检测的方法逐渐被业界研究人员关注起来，这种方法无需对其进行解密，通过利用已经掌握的数据资源，对加密流量进行判别。

传统不解密流量检测方法主要基于五元组信息。但是在当前网络环境中，随着端口跳变技术、动态端口技术、隧道技术的提出与使用，使得基于端口等五元组信息的流量检测方法已经无法满足检测需求。

发明内容

本发明的目的是提供一种基于流量行为的恶意加密流量检测方法、系统及设备，有效的利用加密流量的行为特征，充分利用了加密对流量协议与数据长度的影响，提高了恶意流量检测的准确率。

本发明的目的是通过以下技术方案实现的：

一种基于流量行为的恶意加密流量检测方法，包括：

从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征，并对特征进行编码；

通过深度神经网络从编码后的流量行为分布中提取隐含特征，并结合编码后的SSL/TLS协议信息进行分类检测；

结合指纹信息进行匹配，从而对分类检测结果进行调整，得到最终的分类检测结果。

一种基于流量行为的恶意加密流量检测系统，用于实现前述的方法，该系统包括：

特征提取单元，用于从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征，并对特征进行编码；

深度神经网络，包括编码器与解码器、以及全连接的MLP网络；所述编码器与解码器从编码后的流量行为分布中提取隐含特征；全连接的MLP网络，结合隐含特征与编码后的SSL/TLS协议信息进行分类检测；

指纹信息匹配单元，用于结合指纹信息进行匹配，从而对分类检测结果进行调整，得到最终的分类检测结果。

一种基于流量行为的恶意加密流量检测设备，设备部署在网关节点与防火墙之间，设备中配置了前述的系统，并包含报警器；当通过系统检测到恶意流量时，驱动报警器发出报警信号。

由上述本发明提供的技术方案可以看出，不需要对数据包进行过多的人工分析，只需要提取数据包的统计特征和SSL(Secure Sockets Layer，SSL)/TLS(Transport LayerSecurity，TLS)协议字段的部分信息，利用深度神经网络进行特征处理得到隐含特征，进而进行加密流量检测，并通过指纹信息调整检测结果；不仅提升了检测效率，还提高了恶意流量检测的准确率。

附图说明