[发明专利]基于知识图谱的加密网络异常流量检测方法

权利要求书

1.一种基于知识图谱的加密网络异常流量检测方法，其特征在于，包括以下步骤：

S1，利用抓包软件抓取加密协议协商阶段的报文和密钥；

S2，利用密钥对加密的流量解密从而得到明文的数据报文；

S3，实时获取通信网络中所产生的各种数据报文；

S4，将数据报文中的各个实体作为顶点，实体间的关系属性作为边，构建知识图谱；按顶点的特征字对顶点进行分组，同一数据报文的两个实体是一组，一组实体代表着两实体间进行通信流量的交互，对于接收到的数据报文，分析该数据报文的源IP和目的IP，如果现有实体中没有这两个IP，那么就新建两个实体，如果现有实体中已存在这两个IP，则找到这两个IP对应的两个实体；找到该两个实体后，对这两个实体依据其交互信息构建连接，如果其交互信息有请求有响应，那么创建实连接，如果其交互信息有请求没有响应，那么创建虚连接；再遍历与此两个实体有关的所有响应报文，若响应报文的序列号有和此实体报文的响应相匹配的，那么此响应报文对应的连接关系为实连接，否则此响应报文对应的连接关系为虚连接；结束对所有响应报文的分析，从而生成知识图谱；所述实体包括数据报文中的IP地址，分为源IP和目的IP；

S5，知识图谱构造完成后，由知识图谱中两个实体间的关系，统计两个实体间的连接数、交互信息数、实连接占比和虚连接占比；通信的两个实体之间的交互数据包的数量称为交互信息数，连接数是两个实体之间通信的次数；在统计连接数与交互信息数时，包括源IP向目的IP的连接数和交互信息数，以及目的IP向源IP的连接数和交互信息数；

S6，分别统计两个实体间相互交互的连接数占比；所述连接数占比，包括源IP向目的IP的连接数占比和目的IP向源IP的连接数占比；

S7，统计对所有实体的最终的检测值，包括连接数、交互信息数、实连接占比、虚连接占比以及连接数占比，判断各检测值是否大于其对应的阈值，若大于阈值则判断通信网络中存在异常流量，发出异常流量预警；

所述的实连接占比为实连接总数占总连接数的比值，所述的虚连接占比为虚连接总数占总连接数的比值。

2.如权利要求1所述的基于知识图谱的加密网络异常流量检测方法，其特征在于，

步骤S1所述的加密协议协商阶段，其信息交互过程分为两个阶段：安全连接的建立和加密数据的传输，安全连接的建立阶段包括初始握手、认证和密钥共享，在此阶段中通信双方交换其共同支持的加密算法，互相进行身份验证并建立密钥；密钥共享过程为明文传输，利用抓包软件抓取在安全连接的建立阶段的认证与密钥共享时所交换的密钥，从而将加密的流量恢复至明文状态。

3.如权利要求2所述的基于知识图谱的加密网络异常流量检测方法，其特征在于，

所述的步骤S1,在认证和密钥共享过程中，客户端连上服务端；服务端发送CA证书给客户端；客户端验证该证书的可靠性；客户端从CA证书中取出公钥；客户端生成一个随机密钥k，并用这个公钥对随机密钥k加密得到加密密钥k’；客户端把加密密钥k’发送给服务端；服务端收到加密密钥k’后用自己的私钥对其解密得到随机密钥k，此时双方都得到了随机密钥k，完成认证和密钥共享；抓包软件通过捕获流量中的.pcap文件得到随机密钥k，然后利用随机密钥k对流量解密，得到明文流量。