[发明专利]一种加密流量检测方法、系统及相关装置

说明书

本申请提供一种加密流量检测方法，包括：采集加密流量；对加密流量解析得到加密流量的流量特征；根据流量特征包含的数据类型采用相应类型的特征处理，得到输入数据；利用CNN模型提取输入数据的特征数据；将特征数据作为LSTM算法的输入，训练得到加密流量检测模型；利用加密流量检测模型对加密流量和已知恶意流量数据进行关联分析，得到加密流量的检测结果。本申请自动提取特征数据，加强了数据自动化处理，并利用深度学习来建立加密流量检测模型，从而实现加密流量的智能化检测，可与已知恶意流量进行关联分析，从而提高加密流量检测结果的准确性。本申请还提供一种加密流量检测系统、计算机可读存储介质和服务器，具有上述有益效果。

技术领域

本申请涉及网络数据安全领域，特别涉及一种加密流量检测方法、系统及相关装置。

背景技术

近年来，针对加密恶意流量的检测一直是网络安全领域关注的焦点，目前主流的攻击检测手段有两种：解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为，但这种解方法会消耗大量的资源，成本很高，同时也违反了加密的初衷，解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量，不解密进行流量检测的方法逐渐被业界研究人员关注，这种方案通常仅被允许观测网络出口的加密通信流量（443端口），但无需对其进行解密，通过利用已经掌握的数据资源，对加密流量进行判别。

但是在不解密的情况下，难以获取网络流量中特征和信息，这是难以结合研究人员来进行经验性的分析，难以进行检测加密恶意流量。

发明内容

本申请的目的是提供一种加密流量检测方法、系统及相关装置，通过采用深度学习加强检测识别的准确率和效率。

为解决上述技术问题，本申请提供一种加密流量检测方法，具体技术方案如下：

采集加密流量；

对所述加密流量进行解析，得到所述加密流量的流量特征；

根据所述流量特征包含的数据类型采用相应类型的特征处理，得到输入数据；

利用CNN模型提取所述输入数据的特征数据；

将所述特征数据作为LSTM算法的输入，训练得到加密流量检测模型；

利用所述加密流量检测模型对所述加密流量和已知恶意流量数据进行关联分析，得到所述加密流量的检测结果。

可选地，利用所述加密流量检测模型对所述加密流量和已知恶意流量数据进行关联分析之前，还包括：

建立已知恶意流量的知识图谱，并从所述知识图谱中获取所述已知恶意流量数据。

可选地，建立已知恶意流量的知识图谱包括：

采集并分析已知恶意流量数据，得到特征信息；所述特征信息包括流特征、包特征、证书特征和时间特征中至少一种；

对包含所述特征信息的恶意流量数据进行加密流量分类，得到恶意流量特征；

根据所述恶意流量特征建立所述知识图谱。

可选地，根据所述流量特征包含的数据类型采用相应类型的特征处理包括：

对数值型数据的流量特征进行归一化处理和标准化处理；

对字符型数据的流量特征采用onehot编码进行处理；

对包含字符串说明的流量特征，进行分词处理；

对布尔型的流量特征，采用独热编码进行处理。

可选地，采集并分析已知恶意流量数据，得到特征信息之后，还包括：

将包含所述特征的已知恶意流量数据存储至预设存储中心。