[发明专利]一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法

说明书

本发明提供一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法，包括：获取流量数据的pcap文件；对pcap文件中pcap格式的流量数据进行数据预处理，得到会话数据；对会话数据进行多粒度特征提取，得到多粒度特征库；基于多粒度特征库，利用机器学习算法训练模型以及进行加密流量识别，并输出加密流量识别结果。本发明实现了一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法，从而实现对WireGuard协议下的恶意加密流量的检测。并进一步从包级、会话级以及主机级等多个粒度提取流量特征，提高特征的区分性与抗噪性，从而提升模型检测的准确性。

技术领域

本发明涉及网络信息安全技术领域，具体而言，涉及一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法。

背景技术

流量的加密技术在保护企业和用户的数据安全的同时，也会被非法分子用于不法传输。由于加密流量的审计难度的增加，在不解密的条件下难以对恶意流量进行精准全面的检测。因此识别加密流量对维护网络的安全运行具有重要意义。

流量识别研究大多围绕协议展开，尤其是针对虚拟专用协议。WireGuard是一种新的虚拟专用网络(Virtual Private Network)协议，相较于目前广泛使用的IPSec协议，WireGuard使用了更先进的加密算法和安全可信架构，在保证网络安全的前提下提供了强大的性能。它具有以下特点：

(1)使用时仅需要简单配置并交换公钥即可，其余的工作将由WireGuard自动完成，终端用户不需要管理连接、关心状态、管理守护进程或担心隐藏的内容，大大降低了使用及维护门槛。

(2)支持目前最先进的加密技术，如：Noise协议框架、Curve25519、ChaCha20、Poly1305、BLAKE2、SipHash24、HKDF等加密算法。

(3)设计简单易于实现，仅用少量代码实现并进行开源，与*Swan/IPSec或OpenVPN/Open SSL等实现方式相比，WireGuard有效降低源码审核工作量，甚至可以由单个个人进行全面审查。

(4)具有高速加密传输的特点，由于它简洁的代码和较高的执行效率，WireGuard在PC和小型嵌入式设备(如智能手机和路由器)均能获得不错的传输性能。

基于上述特点，WireGuard在行业内迅速得到认可，并且从Linux内核版本5.6开始，WireGuard已作为内核模块加入其中，未来也将会迅速普及推广。

近年来，针对常见的VPN协议(如IPSec、Open VPN、Open SSL等)的加密流量识别的技术逐渐成熟，并取得了较好的成果，而针对新型的WireGuard协议的加密流量识别的研究尚不足。

发明内容

本发明旨在不解密的条件下，提供一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法。

本发明提供的一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法，包括如下步骤：

获取流量数据的pcap文件；

对pcap文件中pcap格式的流量数据进行数据预处理，得到会话数据；

对会话数据进行多粒度特征提取，得到多粒度特征库；

基于多粒度特征库，利用机器学习算法训练模型以及进行加密流量识别，并输出加密流量识别结果。

进一步的，所述对pcap格式的流量数据进行数据预处理的方法包括：

对pcap文件中pcap格式的WireGuard流量数据，过滤其中的广播流量数据和ICMP协议流量数据；