[发明专利]一种恶意加密流量检测方法、终端设备及存储介质

说明书

本发明涉及一种恶意加密流量检测方法、终端设备及存储介质，该方法中包括：S1：采集恶意和非恶意两种类型的加密流量；S2：对加密流量进行预处理，得到加密流量中的加密会话；S3：对加密会话进行特征提取；S4：根据加密会话之间的相关关系构建加密流量图；S5：构建基于图注意力网络的分类模型，采用加密流量图对分类模型进行训练，得到训练后的分类模型；S6：当需要检测时，对待检测的加密流量采用步骤S2‑S4得到待检测的加密流量的加密流量图，将其输入训练后的分类模型，根据分类模型的输出结果判断待检测的加密流量是否为恶意。本发明弥补了现有加密流量研究中相关关系分析缺失的不足。

技术领域

本发明涉及恶意流量检测领域，尤其涉及一种恶意加密流量检测方法、终端设备及存储介质。

背景技术

目前大部分(约87％)的WEB流量是加密的，更有超过70％的恶意活动通过加密来传输恶意软件，攻击者也通过加密绕过未授权活动的检测，来隐藏恶意程序和服务器的交互。目前大多网络应用和服务只支持由传输层安全(Transport Layer Secuity，TLS)封装的加密通信。这样会导致两个方面的问题，一方面由于保密数据的价值性，使得降级攻击、Lucky Tirteen攻击等针对协议本身的攻击递增；另一方面恶意流量也通过各种手段达到加密传输。因此恶意加密流量的识别工作就显得更加重要。

传统的恶意加密流量检测方法有基于有效载荷检测、基于特征工程检测、基于原始数据检测等。

基于有载荷的检测方法侧重于网络流量的具体内容，包括基于深度包检测(deeppacket inspection，DPI)的检测方法和通过中间代理的解密方法等，由于加密过程将原始流数据转换为伪随机无异议的字符序列，因此传统的DPI检测方法不再适用，还有适用SSLSplit等透明SSL代理工具作为客户端和服务器之间的中介，通过解密获得纯文本，然后应用模式匹配方法进行检测，但是这种方法严重侵犯了用户的隐私，影响了网络性能且对解密能力的依赖性很大。

基于特征工程的检测方法，充分利用了TLS加密协议在握手阶段所引入的可见数据特征。其中有从TLS加密协议的可见字段中提取流特征，然后将特征量化未二值向量来训练Logistic回归模型，这一方法所提取的特征不具备平台鲁棒性，很多应用软件再不同操作系统上运行的流量特征有明显差异，当平台类型多样时，这一方法的准确率会受到较大影响。还有基于多维特征结合机器学习的检测方法，这种方法通过提取流量统计特征，TLS握手字段和证书，并应用多种机器学习模型进行分类，其中XGBoost模型取得了较高的准确率，检测器在判别过程中会依赖更多层次的特征信息，进而提升检测效果，然而在实现过程中，该方法会对多视图特征进行提取，检测过程相对复杂，该方法检测很大程度上依赖于专家先验知识，如果流量报文发生变化或被人为混淆，则检测效果将大大降低。

基于流量原始数据的检测方法，其中有基于图像的加密流量表示方法，使用柏林噪声编码给定的连接特征到图像，并训练一个深度学习的二分类模型，使用自编码器和卷积神经网络两种深度学习模型对流量特征进行学习和分类，这些方法一方面没有充分结合流量的向量化特征，不能充分考虑加密流量的不同特征，另一方面，忽略了数据样本与结构信息之间的关系。

发明内容

为了解决上述问题，本发明提出了一种恶意加密流量检测方法、终端设备及存储介质。

具体方案如下：

一种恶意加密流量检测方法，包括以下步骤：

S1：采集恶意和非恶意两种类型的加密流量；

S2：对加密流量进行预处理，得到加密流量中的加密会话；

S3：对加密会话进行特征提取；

S4：根据加密会话之间的相关关系构建加密流量图；

S5：构建基于图注意力网络的分类模型，采用加密流量图对分类模型进行训练，得到训练后的分类模型；