[发明专利]一种时空特征组合的恶意加密流量检测方法

说明书

一种时空特征组合的恶意加密流量检测方法包括：采集已知类别的网络流量数据集；对采集的网络流量数据集进行预处理，将所述网络流量数据集转换为流量矩阵；构建包含一维卷积神经网络、双向长短期记忆神经网络、注意力层、全连接层和分类器的流量检测模型，将预处理后的网络流量数据集输入至流量检测模型中进行训练得到最终流量检测模型；利用最终流量检测模型对输入的预处理后的未知类型网络流量进行检测，输出未知类型网络流量所属每个类别的概率，选取最大概率对应的类别作为未知类型网络流量的类型；本方法使用深度学习模型，将原始流量数据作为输入，无需手动提取特征，解决了机器学习检测方法依赖于手动提取特征，检测结构具有主观性等问题。

技术领域：

本发明涉及信息安全技术领域，具体涉及一种时空特征组合的恶意加密流量检测方法。

背景技术：

随着SSL/TLS加密协议的广泛使用，企业和用户逐渐采用加密协议进行数据传输从而保护流量免受未经授权的访问。然而，由于传统的基于端口和基于明文检测的流量检测技术针对加密流量检测失效，使得越来越多的攻击者通过将恶意行为隐藏在加密流量中来达到控制通信、掩盖数据泄露、隐藏设备感染、隐藏僵尸网络命令等攻击目的，从而对网络流量安全构成巨大威胁。

目前，基于统计特征的机器学习检测方法依赖于专家经验手动提取特征，提取特征的好坏直接影响检测效果。公开号为CN113660210A的专利提出一种恶意TLS加密流量检测模型训练方法，手动提取加密流量数据包和DNS数据包中的的统计特征，并对随机森林等机器学习模型进行训练。公开号为CN113965390A的专利提出一种恶意加密流量检测方法，首先手动提取TCP通信特征和TLS握手协议特征，然后使用随机森林算法和夏普利值计算特征权重，从而对特征进行重要性排序，得到最优特征组合，并使用随机森林等机器学习模型进行训练。

综上，目前的方法无法解决如下问题：传统的基于统计特征的机器学习检测方法，特征工程提取的特征直接影响机器学习的检测结果，而特征工程通常依赖于专家经验人工提取特征，不可避免的带有一定的主观性，从而影响检测结果。

发明内容：

针对以上问题，本发明设计了一种时空特征组合的恶意加密流量检测方法使用深度学习模型，将原始流量数据作为输入，无需手动提取特征，解决了机器学习检测方法依赖于手动提取特征，检测结构具有主观性等问题。

一种时空特征组合的恶意加密流量检测方法，所述方法包括：采集已知类别的网络流量数据集，所述已知类别的网络流量数据集包括恶意加密流量数据集和良性加密流量数据集；对采集的网络流量数据集进行预处理，将所述网络流量数据集转换为流量矩阵；构建包含用于空间特征提取的一维卷积神经网络、用于时间特征提取的双向长短期记忆神经网络、注意力层、全连接层和分类器的流量检测模型，将预处理后的网络流量数据集输入至所述流量检测模型中进行训练得到最终流量检测模型；利用最终流量检测模型对输入的预处理后的未知类型网络流量进行检测，输出未知类型网络流量所属每个类别的概率，选取最大概率对应的类别作为未知类型网络流量的类型；

其中，所述对网络流量数据集进行预处理的方法具体包括：

对网络流量数据集中所有数据进行流量切分：按网络流量属性中的五元组将原始流量切分为数据包，将源到目标和目标到源的数据包按照时间顺序排列生成双向会话流；并将每个会话流以pcap文件的形式保存为单个文件；其中，所述五元组包括：源IP、源端口、目的IP、目的端口和传输层协议；

对会话流进行数据清洗：对于每条会话流，删除无效数据，过滤掉不包含完整握手阶段以及未加密传输数据包的会话流，屏蔽链路层、网络层和传输层中一些与网络类型无关的数据；

提取清洗后的网络流量数据集的前N个数据包的前M个字节，将所有数据包字节除以255，即一个字节的最大值，从而将所有网络数据流量归一化到[0,1]区间范围，将所述网络流量数据转化为N*M维矩阵，对于数据包和字节，超出的部分进行截取，不足的部分补0填充，完成网络流量数据集的预处理；