[發(fā)明專利]一種識別異常加密流量的方法及裝置有效
| 申請?zhí)枺?/td> | 201710561737.4 | 申請日: | 2017-07-11 |
| 公開(公告)號: | CN107360159B | 公開(公告)日: | 2019-12-03 |
| 發(fā)明(設(shè)計)人: | 石志鑫;殷其雷;王妍;王振偉;盧丹 | 申請(專利權(quán))人: | 中國科學(xué)院信息工程研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 11002 北京路浩知識產(chǎn)權(quán)代理有限公司 | 代理人: | 王瑩;曹杰<國際申請>=<國際公布>=< |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 加密流量 行為識別 流量協(xié)議 預(yù)處理 機器學(xué)習(xí) 預(yù)設(shè)規(guī)則 | ||
1.一種識別異常加密流量的方法,其特征在于,包括:
獲取加密流量文件;
對所述加密流量文件進行預(yù)處理,以確定加密流量對應(yīng)的流量協(xié)議;
根據(jù)所述流量協(xié)議的類型,選擇相對應(yīng)的行為識別規(guī)則對所述加密流量進行行為識別;
根據(jù)行為識別的識別結(jié)果、預(yù)先獲得的所述加密流量的機器學(xué)習(xí)識別結(jié)果和預(yù)設(shè)規(guī)則,識別異常加密流量;
所述流量協(xié)議的類型包括基礎(chǔ)加密協(xié)議、C/S即時通信協(xié)議、P2P即時通信協(xié)議和P2P文件傳輸協(xié)議,相應(yīng)的,所述根據(jù)所述流量協(xié)議的類型,選擇相對應(yīng)的行為識別規(guī)則對所述加密流量進行行為識別,包括:
若所述流量協(xié)議為所述基礎(chǔ)加密協(xié)議,選擇相對應(yīng)的第一行為識別規(guī)則對所述加密流量進行行為識別;
或,
若所述流量協(xié)議為所述C/S即時通信協(xié)議,選擇相對應(yīng)的第二行為識別規(guī)則對所述加密流量進行行為識別;
或,
若所述流量協(xié)議為所述P2P即時通信協(xié)議,選擇相對應(yīng)的第三行為識別規(guī)則對所述加密流量進行行為識別;
或,
若所述流量協(xié)議為所述P2P文件傳輸協(xié)議,選擇相對應(yīng)的第四行為識別規(guī)則對所述加密流量進行行為識別;
所述若所述流量協(xié)議為所述基礎(chǔ)加密協(xié)議,選擇相對應(yīng)的第一行為識別規(guī)則對所述加密流量進行行為識別,包括:
對所述加密流量進行端口識別;
若端口識別的識別結(jié)果為第一識別結(jié)果,則根據(jù)所述加密流量的包頭信息和后續(xù)信息是否包括有指定字符串,確定所述加密流量的行為識別結(jié)果;
或,
若端口識別的識別結(jié)果為第二識別結(jié)果,則獲取所述基礎(chǔ)加密協(xié)議中的客戶端節(jié)點在發(fā)送首個請求握手包過程中所提供的加密方法套件名稱;
在所述基礎(chǔ)加密協(xié)議中的服務(wù)器節(jié)點與所述客戶端節(jié)點進行后續(xù)數(shù)據(jù)傳輸?shù)倪^程中,根據(jù)所述服務(wù)器節(jié)點是否向所述客戶端節(jié)點發(fā)送過針對所述首個請求握手包反饋的服務(wù)器節(jié)點請求握手包,且所述服務(wù)器節(jié)點請求握手包的指定字段是否對應(yīng)有所述加密方法套件名稱,確定所述加密流量的行為識別結(jié)果。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述若所述流量協(xié)議為所述C/S即時通信協(xié)議,選擇相對應(yīng)的第二行為識別規(guī)則對所述加密流量進行行為識別,包括:
對所述加密流量進行端口識別;
若端口識別的識別結(jié)果為第三識別結(jié)果,獲取標(biāo)識由客戶端向服務(wù)器端發(fā)送的請求包類型的類型標(biāo)識字段、以及標(biāo)識所述客戶端用戶身份的身份標(biāo)識字段;其中,請求包為所述客戶端向所述服務(wù)器端發(fā)送的更新當(dāng)前用戶的朋友列表請求;
根據(jù)所述類型標(biāo)識字段和所述身份標(biāo)識字段,確定候選請求包,所述候選請求包表示同一用戶發(fā)送的同一類型請求包;
獲取發(fā)送所述候選請求包的時間間隔,并將所述時間間隔小于等于預(yù)設(shè)時間間隔閾值的候選請求包作為目標(biāo)請求包;
計算所述目標(biāo)請求包的數(shù)量與同一用戶發(fā)送的所有請求包總數(shù)的比值;
根據(jù)所述比值是否大于比值閾值,確定所述加密流量的行為識別結(jié)果。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述若所述流量協(xié)議為所述P2P即時通信協(xié)議,選擇相對應(yīng)的第三行為識別規(guī)則對所述加密流量進行行為識別,包括:
對所述加密流量進行端口識別;
若端口識別的識別結(jié)果為第四識別結(jié)果,則獲取所述加密流量的源地址和目的地址,并根據(jù)當(dāng)前網(wǎng)絡(luò)掩碼的配置,計算所述源地址對應(yīng)的源廣播地址、所述目的地址對應(yīng)的目的廣播地址;
根據(jù)所述加密流量文件是否存在從所述源地址發(fā)送至所述源廣播地址、且端口為所述第四識別結(jié)果的廣播包,確定所述加密流量的行為識別結(jié)果;
或,
根據(jù)所述加密流量是否存在從所述目的地址發(fā)送至所述目的廣播地址、且端口為所述第四識別結(jié)果的廣播包,確定所述加密流量的行為識別結(jié)果。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國科學(xué)院信息工程研究所,未經(jīng)中國科學(xué)院信息工程研究所許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710561737.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種木馬行為識別方法與系統(tǒng)
- 一種識別周期性行為的方法及裝置
- 基于深度學(xué)習(xí)的行為識別方法、裝置、設(shè)備及存儲介質(zhì)
- 一種基于行為識別技術(shù)的監(jiān)控裝置及監(jiān)控方法
- 異常行為識別方法、裝置、電子設(shè)備及介質(zhì)
- 一種融合目標(biāo)檢測與手勢識別的駕駛行為識別方法及系統(tǒng)
- 一種基于行為識別技術(shù)的監(jiān)控裝置
- 一種行為識別方法、裝置、設(shè)備及介質(zhì)
- 行為識別方法、裝置、電子設(shè)備和存儲介質(zhì)
- 行為識別方法、裝置、電子設(shè)備和存儲介質(zhì)
- 工控協(xié)議交互行為的建模方法、裝置、系統(tǒng)及存儲介質(zhì)
- 工控協(xié)議的聚類方法、裝置、系統(tǒng)及計算機存儲介質(zhì)
- 工控協(xié)議的解析方法、裝置、系統(tǒng)及計算機存儲介質(zhì)
- 一種遠(yuǎn)程桌面協(xié)議流量行為的多級分類檢測方法
- 針對Obfuscated-KCP協(xié)議流量的檢測方法及系統(tǒng)
- 多種鏈路層協(xié)議混合流量的控制方法及裝置
- 一種針對多協(xié)議攻擊數(shù)據(jù)的流量監(jiān)測方法及監(jiān)測系統(tǒng)
- 基于機器學(xué)習(xí)的網(wǎng)絡(luò)流量協(xié)議識別方法和裝置
- 一種網(wǎng)絡(luò)流量模擬測試方法、裝置及存儲介質(zhì)
- 一種基于深度學(xué)習(xí)的加密協(xié)議識別方法及系統(tǒng)
