本發(fā)明是一種基于機(jī)器學(xué)習(xí)的流量識(shí)別技術(shù)，識(shí)別的對(duì)象是經(jīng)過加密的惡意流量，本技術(shù)主要應(yīng)用于流量識(shí)別領(lǐng)域，也可以輔助應(yīng)用于網(wǎng)絡(luò)攻擊檢測領(lǐng)域。本技術(shù)的技術(shù)核心是利用機(jī)器學(xué)習(xí)算法建立惡意加密流量識(shí)別模型，再通過模型去識(shí)別新流量。該技術(shù)的工作流程為讀取大量已知屬性流量數(shù)據(jù)，提取流量的統(tǒng)計(jì)性特征，將特征作為屬性，使用隨機(jī)森林算法建立模型，最后使用模型去識(shí)別新輸入的流量。新輸入流量的識(shí)別流程為提取流量統(tǒng)計(jì)性特征，輸入模型進(jìn)行識(shí)別，得出識(shí)別結(jié)果。本技術(shù)主要針對(duì)于加密和編碼的流量，參與建模的數(shù)據(jù)全部由正常加密流量和惡意加密流量組成，這是因?yàn)槿缃穹羌用芰髁康淖R(shí)別技術(shù)已經(jīng)很成熟，而對(duì)加密或編碼流量的識(shí)別卻十分困難，本技術(shù)為加密流量的識(shí)別提供了新的解決方法。

技術(shù)領(lǐng)域

本發(fā)明涉及加密流量識(shí)別領(lǐng)域與流量統(tǒng)計(jì)性特征建模領(lǐng)域，主要核心是采集大量流量數(shù)據(jù)樣本的統(tǒng)計(jì)性特征，利用數(shù)據(jù)建立機(jī)器學(xué)習(xí)模型，并使用構(gòu)建的模型識(shí)別惡意加密流量。

技術(shù)背景

目前大部分傳統(tǒng)的流量識(shí)別技術(shù)主要依靠于特征匹配實(shí)現(xiàn)，廣泛用于明文流量識(shí)別。但是，由于加密或編碼后的惡意流量，其相關(guān)的特征無法被直接提取，所以無法直接使用匹配特征技術(shù)檢測識(shí)別出經(jīng)過加密的惡意流量。傳統(tǒng)的流量識(shí)別技術(shù)提取特征的前提是對(duì)加密流量進(jìn)行解密，但是這涉及到隱私侵犯的問題，惡意流量的加密是為了逃過以特征匹配技術(shù)為核心的流量識(shí)別技術(shù)，而正常流量的加密往往是為了保護(hù)用戶的隱私。因此，對(duì)加密的正常流量和惡意流量一視同仁是難以容忍的，解密惡意的流量是對(duì)惡意攻擊的檢測，但解密正常流量可能就是侵犯用戶的隱私。如果使用以特征匹配為核心的流量識(shí)別技術(shù)，想要識(shí)別一個(gè)加密流量是否是惡意流量，就必須先對(duì)加密流量進(jìn)行解密，而一旦對(duì)正常流量進(jìn)行解密，就可能侵犯用戶隱私，所以解密前必須知道其是否屬于惡意流量，這就陷入了一個(gè)死循環(huán)：解密是為了識(shí)別，而解密的前提卻是識(shí)別。

因此，在不侵犯用戶隱私的情況下，采用傳統(tǒng)的特征匹配難以識(shí)別惡意加密流量。特征匹配的實(shí)現(xiàn)通常是通過唯一性特征或特殊特征建立惡意流量模型，一旦新輸入的流量與模型中的特征匹配，就被識(shí)別為惡意流量。這種技術(shù)有兩個(gè)明顯的缺陷。

一、無法對(duì)處理過的流量進(jìn)行識(shí)別，如加密、編碼。因?yàn)橐坏┝髁窟M(jìn)行處理，就無法通過正常途徑提取出需要匹配的特征，無法進(jìn)行匹配。

二、無法對(duì)未知類型的惡意流量進(jìn)行識(shí)別。因?yàn)樾滦偷膼阂饬髁坎粫?huì)被設(shè)定好的模型匹配，所以會(huì)被視為“正常流量”。

目前，越來越多的攻擊采用加密的方式去躲避依靠流量識(shí)別的攻擊檢測技術(shù)，而且越嚴(yán)重的攻擊越難以被識(shí)別。這樣的現(xiàn)狀嚴(yán)重威脅著人們網(wǎng)絡(luò)生活的安全以及國家網(wǎng)絡(luò)系統(tǒng)的安全，當(dāng)傳統(tǒng)的特征匹配無法再提供穩(wěn)定和準(zhǔn)確的惡意流量識(shí)別，網(wǎng)絡(luò)系統(tǒng)急需一種能夠在不需解密加密流量的情況下，檢測識(shí)別惡意加密流量的方法。

發(fā)明內(nèi)容

“一種基于機(jī)器學(xué)習(xí)的惡意加密流量識(shí)別方法”是為了解決在不解密加密流量的條件下去識(shí)別惡意流量而提出的發(fā)明。發(fā)明的目標(biāo)是在不侵犯用戶隱私的前提下，對(duì)采集的流量進(jìn)行識(shí)別，解析出其中隱藏的惡意加密流量。

本發(fā)明創(chuàng)新性地用統(tǒng)計(jì)性特征結(jié)合機(jī)器學(xué)習(xí)去替代傳統(tǒng)的特征匹配。特征匹配無法識(shí)別加密流量的問題在于兩點(diǎn)：無法提取特征、無法進(jìn)行匹配，而在本發(fā)明中，統(tǒng)計(jì)性特征解決了提取特征的問題，機(jī)器學(xué)習(xí)解決了進(jìn)行匹配的問題。傳統(tǒng)的特征匹配無法提取特征的根本原因在于相關(guān)特征被加密，所以在不解密的情況下難以提取，而統(tǒng)計(jì)性特征卻不受加密影響，依舊可以被提取，比如數(shù)據(jù)流中最大數(shù)據(jù)包包長、平均數(shù)據(jù)包時(shí)間間隔等等，這些統(tǒng)計(jì)性的特征不會(huì)受到加密的影響而無法提取，因?yàn)椤凹用堋钡膶?duì)象針對(duì)的是數(shù)據(jù)流內(nèi)部的明文信息，對(duì)于時(shí)間、包長等外在特征沒有影響。本發(fā)明還使用機(jī)器學(xué)習(xí)建模的方法替代傳統(tǒng)的特征匹配方法，由于傳統(tǒng)的特征匹配方法有著非一即零的缺陷，其容易錯(cuò)判、漏判，而機(jī)器學(xué)習(xí)建立模型的識(shí)別方法在于預(yù)測，擁有更高的合理性與可信度。