本發明公開了一種基于監督式學習的TLS加密惡意流量檢測方法、裝置、設備及計算機可讀存儲介質，包括：將惡意流量樣本與正常流量樣本混合后進行加密回放，得到加密流量樣本集；分別提取各個加密流量樣本的預設流量特征，分別為各個加密流量樣本的預設流量特征設置標簽，以生成帶標簽的流量特征向量；提取N個加密流量樣本的帶標簽的流量特征向量組合生成訓練寬表，對訓練寬表進行規范化，得到目標訓練矩陣；利用目標訓練矩陣對SVM分類器進行訓練，得到目標SVM分類器；利用目標SVM分類器檢測待檢測加密流量是否為惡意加密流量。本發明所提供的方法、裝置、設備及計算機可讀存儲介質，可以精準、高效、智能地惡意加密流量進行檢測。

技術領域

本發明涉及網絡通信安全技術領域，特別是涉及一種基于監督式學習的TLS加密惡意流量檢測方法、裝置、設備以及計算機可讀存儲介質。

背景技術

傳輸層安全協議(Transport Layer Security，縮寫作TLS)及其前身安全套接層(Secure Sockets Layer，縮寫作SSL)是一種安全協議，在客戶端和服務器之間建立安全通道，目的是為了網絡通信提供安全及數據完整性保障。Gartner認為，到2020年，超過60％的企業將無法有效解密HTTPS流量，屆時加密的流量中將隱藏超過70％的網絡惡意軟件，從而“無法有效檢測出具有針對性的網絡惡意軟件”。

根據NSS實驗室最近的測試結果，很少有安全設備能夠在不嚴重影響網絡性能的情況下檢查加密數據。平均而言，深度包檢查的性能損失為60％，連接率平均下降了92％，響應時間則增加了高達672％。通過對加密流量進行解密后分析的方法實用價值不高。

綜上所述可以看出，如何在不影響網絡性能情況下，提高惡意加密流量的檢測效率與準確率是目前有待解決的問題。

發明內容

本發明的目的是提供一種基于監督式學習的TLS加密惡意流量檢測方法、裝置、設備以及計算機可讀存儲介質，以解決現有技術中對加密流量進行解密后檢測的方法對網絡性能影響嚴重且效率低的問題。

為解決上述技術問題，本發明提供一種基于監督式學習的TLS加密惡意流量檢測方法，包括：將采集到的惡意流量樣本與正常流量樣本混合生成流量樣本集，對所述流量樣本集中的各個流量樣本進行加密回放后，得到加密流量樣本集；分別提取所述加密流量樣本集中各個加密流量樣本的預設流量特征，分別為所述各個加密流量樣本的預設流量特征設置標簽；其中，惡意加密流量樣本的預設流量特征的標簽為1，正常加密流量樣本的預設流量特征的標簽為-1；利用所述各個加密流量樣本的預設流量特征與預設流量特征的標簽，生成所述各個加密流量樣本的帶標簽的流量特征向量；提取N個加密流量樣本的帶標簽的流量特征向量組合生成訓練寬表，采用線性變換對所述訓練寬表進行規范化，得到目標訓練矩陣；利用所述目標訓練矩陣對SVM分類器進行訓練，根據所述SVM分類器輸出的分類結果調整所述SVM分類器的模型參數，直至所述SVM分類器的準確度大于等于預設準確度閾值，得到目標SVM分類器；利用所述目標SVM分類器檢測待檢測加密流量是否為惡意加密流量。

優選地，所述分別提取所述加密流量樣本集中各個加密流量樣本的預設流量特征包括：

分別提取所述加密流量樣本集中各個加密流量樣本的DNS信息、TLS流、HTTPS流信息與流量元數據。

優選地，所述分別提取所述加密流量樣本集中各個加密流量樣本的DNS信息、TLS流、HTTPS流信息與流量元數據包括：

分別提取所述加密流量樣本集中各個加密流量樣本的進出字節數、網絡端口號、持續時間、域名長度、域名字符占比、域名數字占比、DNS解析出的IP個數、流量頭大小、加密流量包大小、秘鑰長度與自簽名特征。

優選地，所述利用所述目標SVM分類器檢測待檢測加密流量是否為惡意加密流量包括：

提取所述待檢測加密流量的DNS信息、TLS流、HTTPS流信息與流量元數據；