本發(fā)明公開了一種遠(yuǎn)程桌面協(xié)議流量行為的多級分類檢測方法，首先篩選出加密的RDP協(xié)議流量，包括TLS協(xié)議、SSH協(xié)議、HTTP隧道流量的識別；然后根據(jù)RDP協(xié)議建立連接階段的報文長度序列特征實(shí)現(xiàn)對加密RDP流量的識別；最后針對加密RDP協(xié)議流量所包含的行為，通過對流量長度、負(fù)載隨機(jī)性和交互性三個層面提取特征，并使用機(jī)器學(xué)習(xí)的方法進(jìn)行分類，實(shí)現(xiàn)RDP協(xié)議流量內(nèi)部細(xì)粒度的識別，即對RDP協(xié)議流量行為的識別。本發(fā)明在保證隱私的前提下，通過對流量多級化分類處理，能夠有效實(shí)現(xiàn)對用戶遠(yuǎn)程操控服務(wù)器所產(chǎn)生的RDP協(xié)議流量識別以及具體操作行為的分類。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種遠(yuǎn)程桌面協(xié)議流量行為的多級分類檢測方法。

背景技術(shù)

遠(yuǎn)程桌面協(xié)議(RDP)是目前使用最廣泛的安全遠(yuǎn)程桌面協(xié)議，該協(xié)議服務(wù)為遠(yuǎn)程辦公、遠(yuǎn)程維護(hù)、遠(yuǎn)程調(diào)用系統(tǒng)共享資源等工作提供了便利，極大提高了企業(yè)和個人的管理效率，因此其在高度信息化的今天得到了越來越廣泛的使用。同時為了企業(yè)安全保障或統(tǒng)計需求，RDP協(xié)議的審計工作變得尤為重要。

在RDP協(xié)議愈發(fā)普及化的同時，涉及企業(yè)和個人的網(wǎng)絡(luò)隱私問題、網(wǎng)絡(luò)安全問題也隨之而來，如可能存在用戶通過RDP協(xié)議對計算機(jī)進(jìn)行遠(yuǎn)程控制實(shí)現(xiàn)數(shù)據(jù)竊取，或者使用規(guī)定之外軟件進(jìn)行操作，對企業(yè)網(wǎng)絡(luò)安全構(gòu)成威脅。另外，為保障通信安全性，RDP協(xié)議在使用過程中通常以加密方式進(jìn)行通信，最普遍的方法是使用加密協(xié)議對原協(xié)議進(jìn)行封裝，其中主要表現(xiàn)在基于TLS協(xié)議、SSH協(xié)議和HTTP隧道的RDP協(xié)議，這就使得利用遠(yuǎn)程桌面技術(shù)對計算機(jī)的操作具有隱蔽性，不易檢測。

出于對企業(yè)內(nèi)部網(wǎng)絡(luò)安全的需求和考慮，愈發(fā)需要對RDP協(xié)議流量進(jìn)行感知，對RDP協(xié)議所承載的行為識別也屬于保障企業(yè)網(wǎng)絡(luò)安全的重要組成部分。網(wǎng)絡(luò)流量識別技術(shù)的發(fā)展，有助于網(wǎng)絡(luò)管理者對業(yè)務(wù)進(jìn)行管理和監(jiān)控，有助于了解各種數(shù)據(jù)流特征和用戶行為。現(xiàn)有的對加密流量的分類技術(shù)，重點(diǎn)在于直接對流量對象進(jìn)行識別，而忽略了目標(biāo)流量背后所隱含的分層信息。這就造成當(dāng)對流量類別進(jìn)行更細(xì)粒度的劃分時，傳統(tǒng)的“平面化”的識別分類方案變得不太合適，對RDP協(xié)議流量行為的識別屬于對目標(biāo)流量細(xì)粒度的分類，對網(wǎng)絡(luò)安全審計工作有著重要理論意義與應(yīng)用價值。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種遠(yuǎn)程桌面協(xié)議流量行為的多級分類檢測方法，能夠?qū)崿F(xiàn)對用戶使用RDP服務(wù)所產(chǎn)生的協(xié)議流量的識別以及對用戶具體操作行為的分類。

實(shí)現(xiàn)本發(fā)明目的的技術(shù)解決方案為：一種遠(yuǎn)程桌面協(xié)議流量行為的多級分類檢測方法，包括：

識別TLS協(xié)議、SSH協(xié)議和HTTP隧道流量，進(jìn)行第一級分類；

識別基于以上三種加密方式的RDP協(xié)議流量，進(jìn)行第二級分類；

識別加密RDP協(xié)議流量所包含的行為類別，進(jìn)行第三級分類；

對用戶操作行為流量進(jìn)行分析并提取流量特征，訓(xùn)練生成分類器模型；

根據(jù)不同加密協(xié)議的網(wǎng)絡(luò)流量，結(jié)合多級分類檢測方法的分級處理過程，在不同層級對加密流量做相應(yīng)識別，從而實(shí)現(xiàn)RDP協(xié)議的細(xì)粒度檢測。

與現(xiàn)有技術(shù)相比，本發(fā)明的顯著優(yōu)點(diǎn)為：(1)本發(fā)明使加密流量行為識別過程多級化處理，對流量進(jìn)行不同級別的識別，對同一級別的流量構(gòu)建專用的分類模型，使得分類結(jié)果更加準(zhǔn)確；(2)傳統(tǒng)的識別技術(shù)在識別新的流量數(shù)據(jù)時需要重新訓(xùn)練整個模型，而本發(fā)明提供的多級處理方法僅需添加或替換相應(yīng)模塊的分類器模型，具有較高的可移植性。

附圖說明

圖1是RDP協(xié)議流量行為多級檢測分類示意圖。

圖2是數(shù)據(jù)采集模塊流程圖。

圖3是加密流量分類過程圖。

具體實(shí)施方式