本發明屬于網絡安全和通信技術領域，公開了一種加密流量分析特征提取方法、系統、存儲介質、安全設備，采集原始流量數據；將采集的原始數據包進行預處理，過濾出SSL/TLS加密通信的流量數據；將流數據進行深度包解析，生成流量解析日志；按照連接四元組信息和各日志中的索引信息進行日志聚合，形成流特征調用鏈，并依據此調用鏈進行特征提取，得到初始數據集；確定當前環境下最優的監督學習分類算法，利用網格參數尋優法確定最優參數并利用十折交叉驗證法評估特征提取準確性。本發明采用隨機森林算法分類效果最優，得到的準確率高達99.96％，此結果表明各惡意家族使用的SSL/TLS加密特征不盡相同，分類效果顯著。

技術領域

本發明屬于網絡安全和通信技術領域，尤其涉及一種加密流量分析特征提取方法、系統、存儲介質、安全設備。

背景技術

目前，最接近的現有技術：隨著網絡中加密流量的全面普及和新型惡意軟件的頻繁出現，基于加密技術的網絡攻擊活動日益猖獗，給網絡空間安全造成了巨大隱患。當前面向惡意加密流量識別方法主要有基于深度包檢測的方法、基于數據包統計特征的方法、基于時序特征的方法、基于機器學習的方法和基于多策略融合的方法。其中，加密流量的負載使用關鍵字匹配較困難，面向不同網絡環境采集的數據時序特征差異較大，惡意軟件與CC服務器通信的加密流量與正常加密流量統計特征高度相似。因此，僅單獨使用深度包檢測、數據包統計特征和時序特征的分類效果較差。

現有技術一基于深度包檢測的加密流量識別技術：深度包檢測技術可以檢測、解碼數據包中不同節點的數據。通過深度包檢測方法對加密內容進行研究，提取數據包特征，對提取的特征嘗試多種組合方式，并通過聚類方式對組合的數據集進行分類提取特征數組并添加標記。此技術特征提取過程較復雜，需要消耗巨大的時間和空間成本，沒有特征提取過程的記錄信息，給后續的流量重塑分析帶來不小壓力，進一步對于惡意攻擊流量也無法做到追蹤、溯源。

現有技術二基于深度學習的加密流量識別技術：近年來，深度學習在自然語言處理、計算機視覺、語音識別等多個領域都取得了優異的成果，這為加密流量分類和異常檢測的發展帶來了新的機遇。常見的技術多為卷積神經網絡CNN結合長短期記憶LSTM網絡的方法進行數據包頭和載荷參數的學習分類，但針對惡意加密流量和正常加密流量的相似性，此類方法由于不需要提取關鍵特征，單純靠機器識別會出現個大規模誤報，學習成本較高，時序特征嚴重依賴目標的網絡環境，不適用真實環境下的惡意加密流量識別。

綜上所述，現有技術存在的問題是：現有的惡意加密流量識別技術中相關流量特征提取無過程記錄、特征提取復雜、選取量少、數據聚合難、溯源分析難。

解決上述技術問題的難度：在真實的網絡環境中，惡意加密流量數量龐大，導致流量特征提取困難，不同節點和不同操作的過程記錄容易混亂，提取的相關數據之間的無關聯性會導致數據聚合困難。由于缺失特征提取的過程記錄，根據實驗反饋的結果很難進行流量回溯，最終的特征選取也會缺乏依據。

解決上述技術問題的意義：目前，機器學習技術發展迅速，各行各業可以利用機器的高算力對目標特征進行有監督的學習，從而解決一系列的分類問題。然而，機器學習在加密流量識別領域的應用卻存在諸多問題，發展十分緩慢，主要原因是機器學習的識別效果強烈依賴特征工程中流量特征的提取。針對惡意加密流量的識別，采用普通流量的通用特征會造成特征間的耦合性增大，導致識別效果一般；直接從數據流中提取特征，未記錄提取過程，導致后續溯源困難。因此，針對惡意加密流量實現一種高效的、具有結構化關聯的特征提取方法具有重要的意義。本方法將惡意加密流量特征提取過程分模塊進行日志記錄，并利用索引建立相關信息鏈接，從而結合上下文進行分析，方便后續的特征分析和問題溯源。

發明內容

針對現有技術存在的問題，本發明提供了一種加密流量分析特征提取方法、系統、存儲介質、安全設備。

本發明是這樣實現的，一種加密流量分析特征提取方法，所述加密流量分析特征提取方法包括以下步驟：

第一步，采集原始流量數據；