[發明專利]基于行為分析的惡意加密流量檢測方法及系統在審
| 申請號: | 202010058395.6 | 申請日: | 2020-01-19 |
| 公開(公告)號: | CN111277587A | 公開(公告)日: | 2020-06-12 |
| 發明(設計)人: | 李韋成 | 申請(專利權)人: | 武漢思普崚技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08;H04L12/24;H04L12/26 |
| 代理公司: | 北京弘權知識產權代理事務所(普通合伙) 11363 | 代理人: | 逯長明;許偉群 |
| 地址: | 430070 湖北省武漢市東湖新技術開發區光谷大道3*** | 國省代碼: | 湖北;42 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 行為 分析 惡意 加密 流量 檢測 方法 系統 | ||
1.一種基于行為分析的惡意加密流量檢測方法,其特征在于,包括:
獲取網絡流量數據;
對所述網絡流量數據進行特征分析,獲得基于會話的特征序列;所述會話包括流通于同一對網絡終端間的多條所述網絡流量數據;
將所述特征序列輸入檢測模型,獲得檢測結果評分,所述檢測模型為根據樣本集訓練獲得的隨機森林模型,所述樣本集包括惡意樣本和白樣本;
根據所述檢測結果評分,確定所述網絡流量是否為惡意加密流量。
2.根據權利要求1所述的惡意加密流量檢測方法,其特征在于,在獲取網絡流量數據的步驟后,對網絡流量數據進行過濾,包括:
根據所述網絡流量數據的傳輸協議,判斷所述網絡流量數據是否TCP報文;
如果所述網絡流量數據不是TCP報文,舍棄所述網絡流量數據。
3.根據權利要求1所述的惡意加密流量檢測方法,其特征在于,對所述網絡流量數據進行特征分析,獲得基于會話的特征序列的步驟,包括:
提取當前所述網絡流量數據中的五元組信息;
匹配當前所述網絡流量數據歸屬的會話,所述網絡流量數據歸屬的會話為由歷史流量數據組成的集合;所述歷史流量數據對應的五元組信息與當前所述網絡流量數據對應五元組信息相同;
將所述網絡流量數據計入相匹配的會話。
4.根據權利要求3所述的惡意加密流量檢測方法,其特征在于,對所述網絡流量數據進行特征分析,獲得基于會話的特征序列的步驟,還包括:如果當前所述網絡流量數據未匹配到歸屬的會話,根據所述五元組信息建立新會話。
5.根據權利要求3所述的惡意加密流量檢測方法,其特征在于,對所述網絡流量數據進行特征分析,獲得基于會話的特征序列的步驟,還包括:
從歸屬于同一會話的網絡流量數據中提取特征字段;
確定握手報文,所述握手報文為包含所述特征字段的網絡流量數據;
從所述握手報文中提取特征信息;
將所述特征數據添加到特征序列。
6.根據權利要求5所述的惡意加密流量檢測方法,其特征在于,將所述特征數據添加到特征序列的步驟后,所述方法還包括:
獲取通信行為模型,所述通信行為模型中預置多個根據惡意流量通信規律構建的匹配模板;
使用所述通信行為模型匹配會話中的網絡流量,獲得匹配模板命中結果;
將匹配模板命中結果作為通信行為特征添加至特征序列。
7.根據權利要求5所述的惡意加密流量檢測方法,其特征在于,將所述特征數據添加到特征序列的步驟后,所述方法還包括:
提取會話包含的每個網絡流量的時序序列;
獲取心跳行為模型,所述心跳行為模型中預置多個惡意流量的心跳行為匹配模板;
使用所述心跳行為模型匹配會話對應的時序序列,獲得匹配模板命中結果;
將匹配模板命中結果作為心跳行為特征添加至特征序列。
8.根據權利要求1所述的惡意加密流量檢測方法,其特征在于,將所述特征序列輸入檢測模型,獲得檢測結果評分的步驟,包括:
將所述特征序列轉化為特征向量矩陣;
向檢測模型輸入所述特征向量矩陣,得到所述檢測模型的分類概率,輸出所述檢測結果評分。
9.根據權利要求1所述的惡意加密流量檢測方法,其特征在于,根據所述檢測結果評分,確定所述網絡流量是否為惡意加密流量的步驟,還包括:
獲取安全等級閾值,所述安全等級閾值為在0-1范圍內預設的判斷值;
對比所述檢測結果評分與所述安全等級閾值,確定所述網絡流量對應的安全等級。
10.一種基于行為分析的惡意加密流量檢測系統,其特征在于,包括:網關設備和連接所述網關設備的數據處理裝置;所述網關設備連接待檢測網絡端口,以從所述待檢測網絡端口抓取網絡流量數據;所述數據處理裝置內置檢測模塊,所述數據處理裝置被進一步配置為執行以下程序步驟:
獲取網絡流量數據;
對所述網絡流量數據進行特征分析,獲得基于會話的特征序列;所述會話包括流通于同一對網絡終端間的多條所述網絡流量數據;
將所述特征序列輸入檢測模型,獲得檢測結果評分,所述檢測模型為根據樣本集訓練獲得的隨機森林模型,所述樣本集包括惡意樣本和白樣本;
根據所述檢測結果評分,確定所述網絡流量是否為惡意加密流量。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于武漢思普崚技術有限公司,未經武漢思普崚技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010058395.6/1.html,轉載請聲明來源鉆瓜專利網。
