本申請提供一種基于行為分析的惡意加密流量檢測方法及系統，所述方法在獲取網絡流量數據后，會對網絡流量數據進行特征分析，獲得基于會話的特征序列；再將特征序列輸入檢測模型，獲得檢測結果評分，以根據檢測結果評分，確定網絡流量是否為惡意加密流量。所述方法通過對網絡流量數據進行行為特征分析，可以有效地過濾掉網絡中的正常加密流量，識別惡意加密流量，降低誤報率。同時，通過機器學習方式構建的檢測模型，可以根據已知樣本推斷未知數據特征，準確判斷網絡流量數據是否為惡意加密流量。

技術領域

本申請涉及流量檢測技術領域，尤其涉及一種基于行為分析的惡意加密流量檢測方法及系統。

背景技術

加密流量是指通過特定的加密算法進行加密處理后的網絡流量，旨在保護上網流量的安全性，使帶有用戶數據和隱私不能輕易地被不法分子獲得。但惡意的網絡流量同樣可以通過加密算法進行傳播，而不能被防火墻、安全網關等防護措施發現，從而對目標設備發起攻擊，竊取目標用戶的信息。因此，如何有效識別惡意加密流量，對保證用戶的網絡數據安全，維護用戶隱私具有重要的作用。

與正常的網絡流量加密方法相同，惡意的網絡流量加密中，也是數據被加密，而握手報文以明文呈現。因此傳統的惡意加密流量的檢測方法就著重分析握手報文。一般是從內容為明文的握手報文中，提取某些字段的信息，如TLS協議(Transport Layer Security，安全傳輸層協議)版本信息、客戶端所支持的加密套件信息、服務器端所選擇的加密套件、客戶端與服務器端各自所攜帶的拓展信息以及服務器端下發的證書鏈中的信息等等，根據這些提取出來的內容對加密流量進行特征化處理，利用特征匹配來區分正常流量與惡意流量。

然而，上述基于特征匹配的惡意加密流量檢測方法，對于特征提取的要求非常高。如果提取特征的覆蓋面不廣、覆蓋度不深，則容易產生漏報；而如果提取特征的覆蓋面過廣、覆蓋度過深，則容易產生誤報，因此上述基于特征匹配的惡意加密流量檢測方法的檢測結果并不準確。

發明內容

本申請提供了一種基于行為分析的惡意加密流量檢測方法及系統，以解決傳統加密流量檢測結果不準確的問題。

一方面，本申請提供一種基于行為分析的惡意加密流量檢測方法，包括：

獲取網絡流量數據；

對所述網絡流量數據進行特征分析，獲得基于會話的特征序列；所述會話包括流通于同一對網絡終端間的多條所述網絡流量數據；

將所述特征序列輸入檢測模型，獲得檢測結果評分，所述檢測模型為根據樣本集訓練獲得的隨機森林模型，所述樣本集包括惡意樣本和白樣本；

根據所述檢測結果評分，確定所述網絡流量是否為惡意加密流量。

可選的，在獲取網絡流量數據的步驟后，對網絡流量數據進行過濾，包括：

根據所述網絡流量數據的傳輸協議，判斷所述網絡流量數據是否TCP報文；

如果所述網絡流量數據不是TCP報文，舍棄所述網絡流量數據。

可選的，對所述網絡流量數據進行特征分析，獲得基于會話的特征序列的步驟，包括：

提取當前所述網絡流量數據中的五元組信息；

匹配當前所述網絡流量數據歸屬的會話，所述網絡流量數據歸屬的會話為由歷史流量數據組成的集合；所述歷史流量數據對應的五元組信息與當前所述網絡流量數據對應五元組信息相同；

將所述網絡流量數據計入相匹配的會話。

可選的，對所述網絡流量數據進行特征分析，獲得基于會話的特征序列的步驟，還包括：如果當前所述網絡流量數據未匹配到歸屬的會話，根據所述五元組信息建立新會話。

可選的，對所述網絡流量數據進行特征分析，獲得基于會話的特征序列的步驟，還包括：