[發(fā)明專利]一種基于雙維度特征的加密惡意流量檢測方法和系統(tǒng)在審
| 申請?zhí)枺?/td> | 202010066830.X | 申請日: | 2020-01-20 |
| 公開(公告)號: | CN111245860A | 公開(公告)日: | 2020-06-05 |
| 發(fā)明(設計)人: | 周志洪;姚立紅;胡斌;銀鷹;李建華 | 申請(專利權(quán))人: | 上海交通大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 上海旭誠知識產(chǎn)權(quán)代理有限公司 31220 | 代理人: | 鄭立 |
| 地址: | 200240 *** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 維度 特征 加密 惡意 流量 檢測 方法 系統(tǒng) | ||
1.一種基于雙維度特征的加密惡意流量檢測方法,其特征在于,提取被監(jiān)測加密流量的報文負載特征和流指紋特征,以此為基礎識別惡意流量。
2.如權(quán)利要求1所述的基于雙維度特征的加密惡意流量檢測方法,其特征在于,包括以下步驟:
步驟1、將相同五元組的數(shù)據(jù)包合并成雙向會話流量;
步驟2、對五元組特征做遮蔽處理;
步驟3、提取所述會話流量的所述報文負載特征;
步驟4、提取所述會話流量的所述流指紋特征;
步驟5、將所述步驟3-4提取的流量特征整合和標準化;
步驟6、使用邏輯回歸機器學習模型進行惡意流量分類。
3.如權(quán)利要求2所述的基于雙維度特征的加密惡意流量檢測方法,其特征在于,所述步驟1包括:
步驟1.1、將五元組相同的流量合并成會話,所述五元組是指源IP地址、目的IP地址、源端口、目的端口、協(xié)議;
步驟1.2、把流入流量的源IP地址與流出流量的目的IP地址相同的、流入流量的目的IP地址與流出流量的源IP地址相同的、流入流量的源端口與流出流量的目的端口相同的、流入流量的目的端口與流出流量的源端口相同的、流入流量的協(xié)議與流出流量的協(xié)議相同的會話合并為雙向流。
4.如權(quán)利要求2所述的基于雙維度特征的加密惡意流量檢測方法,其特征在于,在所述步驟2中,將所述會話流量中的IP、端口、協(xié)議字段的數(shù)據(jù)信息用全0代替填充。
5.如權(quán)利要求2所述的基于雙維度特征的加密惡意流量檢測方法,其特征在于,在所述步驟3中,選取了ClientHello和ServerHello報文中的五種元素作為所述報文負載特征,包括:TLSVersion(協(xié)議版本)、Ciphers(持的密碼套件)、Extensions(擴展字段)、EllipticCurves(橢圓曲線密碼)、EllipticCurvePointFormats(橢圓曲線密碼格式);將此五種元素的組合數(shù)據(jù)歸化為專有的指紋數(shù)組X正=[x1,x2,x3,x4,x5],其中
x1:協(xié)議版本的代碼,
x2:支持的所有密碼套件的代碼,
x3:所有擴展字段的代碼,
x4:橢圓曲線密碼類型的代碼,
x5:橢圓曲線密碼格式的代碼。
6.如權(quán)利要求2所述的基于雙維度特征的加密惡意流量檢測方法,其特征在于,在所述步驟4中,提取包長度和包到達間隔時間、以及字節(jié)分布數(shù)據(jù)作為所述流指紋特征。
7.如權(quán)利要求6所述的基于雙維度特征的加密惡意流量檢測方法,其特征在于,對于包長度,將每個會話中的所有包的長度離散進入相同大小的窗口,窗口大小為N字節(jié),將包長度在[0,N)字節(jié)之間的包放入第1個bin,將包長度在[N,2N)字節(jié)之間的包放入第2個bin,以此類推;然后構(gòu)造矩陣A,其中每個元素A[i,j]表示計算第i個bin中的包轉(zhuǎn)換到第j個bin中的包的次數(shù);最后,對A的每行進行歸一化處理,每行即為一個馬爾可夫鏈,并作為該會話的包長度特征。
8.如權(quán)利要求6所述的基于雙維度特征的加密惡意流量檢測方法,其特征在于,對于包到達時間間隔,將每個會話中的所有包的到達時間間隔離散進入相同大小的窗口,窗口大小為T毫秒,將包到達時間間隔在[0,T)毫秒之間的包放入第1個bin,將包到達時間間隔在[T,2T)毫秒之間的包放入第2個bin,以此類推;然后構(gòu)造矩陣B,其中每個元素B[i,j]表示計算第i個bin中的包轉(zhuǎn)換到第j個bin中的包的次數(shù);最后,對B的每行進行歸一化處理,每行即為一個馬爾可夫鏈,并作為該會話的包到達時間間隔特征。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海交通大學,未經(jīng)上海交通大學許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010066830.X/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
