一種識別加密流量的方法、裝置及電子設備制造方法及圖紙

本發明專利技術提供了一種識別加密流量的方法、裝置及電子設備，其中，該方法包括：獲取設有標簽的樣本網絡流，所述樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量；確定所述樣本網絡流的點特征和邊特征；基于多個所述樣本網絡流的點特征和邊特征對預設模型進行訓練，生成識別模型。通過本發明專利技術實施例提供的識別加密流量的方法、裝置及電子設備，提取了多流的特征，特征的表現性更好；采用圖論的概念，將多流的樣本網絡流表示為點+邊的結構，提取樣本網絡流的點特征和邊特征，能夠更加準確地表征樣本網絡流的特點；并且，通過統計的方式提取多流的邊特征，可以簡化訓練過程所需的特征，能夠更加有針對性地進行加密流量識別。別。別。

【技術實現步驟摘要】
一種識別加密流量的方法、裝置及電子設備


[0001]本專利技術涉及加密流量識別
，具體而言，涉及一種識別加密流量的方法、裝置、電子設備及計算機可讀存儲介質。

技術介紹

[0002]流量加密技術能夠保障用戶上網的隱私安全和通信安全，越來越多的服務商和軟件能夠支持加密服務，全球互聯網加密通信已經成為趨勢。然而加密流量也給安全領域帶來了新的挑戰和威脅；例如，通過加密通道，用戶可以繞過檢測系統來隱藏自己的惡意操作或者非法行為。近年來，惡意程序的數量和復雜度持續增長，惡意加密流量的分類和識別成為當前惡意流量分析領域的研究重點。
[0003]惡意加密流量識別主要存在不解密情況下無法提取流量真實內容無法使用規則檢測，檢測出有效信息等問題；在不解密的情況下，提取出的流量特征所反應的信息也不夠全面，使得機器學習方法無法發揮出較好的效果。

技術實現思路

[0004]為解決現有存在的技術問題，本專利技術實施例提供一種識別加密流量的方法、裝置、電子設備及計算機可讀存儲介質。
[0005]第一方面，本專利技術實施例提供了一種識別加密流量的方法，包括：
[0006]獲取設有標簽的樣本網絡流，所述樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量，所述樣本網絡流的標簽用于表示所述樣本網絡流正?；驉阂猓?br/>[0007]確定所述樣本網絡流的點特征，所述點特征包括所述樣本網絡流的客戶端特征和服務端特征；
[0008]對所述樣本網絡流中多條加密流量對應的客戶端與服務端之間的行為特征進行統計，生成所述樣本網絡流的邊特征；
[0009]基于多個所述樣本網絡流的點特征和邊特征對預設模型進行訓練，生成能夠識別包含至少一條加密流量的網絡流是否惡意的識別模型。
[0010]第二方面，本專利技術實施例還提供了一種識別加密流量的裝置，包括：
[0011]獲取模塊，用于獲取設有標簽的樣本網絡流，所述樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量，所述樣本網絡流的標簽用于表示所述樣本網絡流正?；驉阂?；
[0012]點特征模塊，用于確定所述樣本網絡流的點特征，所述點特征包括所述樣本網絡流的客戶端特征和服務端特征；
[0013]邊特征模塊，用于對所述樣本網絡流中多條加密流量對應的客戶端與服務端之間的行為特征進行統計，生成所述樣本網絡流的邊特征；
[0014]訓練模塊，用于基于多個所述樣本網絡流的點特征和邊特征對預設模型進行訓練，生成能夠識別包含至少一條加密流量的網絡流是否惡意的識別模型。
[0015]第三方面，本專利技術實施例提供了一種電子設備，包括總線、收發器、存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，所述收發器、所述存儲器和所述處理器通過所述總線相連，所述計算機程序被所述處理器執行時實現上述任意一項所述的識別加密流量的方法中的步驟。
[0016]第四方面，本專利技術實施例還提供了一種計算機可讀存儲介質，其上存儲有計算機程序，所述計算機程序被處理器執行時實現上述任意一項所述的識別加密流量的方法中的步驟。
[0017]本專利技術實施例提供的識別加密流量的方法、裝置、電子設備及計算機可讀存儲介質，以客戶端屬性和服務端屬性作為劃分標準生成包含多個加密流量的樣本網絡流，提取包含多流的樣本網絡流的點特征和邊特征，可以訓練得到具有較高識別準確度的識別模型。該方法提取了多流的特征，與傳統的單流相比能夠提取更多的特征，特征的表現性更好；采用圖論的概念，將多流的樣本網絡流表示為點+邊的結構，提取樣本網絡流的點特征和邊特征，能夠更加準確地表征樣本網絡流的特點；并且，通過統計的方式提取多流的邊特征，不需要大量原始的行為特征，可以簡化訓練過程以及識別過程所需的特征，能夠更加有針對性地進行加密流量識別。
附圖說明
[0018]為了更清楚地說明本專利技術實施例或
技術介紹
中的技術方案，下面將對本專利技術實施例或
技術介紹
中所需要使用的附圖進行說明。
[0019]圖1示出了本專利技術實施例所提供的一種識別加密流量的方法的流程圖；
[0020]圖2示出了本專利技術實施例所提供的一種識別加密流量的裝置的結構示意圖；
[0021]圖3示出了本專利技術實施例所提供的一種用于執行識別加密流量的方法的電子設備的結構示意圖。
具體實施方式
[0022]下面結合本專利技術實施例中的附圖對本專利技術實施例進行描述。
[0023]圖1示出了本專利技術實施例所提供的一種識別加密流量的方法的流程圖。如圖1所示，該方法包括：
[0024]步驟101：獲取設有標簽的樣本網絡流，樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量，樣本網絡流的標簽用于表示樣本網絡流正?；驉阂?。
[0025]本專利技術實施例中，預先采集多個客戶端與多個服務端之間的加密流量，利用加密流量客戶端屬性和服務端屬性將這些加密流量分為多個網絡流，并為每個網絡流設置能夠表示其正?；驉阂獾臉撕灒槐緦嵤├龑⒃摼W絡流稱為樣本網絡流，利用多個樣本網絡流可以訓練模型。其中，樣本網絡流的標簽與該樣本網絡流中加密流量的標簽一致，即，正常的樣本網絡流，其中均為正常加密流量，惡意的樣本網絡流中包含的都是惡意加密流量。例如，可以利用現有的訓練集生成多個樣本網絡流，該訓練集中包含設有標簽的加密流量?；蛘?，也可以采集最近一個時間段(例如最近的48小時、最近的72小時等)內生成的加密流量，基于這些加密流量生成具有不同標簽的樣本網絡流。
[0026]具體地，每個加密流量對應一次會話，不同的加密流量可能對應相同或不同的客
戶端，也可能對應相同或不同的服務端，即不同的加密流量的客戶端屬性和服務端屬性可能相同，也可能不同；由于本申請所生成的樣本網絡流需要包含多個加密流量，故某客戶端與某服務端之間的加密流量需要為多條。例如，可以用客戶端IP、服務端IP、客戶端端口號、服務端端口號這四元組數據來表示客戶端屬性和服務端屬性。本專利技術實施例中，將具有相同的客戶端屬性和服務端屬性的多個加密流量歸為一組，形成樣本網絡流；例如，樣本網絡流中的多個加密流量的四元組數據是相同，該樣本網絡流能夠表示同一個客戶端與同一個服務端之間的多個會話。其中，為了能夠比較準確地提取出多個加密流量所表示的特征(如下述的邊特征)，本實施例中該樣本網絡流需要包含足夠多的加密流量；例如，樣本網絡流中加密流量的數量需要不少于3個，或者不少于10個等。
[0027]步驟102：確定樣本網絡流的點特征，點特征包括樣本網絡流的客戶端特征和服務端特征。
[0028]本專利技術實施例中，樣本網絡流中包含的加密流量具有相同的客戶端屬性和服務端屬性，即該樣本網絡流中的加密流量可以表示兩個點(客戶端、服務端)之間的行為，本專利技術實施例提取出這兩個點的特征，即點特征。該點特征可以包括與客戶端相關的特征以及與服務端相關的特征。其中，該客戶端特征可以是與客戶端屬性相對應的特征，例如，該客戶端特征包括客戶端IP；或者，也可以提取該客戶端的指紋特征，將該指紋特征作為客戶端特本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種識別加密流量的方法，其特征在于，包括：獲取設有標簽的樣本網絡流，所述樣本網絡流包括多個具有相同的客戶端屬性和服務端屬性的加密流量，所述樣本網絡流的標簽用于表示所述樣本網絡流正?；驉阂?；確定所述樣本網絡流的點特征，所述點特征包括所述樣本網絡流的客戶端特征和服務端特征；對所述樣本網絡流中多條加密流量對應的客戶端與服務端之間的行為特征進行統計，生成所述樣本網絡流的邊特征；基于多個所述樣本網絡流的點特征和邊特征對預設模型進行訓練，生成能夠識別包含至少一條加密流量的網絡流是否惡意的識別模型。2.根據權利要求1所述的方法，其特征在于，所述客戶端特征包括客戶端IP和/或客戶端的指紋特征；所述服務端特征包括服務端IP，或者包括服務端IP和服務端端口。3.根據權利要求1所述的方法，其特征在于，所述對所述樣本網絡流中多條加密流量對應的客戶端與服務端之間的行為特征進行統計，生成所述樣本網絡流的邊特征，包括：確定所述樣本網絡流中每條加密流量對應的客戶端與服務端之間的、與應用數據消息相關的行為特征，所述行為特征包括應用數據消息時間間隔、應用數據消息數量和應用數據消息字節數；對所述樣本網絡流中多個加密流量的所述行為特征進行統計處理，生成所述樣本網絡流的邊特征；所述邊特征包括對所述應用數據消息時間間隔進行統計所確定的時間特征、對所述應用數據消息數量進行統計所確定的數量特征和對所述應用數據消息字節數進行統計所確定的長度特征。4.根據權利要求3所述的方法，其特征在于，所述對所述樣本網絡流中多個加密流量的所述行為特征進行統計處理，生成所述樣本網絡流的邊特征，包括：對所述樣本網絡流中多個加密流量的應用數據消息時間間隔進行統計處理，生成所述樣本網絡流的時間特征；所述時間特征包括：由多個加密流量的應用數據消息時間間隔所確定的應用數據消息時間間隔最值、應用數據消息時間間隔均值、應用數據消息時間間隔標準差以及所述應用數據消息時間間隔最值與所述應用數據消息時間間隔均值的比值；對所述樣本網絡流中多個加密流量的應用數據消息數量進行統計處理，生成所述樣本網絡流的數量特征；所述數量特征包括：由多個加密流量的應用數據消息數量所確定的應用數據消息數量最值、應用數據消息總數量、應用數據消息數量均值、應用數據消息數量標準差以及所述應用數據消息數量最值與相應的所述應用數據消息總數量的比值；對所述樣本網絡流中多個加密流量的應用數據消息字節數進行統計處理，生成所述樣本網絡流的長度特征；所述長度特征包括：由多個加密流量的應用數據消息字節數所確定的應用數據消息字節數最值、應用數據消息字節數總數量、應用數據消息字節數均值、應用數據消息字節數標準差以及所述應用數據消息字節數最值與相應的所述應用數據消息字節數總數量的比值。5.根據權利要求4所述的方法，其特征在于，所述應用數據消息時間間隔最值包括應用數據消息時間間隔最大值和/或應用數據消息時間間隔最小值；所述應用數據消息數量最值包括：上行應用數據消息數量最值和下行應用數據消息數
量最值，且所述上行應用數據消息數量最值包括：上行應用數據消息數量最大值和/或上行應用數據消息數量最小值，所述下行應用數據消息數量最值包括：下行應用數據消息數量最大值和/或下行應用數據消息數量最小值；所述應用數據消息總數量包括：上行應用數據消息總數量和下行應用數據消息總數量；所述應用數據消息數量均值包括：上行應用數據消息數量均值和下行應用數據消息數量均值；所述應用數據消息數量標準差包括：上行應用數據消息數量標準差和下行應用數據消息數量標準差；所述應用數據消息數量最值與相應的所述應用數據消息總數量的比值包括：所述上行應用數據消息數量最值與所述上行應用數據消息總數量的比值，和/或所述下行應用數據消息數量最值與所述下行應用數據消息總數量的比值；所述應用數據消息字節數最值包括：上行應用數據消息字節數最值和下行應用數據消息字節數最值，且所述上行應用數據消息字節數最值包括：上行應用數據消息字節數最大值和/或上行應用數據消息字節數最小值，所述下行應用數據消息字節數最值包括：下行應用數據消息字節數最大值...

【專利技術屬性】
技術研發人員：呂麗霞，李波，
申請(專利權)人：北京觀成科技有限公司，
類型：發明
國別省市：