CN110011931B

CN110011931B - 一种加密流量类别检测方法及系统

Info

Publication number: CN110011931B
Application number: CN201910073768.4A
Authority: CN
Inventors: 董聪; 姜波; 刘俊荣; 蔡真真; 刘宝旭; 卢志刚
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2019-01-25
Filing date: 2019-01-25
Publication date: 2020-10-16
Anticipated expiration: 2039-01-25
Also published as: CN110011931A

Abstract

本发明公开了一种加密流量类别检测方法及系统。本方法为：1)对加密流量进行组流，将不同通信流的pcap包记录在不同的flow文件中；2)基于流量统计特征，对pcap包进行过滤，保留加密流量协议承载的业务流包；3)从所述业务流包中提取业务数据，得到每一通信流的会话内容；4)基于通信流的流量统计特征，得到对应通信流的时序特征；5)对所述会话内容进行降维表示，得到通信流的内容特征；6)使用判别分类器对每一通信流的时序特征和内容特征进行分类，得到对应流量的分类标签。本发明可以在保证检测准确率的同时，具有较高的检测效率。

Description

一种加密流量类别检测方法及系统

技术领域

本发明提出一种加密流量类别检测方法及系统，涉及一种流量处理和基于神经网络的模型检测方法及系统，属于计算机科学的技术领域。

背景技术

加密流量检测是通过对加密后流量的直接分析，得出流量所属类别，例如文件传输，视频，聊天，P2P等类型，甚至是产生流量的应用，例如YouTube,Vimeo,FTP等应用,为高层次的基于流量的分析任务提供基本信息。

出于保证信息安全和用户隐私的目的，加密技术在网络通信领域得到了广泛应用。加密技术通过某种特殊算法改变原有的信息数据，保证数据的安全传输，实现信息安全的机密性。在网络通信领域，加密技术通过加密协议来具体实现。当前主要使用的加密协议有安全套接层协议(Secure Sockets Layer，SSL)和传输层安全协议(Transport LayerSecurity，TLS)两种。SSL和TLS两种协议均采用非对称加密算法实现身份认证和秘钥交换过程，然后通过对称加密算法传输数据以保证数据安全。SSL和TLS协议工作在传输层和应用层之间，可以与应用层协议结合提供数据保护，例如HTTPS协议等。随着对信息安全的重视和加密协议的逐渐成熟，加密协议在各种应用中得到了使用。

虽然加密技术保证了用户的通信安全，但是加密技术随之带来了网络管理困难的问题。例如服务质量(Quality of Service，QoS)需要先通过识别流量然后分配流量传输策略。但是使用加密协议对流量进行加密后，传统的流量识别技术无法探测出流量类型，因而给QoS带来了管理上的困难，尤其对于加密后的P2P流量，无法进行有效阻断以保证其他业务流量的时效。除此之外，加密流量同样也给入侵检测带来了一定的困难。深度包检测通过海量字符串匹配技术对包中的异常字符进行检测，对于未加密流量具有较好的检测效果，但是对于加密流量无法检测。因此当前恶意指令传输和恶意软件传播均通过加密协议实现以避开安全检测，从而给网络安全管理带来了隐患。

目前，加密流量检测具有两种技术方向，一种是基于流量统计特征的检测，一种基于流量内容特征的检测。基于流量统计特征的加密流量检测与非加密流量检测大致相同，首先通过流量处理获得流量的统计数据和协议信息，然后基于这些统计数据和协议信息进行分析判断；基于流量内容特征的检测则主要利用深度学习方法，将内容映射到低维向量空间，并作为特征进行分析，判断流量的内容。但是基于流量统计特征的检测方法准确率不高，难以达到实用效果，而基于内容特征的分析方法虽然准确率较高，但是使用数据过多，检测时间过长，难以达到快速检测的效果。

发明内容

为解决上述问题，本发明提出的一种加密流量类别检测方法及系统，联合了流量的时序特征和内容特征两个方面的特征，然后使用梯度提升树(Gradient BoostingDecision Tree,GBDT)完成分类任务，可以在保证检测准确率的同时，具有较高的检测效率。

为达到上述目的，本发明采用具体技术方案是：

一种加密流量类别检测方法，包括以下步骤：

1)加密流量组流。通过修改softflowd项目，在按照通信的双方地址、双方端口和协议组成的五元组的基础上，增加对流量包序号的记录，可以达到对流量包内容的重组的目的，最终得到包含流量包序号的netflow格式的基础流量统计特征，按不同的pcap包记录在不同的flow文件中。

2)加密流量业务流提取。基于步骤1得到的增加包序号的流统计特征，进行pcap数据内容的读取，根据端口号、协议、内容等判断，剔除握手包和心跳包等噪声流量包，只保留加密流量协议承载的业务流包。

3)加密流量会话内容提取。基于步骤2剔除噪声的流内容信息，剔除低层次的协议头，如链路层协议、IP头、TCP头等协议头进行剔除，仅保留业务数据，得到会话内容，达到降低无用信息或噪声信息对分类干扰的目的。

4)时序特征生成。基于步骤1)得到的netflow格式流信息的基础统计信息进行进一步统计运算，得到会话流的时序特征。

5)内容特征生成。根据步骤3)得到的会话内容，利用层次化加密流量内容表示模型对会话内容进行降维表示，即得到会话流的内容特征。

6)流量分类。使用梯度提升树模型作为判别分类器，将步骤4得到的时序特征和内容特征作为模型的输入，即可得到流量的分类标签，实现最终的流量分类任务。

一种加密流量类别检测系统，包括：流量预处理模块、组流模块、特征生成模块和分类检测模块；其中：

1、组流模块。通过修改softflowd文件，增加以下功能:(1)在每个流的netflow统计记录中加入包的序号集合用于辅助会话流内容的生成。(2)流内容导出到文件中。softflowd的原始策略是将生成的netflow记录转发到指定端口，然后通过nfcapd等程序组合一定时间段内的netflow记录合成为一个文件。为了简化流程，我们将softflowd的流程修改为读取一个pcap包后即保存一个flow文件，其中包含所有的流信息。

2、流量预处理模块。流量预处理模块主要完成业务流量提取、包头剔除和业务流切分工作。模块整体使用Python实现，利用dpkt库对pcap流量包进行解析。首先完成业务流量提取的工作。通过端口和协议进行判断，剔除DNS协议和其他非SSL、TLS等加密流量协议。然后通过包字节数统计，剔除应用层内容为空的包，即握手包。其次进行包头剔除的工作。只保留TCP层以上的内容，对TCP层以下的内容进行剔除。最后进行流量切分工作。一次判断的内容只保留会话流中的2×10⁴个字节。若是数据流低于2×10⁴个字节，则用0填充至2×10⁴字节。

3、特征生成模块。特征生成模块完成时序特征的生成和内容特征的生成工作。时序特征基于netflow记录，剔除了底层协议记录字段，例如双方通信地址、端口、TCP字段值等，然后通过自定义的运算生成新的统计字段，即得到时序特征。内容特征的生成分为两个阶段：第一个阶段是会话流内容的组合。通过记录包序列的flow文件和原始流量包进行匹配组合，得到会话流内容。第二个阶段是将会话流内容输入到层次化加密流量内容表示模型中，得到会话流的内容特征。将两个特征进行联合便得到了流量的综合特征。

4、分类检测模块。分类检测模块根据生成的时序特征和内容特征对流量类型做出判断。分类检测模块主要使用梯度提升树模型，作为集成模型的一种，具有良好的分类检测效果。根据不同的场景，分类模块可以输出不同的结果。例如在流量分类场景中，分类检测的输出是流量的类型；在应用检测场景中，分类检测的输出是具体产生流量的应用类型。

本发明的有益效果在于：

本发明为加密流量类别检测提供一种方法，用于增强在加密协议广泛使用背景下的网络管理能力，同时提升网络安全性。本发明利用深度学习模型有效的提取会话流内容特征，并采用时序特征作为补充，充分的利用了会话流各方面的信息，在保证高准确率的同时具有较快的检测速度。与现有的加密流量类别检测方法相比，本发明具有以下几点优势：

1、识别准确率高，通过在ISCX VPN Non-VPN数据集上验证，加密流量检测准确率可以达到99％。

2、综合利用时序特征和内容特征进行加密流量的检测，充分利用了流量的全部信息，在保证高准确率的同时，具有较高的检测效率。

附图说明

图1是本发明的整体流程图。

图2是业务流提取、流量包头剔除和业务流划分等预处理工作。

图3是用于提取内容特征的层次化表示模型的架构。

图4是时序特征生成的步骤流程图；

图5是内容特征生成的步骤流程图；

图6是应用于两种加密流量分类任务的准确率；

(a)加密流量应用类型分类效果图，(b)加密流量具体应用检测效果图。

图7是应用于两种加密流量分类任务的混淆矩阵图。

(a)加密流量应用类型分类混淆矩阵图，(b)加密流量具体应用分类混淆矩阵图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面结合附图和事例对本发明中技术核心作进一步详细的说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

在本发明中，设计了一种加密流量类型检测方法。该方法的总体思路是通过构造流量的时序特征和内容特征描述流量的整体行为，并使用梯度提升树对加密流量检测以及实现应用识别。其中时序特征的描述的是流量在时间维度上的统计特征，而内容特征则是使用本发明提出的层次化表示学习模型提取的低维内容表示。通过联合这两方面的特征，可以克服一方面特征的缺陷，将检测准确率提高到99％的同时，保持较高的检测效率。

本发明的整体流程图如图1所示，所述方法的具体步骤细节如下所示：

(1)流量组流。本发明中的方法需首先将分散的会话包根据五元组还原为通信会话流，然后以流为单位进行判断。组流的实现利用改进后的softflowd程序，在原有的基础上增加了对包序号进行编码和记录存储到文件的过程。在使用pcap对包进行解析后，使用一个结构体记录包的序号，并传送给包解析的函数process_packet函数中。包解析完成后在主控函数main中利用添加的output_flow_to_file函数遍历FLOW记录，将其输出到以.flow为后缀名的文件中。其中，为了减少存储压力，在输出过程中使用区间记录的方法代替多个连续单包的记录。例如，序号为3333398-3333450的包属于同一个流，则使用[3333398,3333450]的方法记录，而非每个包序号均单独记录3333398,3333399,33333400…，从而大大减少组流文件(即flow文件)所占空间。

(2)流量业务流提取。流量中存在非业务流的会话，这些流量包括握手包、DNS查询包、DHCP包、路由协议发现包、ICMP包等。对非业务流会话进行检测没有意义，因为会话流不承载业务信息，属于流量中的噪声。因此在判断之前需进行加密流量业务流的提取。具体通过DPKT和流量组流后输出的组流文件实现。首先使用DPKT对pcap文件进行解析，然后根据TCP层端口、协议判断、内容数量判断等，判断是否为业务流包。若是业务流包，则根据包序号查找组流文件中对应的流序号，然后插入到对应的流内容记录中。为了提高查找的效率，在序号匹配的过程中实现了二分查找的方法以提高包序号的匹配速度。

(3)流量包头剔除和业务流切分。由于流量包头中存在地址和端口等信息，会使得对业务流的不集中在业务内容的判断，因此需要对流量包头进行剔除。流量包头的剔除同样通过DPKT库实现。先使用DPKT库解析数据包，然后提取TCP层以上的信息，重新组成业务流。同时为了提高检测效率，我们仅选取一个流中的2×10⁴个字节，若是过大则进行切分操作，若是过小则进行补0操作。

(4)时序特征生成。时序特征是流量在一段时间内发送数据的统计特征。时序特征的生成根据步骤1中生成的组流文件(即.flow文件)产生的基础流量统计信息完成。如图4所示，首先对组流文件中的低层次协议特征进行剔除，得到通信双方产生的字节数、包数，此外根据通信方向分别计算速率，进行组合即得到时序特征。产生的时序特征如下表所示。

Duration	连接持续时间
		Octets	流中的字节数
Octets_psec	流的字节速率
		Octets_a2b	从A到B的字节数
Octets_b2a	从B到A的字节数
		Octets_a2b_psec	从A到B的字节速率
Octets_b2a_psec	从B到A的字节速率
		Packets	流中的包数
Packets_psec	流中的包速率
		Packets_a2b	从A到B的包数
Packets_b2a	从B到A的包数
		Packets_a2b_psec	从A到B的包速率
Packets_b2a_psec	从B到A的包速率

(5)内容特征生成。内容特征是通信流内容的低维表示。内容特征的生成借助本发明提出的层次化加密流量内容表示模型完成。如图3所示，层次化加密流量内容表示模型由三个层次组成。首先对会话流内容进行分组，分别通过第一层次的GRU网络结构，学习到局部的内容特征表示；然后将第一层次的输出输入到第二层次的GRU网络结构，学习到全局的内容特征表示，其次连接一个全连接层作为内容维度的特征层，最后连接分类层用于模型参数的训练。在训练过程中，分类层作为最后一个层次用于梯度反向传播误差，实现权重的更新。在预测过程中，移除分类层而将全连接层作为最后一个层次用于输入数据的特征生成。如图5所示，在本发明中，将过程(3)中产出的2×10⁴个字节的内容按每个分组200字节，共100个分组的形式进行组织输入到第一个层次的GRU结构，最终得到10个特征的全连接输出，即作为内容层次的特征。除此之外，对应着流量分类和应用识别的两个任务，需训练两个模型实例以用于两个任务。

(6)流量分类。流量分类根据(4)过程输出的时序特征和(5)过程输出的内容特征进行流量类别的判断。通过将时序特征和内容特征输入到梯度提升树模型中，即可得到期望的类别标签。在验证过程中，通过两种分类问题来验证了流量分类的效果，即加密流量应用类型分类和加密流量具体应用分类。最终的效果使用ISCX VPN Non-VPN数据进行验证。验证结果的准确率表如图6所示，混淆矩阵如图7所示。

以上所述实施例仅表达了本发明的实施方式，其描述较为具体，但并不能因此理解为对本发明专利范围的限制。应当指出，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应当以所附权利要求为准。

Claims

1.一种加密流量类别检测方法，其步骤包括：

1)对加密流量进行组流，将不同通信流的pcap包记录在不同的flow文件中；

2)基于流量统计特征，对pcap包进行过滤，保留加密流量协议承载的业务流包；

3)从所述业务流包中提取业务数据，得到每一通信流的会话内容；

4)基于通信流的流量统计特征，得到对应通信流的时序特征；

5)对所述会话内容进行降维表示，得到通信流的内容特征；其中，得到所述内容特征的方法为：将flow文件与对应的流量包进行匹配组合，得到会话流内容，然后，利用层次化加密流量内容表示模型对所述会话内容进行降维表示，得到通信流的内容特征；其中，所述层次化加密流量内容表示模型包括三个层次；首先对会话流内容进行分组，分别通过第一层次的GRU网络结构，学习到局部的内容特征表示；然后将第一层次的输出输入到第二层次的GRU网络结构，学习到全局的内容特征表示，然后将第二层次的输出输入到第三层次的全连接层，得到会话内容的内容特征；

6)使用判别分类器对每一通信流的时序特征和内容特征进行分类，得到对应流量的分类标签。

2.如权利要求1所述的方法，其特征在于，步骤1)的具体实现方法为：根据五元组将分散的流量包还原为通信流，并在每个通信流的netflow统计记录中加入包的序列集合，生成对应通信流的flow文件；其中，flow文件中中包含通信流的基础流量统计特征以及包序列集合。

3.如权利要求1所述的方法，其特征在于，得到对应通信流的时序特征的方法为：首先对flow文件中的低层次协议特征进行剔除，然后根据通信双方产生的字节数、包数，分别计算速率，即得到时序特征。

4.如权利要求1或3所述的方法，其特征在于，所述时序特征包括：连接持续时间、流中的字节数、流的字节速率、从A到B的字节数、从B到A的字节数、从A到B的字节速率、从B到A的字节速率、流中的包数、流中的包速率、从A到B的包数、从B到A的包数、从A到B的包速率和从B到A的包速率；其中，A、B代表通信双方。

5.如权利要求1所述的方法，其特征在于，采用二分查找的方法根据flow文件的流量包序号集合从pcap文件中还原业务数据。

6.如权利要求1所述的方法，其特征在于，使用libpcap对包进行解析后，使用一个结构体记录包的序号；所述判别分类器为梯度提升树模型。

7.一种加密流量类别检测系统，其特征在于，包括流量预处理模块、组流模块、特征生成模块和分类检测模块；其中：

组流模块，用于对加密流量进行组流，将不同通信流的pcap包记录在不同的flow文件中；

流量预处理模块，用于基于流量统计特征，对pcap包进行过滤，保留加密流量协议承载的业务流包；

特征生成模块，用于从所述业务流包中提取业务数据，得到每一通信流的会话内容；然后基于通信流的流量统计特征，得到对应通信流的时序特征；以及利用层次化加密流量内容表示模型对所述会话内容进行降维表示，得到通信流的内容特征；其中，所述层次化加密流量内容表示模型包括三个层次；首先对会话流内容进行分组，分别通过第一层次的GRU网络结构，学习到局部的内容特征表示；然后将第一层次的输出输入到第二层次的GRU网络结构，学习到全局的内容特征表示，然后将第二层次的输出输入到第三层次的全连接层，得到会话内容的内容特征

分类检测模块，用于对每一通信流的时序特征和内容特征进行分类，得到对应流量的分类标签。