CN112738039A

CN112738039A - 一种基于流量行为的恶意加密流量检测方法、系统及设备

Info

Publication number: CN112738039A
Application number: CN202011502419.9A
Authority: CN
Inventors: 陈双武; 程思雨; 马元懿; 杨锋; 杨坚; 张勇东
Original assignee: Beijing Zhongke Research Institute; University of Science and Technology of China USTC
Current assignee: Beijing Zhongke Research Institute; University of Science and Technology of China USTC
Priority date: 2020-12-18
Filing date: 2020-12-18
Publication date: 2021-04-30
Anticipated expiration: 2040-12-18
Also published as: CN112738039B

Abstract

本发明公开了一种基于流量行为的恶意加密流量检测方法、系统及设备，不需要对数据包进行过多的人工分析，只需要提取数据包的统计特征和SSL(Secure Sockets Layer，SSL)/TLS(Transport Layer Security，TLS)协议字段的部分信息，利用深度神经网络进行特征处理得到隐含特征，进而进行加密流量检测，并通过指纹信息调整检测结果；不仅提升了检测效率，还提高了恶意流量检测的准确率。

Description

一种基于流量行为的恶意加密流量检测方法、系统及设备

技术领域

本发明涉及计算机网络与网络空间安全领域，尤其涉及一种基于流量行为的恶意加密流量检测方法、系统及设备。

背景技术

随着互联网应用规模的扩大，对网络安全风险防范的意识不断增强，越来越多的应用通过加密手段实现数据隐私保护，网络中加密流量占比越来越高。与此同时，攻击者也通过加密手段隐藏自己的信息，使用加密通信的恶意代码、加密信道的恶意攻击层出不穷，这给传统的基于规则的流量检测方法带来了巨大挑战。

目前主流的加密流量攻击检测手段有两种：解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为，但这种解方法会消耗大量的资源，成本很高，同时也违反了加密的初衷，解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量，不解密进行流量检测的方法逐渐被业界研究人员关注起来，这种方法无需对其进行解密，通过利用已经掌握的数据资源，对加密流量进行判别。

传统不解密流量检测方法主要基于五元组信息。但是在当前网络环境中，随着端口跳变技术、动态端口技术、隧道技术的提出与使用，使得基于端口等五元组信息的流量检测方法已经无法满足检测需求。

发明内容

本发明的目的是提供一种基于流量行为的恶意加密流量检测方法、系统及设备，有效的利用加密流量的行为特征，充分利用了加密对流量协议与数据长度的影响，提高了恶意流量检测的准确率。

本发明的目的是通过以下技术方案实现的：

一种基于流量行为的恶意加密流量检测方法，包括：

从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征，并对特征进行编码；

通过深度神经网络从编码后的流量行为分布中提取隐含特征，并结合编码后的SSL/TLS协议信息进行分类检测；

结合指纹信息进行匹配，从而对分类检测结果进行调整，得到最终的分类检测结果。

一种基于流量行为的恶意加密流量检测系统，用于实现前述的方法，该系统包括：

特征提取单元，用于从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征，并对特征进行编码；

深度神经网络，包括编码器与解码器、以及全连接的MLP网络；所述编码器与解码器从编码后的流量行为分布中提取隐含特征；全连接的MLP网络，结合隐含特征与编码后的SSL/TLS协议信息进行分类检测；

指纹信息匹配单元，用于结合指纹信息进行匹配，从而对分类检测结果进行调整，得到最终的分类检测结果。

一种基于流量行为的恶意加密流量检测设备，设备部署在网关节点与防火墙之间，设备中配置了前述的系统，并包含报警器；当通过系统检测到恶意流量时，驱动报警器发出报警信号。

由上述本发明提供的技术方案可以看出，不需要对数据包进行过多的人工分析，只需要提取数据包的统计特征和SSL(Secure Sockets Layer，SSL)/TLS(Transport LayerSecurity，TLS)协议字段的部分信息，利用深度神经网络进行特征处理得到隐含特征，进而进行加密流量检测，并通过指纹信息调整检测结果；不仅提升了检测效率，还提高了恶意流量检测的准确率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种基于流量行为的恶意加密流量检测方法的流程图；

图2为本发明实施例提供的深度神经网络框架示意图；

图3为本发明实施例提供的GRU框架示意图；

图4为本发明实施例提供的bi-GRU网络框架示意图；

图5为本发明实施例提供的全连接的MLP网络示意图；

图6为本发明实施例提供的恶意加密流量检测设备的防御场景示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种基于流量行为的恶意加密流量检测方法，如图1所示，其主要包括如下三个步骤：

1、从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征，并对特征进行编码。

2、通过深度神经网络从编码后的流量行为分布中提取隐含特征，并结合编码后的SSL/TLS协议信息进行分类检测。

3、结合指纹信息进行匹配，从而对分类检测结果进行调整，得到最终的分类检测结果。

相较于其他机器学习的方法，本发明实施例上述方案，不用对数据包进行过多分析，提取特征相对简单，只有流量行为分布以及SSL/TLS协议段的部分信息，使用常见的深度神经网络模型，并且利用了指纹信息提高检测准确率，算法简单高效。

为了便于理解，下面针对上述方案的各个步骤的优选实施方式做相关的介绍。

一、特征提取。

待检测的流量数据包中包含SSL/TLS数据流量和网络背景流量，本发明实施例中，考虑从流量行为分布、SSL/TLS握手信息和SSL/TLS证书信息三个维度来刻画正常流量与异常流量。

1、流量行为分布。

不同的软件在数据通信上具有不同的行为分布，功能相似的软件在数据通信上具有类似的行为分布。正常的通信，如搜索网页通常是客户端向服务器端发送少量的请求数据包，然后服务器端回复大量的响应包。但是恶意软件进行数据窃取和回传时，客户端向服务器端发送大量的数据包，而服务器端只回复少量的控制命令。相同目的的客户端与服务端之间通信的控制信息的报文行为总是相似的，且具有较好的平稳性和区分度。流量的行为特征并不会因为数据的加密而变得不可见或被改变，因此流量的行为分布同样适用于加密流量的检测。

基于上述原理，本发明实施例中，将流量包长分布的行为分布作为流量行为分布，包括：双向数据包长度信息，即客户端发出的、以及接收的前n个数据包长度信息；双向应用层数据包长度信息，即客户端发出的、以及接收的前n个应用数据包长度信息。示例性的，n可以为32。

2、SSL/TLS握手信息。

数据流量是否是恶意流量不仅仅取决于其通信内容，也取决于其数据报文头部信息，加密流量的通信内容无法作为可辨识的特征，因此本发明着重考虑了流量样本中的数据报文头部行为特征。在TLS建立连接的过程中，不同的软件使用不同的加密协议版本，恶意软件针对特定协议漏洞使用不用的协议版本，一定程度上反映了攻击行为的特征，因此，加密协议版本可以作为一个特征。同时正常流量与恶意流量中的加密警报(EncryptedAlert)数据包数量、SSL客户端握手(Client Hello)数据包数量、客户端提供的加密套件数量、非签发机构(CA)证书的最大生命周期、客户端握手扩展(Client Hello Extension)数量、以及服务器端握手扩展(Server Hello Extension)数量的分布有着明显的差异，因此上述特征可以作为SSL/TLS握手阶段的重要特征。

3、SSL/TLS证书信息。

服务器端证书信息对于区分正常和恶意流量有着重要的作用，如恶意流量的证书多采用自签名的方式。本发明对服务器端证书行为特征进行了挖掘，主要选用如下的特征：证书是否自签名、证书是否过期、证书的最大生命周期、最大证书链长度、以及首个服务器证书拥有者名称，上述特征可以作为SSL/TLS证书信息的重要特征。

基于此，提取的特征描述如表1所示。

表1特征描述

如图表1中所示，每条数据流中提取140维的特征，包括双向数据包长度信息(1-64)，双向应用层数据包长度信息(65-128)、SSL/TLS握手信息和SSL/TLS证书信息(129-140)。完成特征提取后使用one-hot等编码方式对提取出的特征进行编码。

值得注意的是，表1中所示的特征维度数值仅为举例，具体维度数值可根据实际情况进行设定。

二、深度神经网络模型。

深度神经网络框架如图2所示，主要包含两部分，分别是长短期记忆网络(LongShort-Term Memory，LSTM)和全连接的多层感知器(Multi-Layer Perceptron，MLP)。LSTM网络用于处理流量包长分布的行为特征，提取隐含特征，将隐含特征与编码后的SSL/TLS握手信息和SSL/TLS证书信息拼接后用MLP网络得出检测结果。

1、LSTM网络。

对于时序序列[l₁,l₂,……,l_t]，利用LSTM的门控递归单元(GRU)如图3所示，进行特征处理，以获取隐含特征h_t(包含l₁,…,l_t的隐含信息)。

其中：

r_t＝σ(W_r[l_t,h_t-1]+b_r)

u_t＝σ(W_u[l_t,h_t-1]+b_u)

r_t确定过去状态信息对当前状态有多大贡献，并丢弃不相关和无用的信息,u_t控制保存了有多少来自先前隐藏状态的信息以及添加了多少新信息,

为候选隐藏信息，h_t为新隐藏信息，W和b为可学习的参数，

为S型函数，

为双曲正切函数，⊙为元素积。

而考虑到本发明中提取的四种包长度序列的时序性和双向交互性，将采用双向GRU(bi-GRU)来提取隐含特征，框架如图4所示，包括编码器与解码器，对于编码后的单个包长序列，通过编码器提取隐含特征构成了包含整个包长序列的双向特征z_e，再通过解码器得到基于解码器的双向特征z_d，最终将两组双向特征组合得到单个包长序列的复合特征z。

1)编码器。

所述编码器通过多层的双向长短记忆网络实现；编码后的单个包长序列记为l′＝[l₁,l₂,……,l_n]，其中，n为包长序列中信息数目。

每一双向长短记忆网络包含一个前向长短记忆网络

从l₁读到l_n；以及一个反向长短记忆网络

从l_n读到l₁，则：

其中，

和

分别是基于编码器的前向隐含特征和后向隐含特征，初始隐含特征

和

为0，t为包长序列中信息的索引；将前向隐含特征

和后向隐含特征

串联起来，得到汇总特征

将第i-1层双向长短记忆网络得到汇总特征记为

并输入至第i层双向长短记忆网络，则：

其中，

与

分别为第i层双向长短记忆网络的前向隐含特征和后向隐含特征，初始隐含特征

和

为0；当i＝1时，

将所有层的双向长短记忆网络的输出串联起来，得到包含整个包长序列的双向特征z_e：

其中，J为编码器中双向长短记忆网络的层数。

2)解码器。

所述解码器与编码器类似，也是通过多层的双向长短记忆网络实现；每一双向长短记忆网络包含一个前向长短记忆网络

与一个反向长短记忆网络

第一层双向长短记忆网络的输入为编码器输出的双向特征z_e，得到基于解码器的前向隐含特征

和后向隐含特征

其中，n为包长序列中信息数目，t为包长序列中信息的索引；

与编码器中类似的，上一层双向长短记忆网络的输出作为下一层双向长短记忆网络的输入，最终将所有层的双向长短记忆网络的输出串联起来，得到基于解码器的双向特征z_d：

其中，J为解码器中双向长短记忆网络的层数，上标中括号内部的数值为双向长短记忆网络的层数序号。

最终将两组双向特征组合得到单个包长序列的复合特征z′：

z′＝[z_e,z_d,z_e⊙z_d,|z_e-z_d|]

其中，⊙是元素积，|·|是绝对值。

2、全连接的MLP网络。

将所有包长序列的复合特征拼接得到总的复合特征z，并与编码后的SSL/TLS协议信息x(即SSL/TLS握手信息和SSL/TLS证书信息)拼接为一个向量z_x，再通过如图5所示的全连接的MLP网络进行分类，最终通过softmax函数输出得到恶意流量与正常流量的分类结果。

3、模型参数优化。

深度神经网络包括编码器与解码器、以及全连接的MLP网络，因此，需要对三个网络一起进行训练，具体可以利用随机梯度下降法对参数θ进行优化更新。

编码器与解码器、以及全连接的MLP网络在训练阶段的损失函数表示为：

L(θ,l,x)＝L_C+L_R

L_C＝-[clog(y₀)+clog(y₁)]

L_R＝(z-l)²

其中，l为所有包长序列的组合，L_C为分类误差，L_R为重构误差；y为模型通过softmax函数得到的结果向量，具体的y₀是正常流量的概率，y₁是恶意流量的概率；c为分类标签；θ为编码器与解码器、以及全连接的MLP网络的参数。

三、指纹匹配。

为进一步提高监测的准确率，本发明利用了恶意客户端或者与其交互的服务器存在的一定指纹信息进行规则匹配，即某些属性只存在于正常/恶意客户端流量中。

所使用的指纹信息主要包括：客户端指纹信息与服务器指纹信息。其中，客户端指纹信息包括：客户端发送首个数据包长度，客户端提供的加密套件长度等；服务器指纹信息包括：服务器证书拥有者名称，服务器选择的加密算法等。将某些只在黑样本(恶意流量样本)或者只在白样本(正常流量样本)中存在的行为定义为强规则，通过客户端指纹信息与服务器指纹信息与强规则的匹配对分类检测结果进行调整，得到最终的分类检测结果，这样操作可以有效提高监测准确率。

本发明另一实施例还提供一种基于流量行为的恶意加密流量检测系统，该系统用于实现前述方法实施例的相关方案，该系统包括：

该系统各部分的具体实现细节请参见前述方法实施例，不再赘述。

随着网络技术的不断发展以及广泛应用，企业网作为最广泛的应用网络，承受着越来越多的攻击。而且互联网上80％的流量都使用了加密技术，加密恶意流量已占恶意流量的绝大部分。企业网既要抵御来自外网的恶意软件攻击，又要确保业务应用的畅通。本发明提出的方法可以很好地部署在企业网入口处的智能安全设备上，对进出企业网的流量进行实时防护，及时发现恶意流量，保证企业不被恶意入侵。基于此，本发明实施例还提供一种基于流量行为的恶意加密流量检测设备，设备部署在网关节点与防火墙之间，设备中配置了前述的系统，并包含报警器；当通过系统检测到恶意流量时(采用前述方法实施例中的方案实现)，驱动报警器发出报警信号。

整个设备集合高性能网络数据包抓取、基于流量行为的恶意流量检测方法与实时检测报警机制与一体，如图6所示的防御场景，该设备称为智能安全设备部署在网关节点与防火墙之间，用于高效地检测网络流量中的恶意加密流量。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将系统的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种基于流量行为的恶意加密流量检测方法，其特征在于，包括：

2.根据权利要求1所述的一种基于流量行为的恶意加密流量检测方法，其特征在于，所述流量行为分布为流量包长分布的行为分布，包括：双向数据包长度信息，即客户端发出的、以及接收的前n个数据包长度信息；双向应用层数据包长度信息，即客户端发出的、以及接收的前n个应用数据包长度信息。

3.根据权利要求1所述的一种基于流量行为的恶意加密流量检测方法，其特征在于，所述深度神经网络包括：编码器与解码器、以及全连接的MLP网络；

所述编码器与解码器，用于提取隐含特征；编码器的输入为编码后的流量行为分布，所述流量行为分布包含若干包长序列，编码后的单个包长序列通过编码器提取隐含特征构成了包含整个包长序列的双向特征z_e，再通过解码器得到基于解码器的双向特征z_d，最终将两组双向特征组合得到单个包长序列的复合特征z′：z′＝[z_e，z_d，z_e⊙z_d，|z_e-z_d|]；其中，⊙是元素积，|·|是绝对值；

全连接的MLP网络，用于实现分类检测；将所有包长序列的复合特征拼接得到总的复合特征z，并与编码后的SSL/TLS协议信息拼接为一个向量z_x，再通过全连接的MLP网络进行分类，最终通过softmax函数输出得到恶意流量与正常流量的分类结果。

4.根据权利要求3所述的一种基于流量行为的恶意加密流量检测方法，其特征在于，

所述编码器通过多层的双向长短记忆网络实现；编码后的单个包长序列记为l′＝[l₁，l₂，......，l_n]，其中，n为包长序列中信息数目；

每一双向长短记忆网络包含一个前向长短记忆网络