CN114079579B

CN114079579B - 一种恶意加密流量检测方法及装置

Info

Publication number: CN114079579B
Application number: CN202111237361.4A
Authority: CN
Inventors: 王晓敏; 庞瑞
Original assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Current assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Priority date: 2021-10-21
Filing date: 2021-10-21
Publication date: 2024-03-15
Anticipated expiration: 2041-10-21
Also published as: CN114079579A

Abstract

本公开提出了一种恶意加密流量检测方法及装置，其中恶意加密流量检测方法包括：获取网络流量数据；基于网络模型对网络流量数据进行识别，并确定所述网络模型对网络流量数据的识别错误率；在所述识别错误率满足第一预设条件的情况下，记录在后获取的网络流量数据，并确定所述网络模型对在后的网络流量数据的识别错误率；在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型。本公开的方法解决了网络模型在线上使用时对数据的适用性问题，有效保证了网络模型对新型恶意流量数据的检出效果。

Description

一种恶意加密流量检测方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意加密流量检测方法及装置。

背景技术

一般情况下，将机器学习模型部署到生产环境时，机器学习模型的预测性能往往会下降。因此，需要设置特定于机器学习模型的监视解决方案和工作流程来启用模型重新训练，从而为性能下降做好准备。虽然重新训练的频率因具体问题而异，但应该制定一个策略，随着新数据的检测，该策略定期对模型进行重新训练。现有的定期训练的方式在实际应用中在定期的周期内容易漏检了很多的恶意流量，模型的反应灵敏度达不到使用的需求。

发明内容

本发明实施例提供一种恶意加密流量检测方法及装置，用以提高模型对新的恶意流量的反应灵敏度，提高恶意流量检测的自适应性。

第一方面，本发明实施例提供一种恶意加密流量检测方法，包括：

获取网络流量数据；

基于网络模型对网络流量数据进行识别，并确定所述网络模型对网络流量数据的识别错误率；

在所述识别错误率满足第一预设条件的情况下，记录在后获取的网络流量数据，并确定所述网络模型对在后的网络流量数据的识别错误率；

在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型。

在一些实施例中，基于网络模型对网络流量数据进行识别包括：

将网络流量数据输入所述网络模型，以确定网络流量数据为恶意流量的概率；

在所述网络模型输出的概率大于第一阈值的情况下，对相应的网络流量数据进行告警；

确定所述网络模型对网络流量数据的识别错误率包括：

确定告警的网络流量数据中是否存在误报数据；

基于所述误报数据确定所述网络模型对网络流量数据的识别错误率。

在一些实施例中，对相应的网络流量数据进行告警还包括：

提取误报数据中的TLS协议的证书的校验码，基于所述校验码与误报库中的校验码进行匹配，在匹配不成功的情况下，对相应的网络流量数据进行告警。

在一些实施例中，在所述识别错误率超过第一阈值的情况下，记录在后获取的网络流量数据包括：按照时间顺序持续获取在后的网络流量数据。

在一些实施例中，所述第一预设条件包括如下中的一种：

所述识别错误率变化的置信度达到第一级别；

所述识别错误率超过第二阈值。

在一些实施例中，所述第二预设条件包括：

在预设时段内，所述预设网络模型对在后的网络流量数据的识别错误率持续高于所述第二阈值，且，识别错误率达到第二级别。

在一些实施例中，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型包括：

基于在后的网络流量数据训练网络模型；

将训练获得的网络模型用于检测新输入的网络流量数据，并计算网络模型分类错误的概率，将该分类错误的概率作为错误率；

基于后续输入的网络流量数据以及所述第一预设条件以及所述第二预设条件确定所述网络模型是否漂移。

在一些实施例中，基于在后的网络流量数据训练网络模型包括：

在原始的训练样本中加入误报库中的数据以及所述第一预设条件与所述第二预设条件之间的数据，以获得目标训练集；

保持训练过程中的特征、模型算法和参数不变，基于所述目标训练集，对所述网络模型进行训练。

第二方面，本发明实施例提供一种恶意加密流量检测装置，所述恶意加密流量检测装置包括：

流量获取单元，获取网络流量数据；

误报记录单元，基于网络模型对网络流量数据进行识别，并确定所述网络模型对网络流量数据的识别错误率；

概念漂移监测单元，在所述识别错误率满足第一预设条件的情况下，记录在后获取的网络流量数据，并确定所述网络模型对在后的网络流量数据的识别错误率；

模型再训练单元，被配置为在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型。

第三方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现本公开各实施例所述的恶意加密流量检测方法的步骤。

本发明实施例基于识别错误率满足第一预设条件之后，通过在后的网络流量数据来更新网络模型，从而能够及时地调整模型的识别方向，提高对恶意网络流量的识别效果。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本公开的恶意加密流量检测方法的基本流程图；

图2为本公开实施例的网络模型更新训练的流程示意图；

图3为本公开实施例的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供一种恶意加密流量检测方法，如图1所示，包括如下步骤：

S101、获取网络流量数据。本示例中，获取网络流量数据可以通过TLS数据传输模块实现。TLS数据传输模块可以是软件模块也可以是硬件模块也可以是软件与硬件的结合。所获取的网络流量数据可以是携带数据信息的完整双向网络流量，本示例中所指的网络流量可以包括恶意加密流量和正常加密流量。TLS数据传输模块可以将TLS流量数据按一定大小或按时间间隔分批次传入检测系统。网络流量数据传输到检测系统之前还可以进行流量过滤，提取符合条件的网络流量数据。例如符合条件的流量数据可以为：网络流量数据应皆为TLS加密流量、流量是一个双向流量包含完整的TLS握手过程。

在获取到网络流量数据之后，可以在步骤S102中基于网络模型对网络流量数据进行识别，并确定所述网络模型对网络流量数据的识别错误率。

基于网络模型对网络流量数据进行识别可以采用如下步骤：

通过数据处理模块，提取网络流量数据的特征，并执行数据处理步骤。提取网络流量数据的特征包括流特征、TLS握手特征和证书特征。所述流特征至少包括输入报文包数量、输出报文包数量、输入tcp报文负载总长度、输出tcp报文负载总长度、报文之间时间间隔。

TLS握手特征至少包括TLS版本号、客户端公钥长度、客户端的扩展、服务器端的扩展、客户端的密码套件和服务器端的密码套件。

证书特征至少包括证书链长度、证书有效期、是否为自签名证书。

提取特征后的数据可能会存在缺失项，例如客户端和服务器的扩展、证书相关特征等，需要对缺失项进行处理。上述缺失项的处理方法可以包括：把可能存在缺失值的特征项映射到高维空间，比如证书的自签名证书存在：自签名证书、不是自签名证书、无证书3种情况，则映射成是否为自签名证书、是否不是自签名证书、是否无证书3个变量，从而完整保留原始数据的信息。

然后基于提取到的网络流量数据的特征通过网络模型来进行检测，本示例中所指的网络模型可以是各种机器学习模型，如CNN、SVM等等，在此不做一一限定。通过网络模型可以检测出流量数据为恶意的概率。基于此将上述提取到的网络流量数据的特征输入到网络模型中，输出即为流量数据为恶意的概率，当恶意概率大于设定的预设阈值时，判定所述流量数据为恶意，预设阈值可以根据实际情况进行设定。当判定数据为恶意时，通过预设路径发送携带有恶意数据信息的告警。在告警的过程中本公开的方法进一步对抗实时数据与模型训练集的分布差异、实时数据随时间产生的分布变化等因素导致的模型过时。本公开的方法进一步对误报进行记录，例如可以设置误报记录单元，安全研究员可以对上述发出告警的网络流量数据进行分析，判断上述发出告警的网络流量数据中是否存在白流量(非恶意流量)。将上述分析结果为白流量的数据作为误报数据，由此可以检测一定时间段内流量数据的总体错误率是否显著增加，识别错误率是指被分类为错误类的数据在所有检测数据中的占比，即错误分类的概率。

对于错误率设置两个预设条件，在步骤S103中在所述识别错误率满足第一预设条件的情况下，记录在后获取的网络流量数据，并确定所述网络模型对在后的网络流量数据的识别错误率。其中第一预设条件可以被配置为所述识别错误率变化的置信度达到第一级别，该第一级别也可以被设置为预警级别，也可以是所述识别错误率超过第二阈值。当新数据的错误率变化的置信度达到预警级别时，开始记录此后传入的新数据。如果在预警之后接连输入的数据没有让错误率降低，并且当某个新数据输入时错误率达到了漂移级别，则确定新数据的样本概率分布发生了变化，为了适应新的样本数据，触发模型进行再训练，并用新训练的模型代替旧模型；而如果接连输入的网络流量数据让错误率降低了，则说明是一个假预警，可以不进行模型更新。通过这样的设置能够在网络模型的识别错误率在符合需求的情况下，继续通过当前的网络模型进行检测，超过设定的阈值或者置信度阈值则可能需要进行模型更新。

在步骤S104中在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型。

通过设置第一预设条件和第二预设条件，能够有效判断出虚警、假警，并且能够通过更新网络模型来调整网络模型对网络流量数据的识别方向，从而彻底改变现有技术中定期进行模型更新所存在的灵敏度不足的问题。

在一些实施例中，基于网络模型对网络流量数据进行识别包括：将网络流量数据输入所述网络模型，以确定网络流量数据为恶意流量的概率；在所述网络模型输出的概率大于第一阈值的情况下，对相应的网络流量数据进行告警。作为一种具体的识别恶意流量的方式，可以按照前述步骤将处理好的网络流量数据输入到训练好的网络模型中，网络模型输出上述处理后的流量数据为恶意的概率，当恶意概率大于设定的阈值时，可以判定所述流量数据为恶意，阈值根据实际情况进行设定。当判定数据为恶意时，通过预设路径发送携带有恶意数据信息的告警。

由于模型并不能百分之百区分正确，在一些实施例中，确定所述网络模型对网络流量数据的识别错误率包括：确定告警的网络流量数据中是否存在误报数据；基于所述误报数据确定所述网络模型对网络流量数据的识别错误率。

在一些实施例中，对相应的网络流量数据进行告警还包括：提取误报数据中的TLS协议的证书的校验码，基于所述校验码与误报库中的校验码进行匹配，在匹配不成功的情况下，对相应的网络流量数据进行告警。例如具体的校验码可以是sha1值，具体实施过程中可以对上述发出告警的流量数据进行分析，判断上述发出告警的流量数据中是否存在白流量(即将正常流量识别为了恶意流量)。将上述分析结果为白流量的数据作为误报数据。提取上述误报数据中TLS协议的证书sha1值，将上述sha1值记录在误报库中。可选地，在做出告警动作之前，判断被检测的流量数据的证书sha1值是否能匹配到误报库中的sha1值，仅当上述sha1值匹配不成立时做出告警动作。

在一些实施例中，在所述识别错误率超过第一阈值的情况下，记录在后获取的网络流量数据包括：按照时间顺序持续获取在后的网络流量数据。具体的可以在通过网络模型对网络流量数据进行连续识别的过程中，在识别错误率超过第一阈值后，即可按照时间顺序持续获取在后的网络流量数据。对于没有超过第一阈值的流量数据，无需记录，从而降低磁盘的负载，减少数据处理的量。而按照时间顺序持续获取在后的网络流量数据，此部分可能为已经发生了流量数据的漂移，记录后可以用于后续的网络模型的训练和更新。

在一些实施例中，所述第二预设条件包括：在预设时段内，所述预设网络模型对在后的网络流量数据的识别错误率持续高于所述第二阈值，且，识别错误率达到第二级别。示例性的，第二级别可以是漂移级别，如果在预警级别(第一级别)之后接连输入的数据没有让错误率降低，并且当某个新数据输入时错误率达到了漂移级别(第二级别)，则确定新输入的网络流量数据的样本概率分布发生了变化，为了适应新的样本数据，可以触发模型进行再训练，并用新训练的模型代替旧模型。而如果在后输入的流量数据让错误率降低了，则说明是一个假预警，可以继续沿用当前的网络模型。

在步骤S201中基于在后的网络流量数据训练网络模型。例如可以基于前述记录的在后的网络流量数据训练网络模型，从而能够将记录的网络流量数据转换为学习模型。

在步骤S202中将训练获得的网络模型用于检测新输入的网络流量数据，并计算网络模型分类错误的概率，将该分类错误的概率作为错误率。也即可以利用上述训练的网络模型(分类器)检测新的流量数据，计算分类器得到错误的检测结果的概率，将其作为错误率。

在步骤S203中基于后续输入的网络流量数据以及所述第一预设条件以及所述第二预设条件确定所述网络模型是否漂移。也即可以基于预设条件判断流量数据是否漂移，该第一预设条件可以按照实际需要设置，可以与在先的比例不同，例如可以设置新数据的错误率变化的置信度低于95％置信区间为预警级别，低于99％置信区间为漂移级别。

保持训练过程中的特征、模型算法和参数不变，基于所述目标训练集，对所述网络模型进行训练。当上述数据达到漂移级别时触发模型再训练，模型再训练时特征、模型算法和超参数都保持不变，只更新训练数据。更新后的训练数据包括原始训练数据加入上述误报库中的数据以及上述预警级别和漂移级别之间的数据。再训练后的网络模型可以用于更新和替换线上的网络模型。

本公开的方法解决模型在线上使用时对数据的适用性问题，有效保证了网络模型对新型恶意数据的检出效果。本公开的方法提出的模型再训练数据集来源于更新较快的恶意流量数据和模型的误报数据，在提升模型检测新流量数据能力的同时保证模型的低误报率。

如图3所示本公开还提出一种恶意加密流量检测方法的实施案例，

TLS数据传输模块每采集5000条及以下五元组数据，即向检测系统传入。五元组包括源IP、目的IP、源端口、目的端口、协议。

数据处理模块，用于过滤传入的流量数据，过滤后的数据为TLS加密的、双向的且包含完整的TLS握手过程的流量数据。提取特征，包括流特征、TLS握手特征和证书特征。流特征包括输入报文包数量、输出报文包数量、输入tcp报文的负载总长度、输出tcp报文的负载总长度、报文之间时间间隔；TLS握手特征包括TLS版本号、客户端公钥长度、客户端和服务器端的扩展、客户端和服务器端的密码套件；证书特征包括自签名证书。进行特征编码，其中客户端的扩展、服务器的扩展以及自签名证书会存在缺失项，在编码时把这些特征映射到高维空间。自签名证书特征共3维：是否是自签名证书、是否不是自签名证书、是否有证书；客户端扩展和服务器扩展特征分别有17维：选取16个常用扩展字段进行独热编码，再加一维是否有扩展项。

模型再训练模块包括：误报记录单元、概念漂移监测单元和模型再训练单元，其中误报记录单元，提取流量数据的证书sha1值，进行误报库匹配。如果流量数据匹配到证书sha1误报库，则判定该流量数据为白流量。

恶意加密流量检测模块，如果没有匹配到误报库，则将流量数据输入到训练好的模型中。模型输出流量数据为恶意的概率，当恶意概率大于设定的阈值时，判定所述流量数据为恶意，通过预设路径发送所述流量数据的五元组信息进行告警。

定期对告警数据进行人工检测，检测其中是否存在误判的白流量，并提取误判白流量的证书sha1值记录到误报库中。

概念漂移监测单元，定期进行漂移检测，按时间顺序连续采集100个实时传入检测系统的流量数据，将100个流量数据作为训练数据训练贝叶斯分类器(网络模型)。

利用训练好的分类器，对后续传入系统的流量数据进行检测。同时分类器检测第i条数据k_i时，计算此前所有分类结果中，错误分类结果的概率，即错误率p_i，

p_i＝n_error/N

其中，N为检测数据的数量，n_error为错误的检测结果的数量。

计算分类器检测第i条数据k_i时的错误率标准差s_i，

s_i＝sqrt(p_i(1-p_i)/i)

计算p_i+s_i，当p_i+s_i<p_min+s_min时，更新p_min和s_min。

设置错误率p超出95％置信区间为预警级别(第一级别)，超出99％置信区间为漂移级别(第二级别)。当检测到当k_w数据的p_w＞预警级别的阈值时，数据达到预警级别，k_d数据数据的p_d＞漂移级别的阈值时，进行模型再训练。

预警级别的阈值＝p_min+2s_min

漂移级别的阈值＝p_min+3s_min

获得新的训练数据：在原有训练数据的基础上，加入k_w到k_d之间的数据，以及误报库中的数据。

模型再训练单元，基于新的训练数据，对模型进行再训练，在少量实时流量数据测试通过后，将再训练后的模型部署到线上。

由于恶意软件更新迭代速度快，发生概念漂移的数据大多为恶意数据。本公开的方法的网络模型再训练的训练数据中加入误报数据，能够在提升模型检测恶意流量能力的同时，降低模型的误报。本公开的方法有效提升了恶意加密流量检测的网络模型对新数据的适用性。

流量获取单元，获取网络流量数据；

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

Claims

1.一种恶意加密流量检测方法，其特征在于，包括：

获取网络流量数据；

在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型；

基于网络模型对网络流量数据进行识别包括：

确定所述网络模型对网络流量数据的识别错误率包括：

确定告警的网络流量数据中是否存在误报数据；

基于所述误报数据确定所述网络模型对网络流量数据的识别错误率；

所述第一预设条件包括如下中的一种：

所述识别错误率变化的置信度达到第一级别；

所述识别错误率超过第二阈值；

所述第二预设条件包括：

2.如权利要求1所述的恶意加密流量检测方法，其特征在于，对相应的网络流量数据进行告警还包括：

3.如权利要求1所述的恶意加密流量检测方法，其特征在于，在所述识别错误率超过第一阈值的情况下，记录在后获取的网络流量数据包括：按照时间顺序持续获取在后的网络流量数据。

4.如权利要求1所述的恶意加密流量检测方法，其特征在于，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型包括：

基于在后的网络流量数据训练网络模型；

5.如权利要求4所述的恶意加密流量检测方法，其特征在于，基于在后的网络流量数据训练网络模型包括：

6.一种恶意加密流量检测装置，其特征在于，所述恶意加密流量检测装置包括：

流量获取单元，获取网络流量数据；

模型再训练单元，被配置为在所述预设网络模型对在后的网络流量数据的识别错误率在预设时段内满足第二预设条件的情况下，基于记录的在后的网络流量数据对所述网络模型进行训练，以更新所述网络模型；

基于网络模型对网络流量数据进行识别包括：

确定所述网络模型对网络流量数据的识别错误率包括：

确定告警的网络流量数据中是否存在误报数据；

所述第一预设条件包括如下中的一种：

所述识别错误率变化的置信度达到第一级别；

所述识别错误率超过第二阈值；

所述第二预设条件包括：

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的恶意加密流量检测方法的步骤。