CN115314265A - 基于流量和时序识别tls加密应用的方法和系统 - Google Patents
基于流量和时序识别tls加密应用的方法和系统 Download PDFInfo
- Publication number
- CN115314265A CN115314265A CN202210890822.6A CN202210890822A CN115314265A CN 115314265 A CN115314265 A CN 115314265A CN 202210890822 A CN202210890822 A CN 202210890822A CN 115314265 A CN115314265 A CN 115314265A
- Authority
- CN
- China
- Prior art keywords
- feature
- time sequence
- flow
- module
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 239000013598 vector Substances 0.000 claims abstract description 66
- 238000007637 random forest analysis Methods 0.000 claims abstract description 15
- 210000002569 neuron Anatomy 0.000 claims description 47
- 238000003066 decision tree Methods 0.000 claims description 19
- 238000012549 training Methods 0.000 claims description 18
- 230000006835 compression Effects 0.000 claims description 15
- 238000007906 compression Methods 0.000 claims description 15
- 238000000605 extraction Methods 0.000 claims description 9
- 238000009825 accumulation Methods 0.000 claims description 8
- 230000015654 memory Effects 0.000 claims description 7
- 238000013528 artificial neural network Methods 0.000 claims description 6
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 238000005070 sampling Methods 0.000 claims description 6
- 230000009466 transformation Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims description 2
- 239000011159 matrix material Substances 0.000 claims description 2
- 238000001514 detection method Methods 0.000 abstract description 10
- 238000010586 diagram Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
- H04L2209/463—Electronic voting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于流量和时序识别TLS加密应用的方法和系统,通过根据客户端发送的流量数据是否携带业务载荷或携带的握手信息是否完整,可以快速筛查出恶意代码;通过提取出流量数据的时序特征和空间特征,进行随机森林分类,可以全方面检测并快速突出所需的特征向量,利用整合的不同的分类能力,克服了现有技术恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测,以及需要在新加密协议TLS1.3一次往返过程中完成识别检测的问题。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于流量和时序识别TLS加密应用的方法和系统。
背景技术
随着流量加密技术的不断发展,加密流量逐渐取代非加密流量成为当前网络的主流,其在保护用户隐私的同时,也常被各种恶意软件用来规避传统的基于端口或载荷关键词的入侵检测系统,给网络安全带来了严重威胁。为了实现网络加密环境下的恶意加密流量精确检测,有必要提出一种针对流量加密的识别检测方法和系统。
同时,新出现的TLS1.3加密协议与之前的TLS1.2加密协议相比,加密连接速度更快了,不再需要两次往返的握手过程,只需要一次往返即可完成握手。这使得在新加密协议TLS1.3使用场景中,识别检测速度要更快更高效,从而在握手成功前发现恶意代码的存在。
因此,急需一种针对性的基于流量和时序识别TLS加密应用的方法和系统。
发明内容
本发明的目的在于提供一种基于流量和时序识别TLS加密应用的方法和系统,解决恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测,以及需要在新加密协议TLS1.3一次往返过程中完成识别检测的问题。
第一方面,本申请提供一种基于流量和时序识别TLS加密应用的方法,所述方法包括:
获取客户端的流量数据,以会话为单位将所述网络流量数据划分为不同的会话流量,提取所述会话流量的特征向量,判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整;
根据划分得到会话流量的数量,判断是否执行进一步的特征压缩,当所述会话流量的数量超过预设的阈值时,则执行特征压缩,将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块;
所述时序特征模块包括若干隐藏层神经元,所述隐藏层神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此组成双向反馈环,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行向量元素对位相加;
所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中,捕获不同流量载荷之间的时间序列关系,得到向量之间数据的长距离依赖关系,赋予向量不同的权重值,组成不同的权重矩阵Q、K、V,并行对所述权重矩阵Q、K、V进行线性变换,合并输出全局特征;
提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征,将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量;
将所述混合特征向量传输到服务器的随机森林中进行分类,随机森林进行n轮抽取,得到n个训练集,使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树,所述n棵决策树按照投票的方式得到分类结果;
根据所述分类结果判断所述客户端的流量数据中是否有恶意代码,当所述客户端的流量数据中存在恶意代码,则服务器终止TLS1.3握手过程。
第二方面,本申请提供一种基于流量和时序识别TLS加密应用的系统,所述系统包括:
预处理模块,用于获取客户端的流量数据,以会话为单位将所述网络流量数据划分为不同的会话流量,提取所述会话流量的特征向量,判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整;根据划分得到会话流量的数量,判断是否执行进一步的特征压缩,当所述会话流量的数量超过预设的阈值时,则执行特征压缩,将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块;
时序特征模块,包括若干隐藏层神经元,所述隐藏层神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此组成双向反馈环,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行向量元素对位相加;
空间特征模块,包括将全局的特征向量保存在多个局部特征矩阵中,捕获不同流量载荷之间的时间序列关系,得到向量之间数据的长距离依赖关系,赋予向量不同的权重值,组成不同的权重矩阵Q、K、V,并行对所述权重矩阵Q、K、V进行线性变换,合并输出全局特征;
分类模块,用于提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征,将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量;将所述混合特征向量传输到服务器的随机森林中进行分类,随机森林进行n轮抽取,得到n个训练集,使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树,所述n棵决策树按照投票的方式得到分类结果;
执行模块,用于根据所述分类结果判断所述客户端的流量数据中是否有恶意代码,当所述客户端的流量数据中存在恶意代码,则服务器终止TLS1.3握手过程。
第三方面,本申请提供一种基于流量和时序识别TLS加密应用的系统,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面四种可能中任一项所述的方法。
有益效果
本发明提供一种基于流量和时序识别TLS加密应用的方法和系统,通过根据客户端发送的流量数据是否携带业务载荷或携带的握手信息是否完整,可以快速筛查出恶意代码;通过提取出流量数据的时序特征和空间特征,进行随机森林分类,可以全方面检测并快速突出所需的特征向量,利用整合的不同的分类能力,克服了现有技术恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测,以及需要在新加密协议TLS1.3一次往返过程中完成识别检测的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于流量和时序识别TLS加密应用的方法的大致流程图;
图2为本发明基于流量和时序识别TLS加密应用的系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
TLS1.3是新的传输层加密协议,用于提供web浏览器和服务器之间的安全通信。TLS1.3具有速度更快,安全性更高的特点。
TLS1.3通过TLS错误启动和零往返时间0-RTT加快了加密连接的速度。简单地说,在TLS1.2中完成握手需要两次往返,使用TLS1.3只需要一次往返,反过来又将加密延迟减少了一半,所以加密连接更快了。这使得在新加密协议TLS1.3使用场景中,识别检测速度要更快更高效,从而在握手成功前发现恶意代码的存在。
同时,TLS1.2通常没有正确配置,使得网站容易受到攻击。TLS1.3从TLS1.2中删除了过时和不安全的功能,例如:SHA-1、RC4、DES、3DES、MD5等,因为协议在某种意义上更加简化,使得管理员和开发人员不太可能错误配置协议。
图1为本申请提供的基于流量和时序识别TLS加密应用的方法的大致流程图,所述方法包括:
获取客户端的流量数据,以会话为单位将所述网络流量数据划分为不同的会话流量,提取所述会话流量的特征向量,判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整;
如果会话流量的特征向量不包括业务载荷,则可以认定该会话流量与业务无关,很可能是恶意代码篡改的结果。
如果会话流量的握手信息不完整,则也可以认定该会话流量很可能是恶意代码篡改的结果。
根据划分得到会话流量的数量,判断是否执行进一步的特征压缩,当所述会话流量的数量超过预设的阈值时,则执行特征压缩,将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块;
如果所述会话流量的数量小于预设的阈值时,则可以不必执行特征压缩,直接将特征向量分别输入时序特征模块和空间特征模块。
所述特征压缩是指在已提取得到的所述会话流量的特征向量中,选择部分特异性强的特征量,以此来压缩数据量和提高运算速度。可以采用现有技术中常见的特征压缩方法。
所述时序特征模块包括若干隐藏层神经元,所述隐藏层神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此组成双向反馈环,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行向量元素对位相加;
通过上述若干隐藏层神经元组成的多层次结构实现输入混合特征向量的信息传递和长期记忆能力。
所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中,捕获不同流量载荷之间的时间序列关系,得到向量之间数据的长距离依赖关系,赋予向量不同的权重值,组成不同的权重矩阵Q、K、V,并行对所述权重矩阵Q、K、V进行线性变换,合并输出全局特征;
提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征,将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量;
将所述混合特征向量传输到服务器的随机森林中进行分类,随机森林进行n轮抽取,得到n个训练集,使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树,所述n棵决策树按照投票的方式得到分类结果;
根据所述分类结果判断所述客户端的流量数据中是否有恶意代码,当所述客户端的流量数据中存在恶意代码,则服务器终止TLS1.3握手过程。
当所述客户端的流量数据中不存在恶意代码,则服务器按照TLS1.3的握手执行标准完成握手过程。
在一些优选实施例中,所述判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整,包括:如果会话流量的特征向量不包括业务载荷,则认定该会话流量与业务无关,是恶意代码篡改的结果;如果会话流量的握手信息不完整,则认定该会话流量是恶意代码篡改的结果。
在一些优选实施例中,所述每棵决策树的分类能力具有针对性,所述指定量特征值是根据不同分类得出的,将同一个特征向量矩阵通过决策树按照不同的角度进行分类,即完成针对不同分类能力的整合功能。其分类性能高于单个分类器。
随机森林中一棵决策树的平均泛化误差与回归函数有关。
在一些优选实施例中,所述投票的方式包括将每棵决策树的输出结果进行加权累加。
图2为本申请提供的基于流量和时序识别TLS加密应用的系统的架构图,所述系统包括:
预处理模块,用于获取客户端的流量数据,以会话为单位将所述网络流量数据划分为不同的会话流量,提取所述会话流量的特征向量,判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整;根据划分得到会话流量的数量,判断是否执行进一步的特征压缩,当所述会话流量的数量超过预设的阈值时,则执行特征压缩,将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块;
时序特征模块,包括若干隐藏层神经元,所述隐藏层神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此组成双向反馈环,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行向量元素对位相加;
空间特征模块,包括将全局的特征向量保存在多个局部特征矩阵中,捕获不同流量载荷之间的时间序列关系,得到向量之间数据的长距离依赖关系,赋予向量不同的权重值,组成不同的权重矩阵Q、K、V,并行对所述权重矩阵Q、K、V进行线性变换,合并输出全局特征;
分类模块,用于提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征,将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量;将所述混合特征向量传输到服务器的随机森林中进行分类,随机森林进行n轮抽取,得到n个训练集,使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树,所述n棵决策树按照投票的方式得到分类结果;
执行模块,用于根据所述分类结果判断所述客户端的流量数据中是否有恶意代码,当所述客户端的流量数据中存在恶意代码,则服务器终止TLS1.3握手过程。
本申请提供一种基于流量和时序识别TLS加密应用的系统,所述系统包括:所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面所有实施例中任一项所述的方法。
本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面所有实施例中任一项所述的方法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (7)
1.一种基于流量和时序识别TLS加密应用的方法,其特征在于,所述方法包括:
获取客户端的流量数据,以会话为单位将所述网络流量数据划分为不同的会话流量,提取所述会话流量的特征向量,判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整;
根据划分得到会话流量的数量,判断是否执行进一步的特征压缩,当所述会话流量的数量超过预设的阈值时,则执行特征压缩,将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块;
所述时序特征模块包括若干隐藏层神经元,所述隐藏层神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此组成双向反馈环,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行向量元素对位相加;
所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中,捕获不同流量载荷之间的时间序列关系,得到向量之间数据的长距离依赖关系,赋予向量不同的权重值,组成不同的权重矩阵Q、K、V,并行对所述权重矩阵Q、K、V进行线性变换,合并输出全局特征;
提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征,将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量;
将所述混合特征向量传输到服务器的随机森林中进行分类,随机森林进行n轮抽取,得到n个训练集,使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树,所述n棵决策树按照投票的方式得到分类结果;
根据所述分类结果判断所述客户端的流量数据中是否有恶意代码,当所述客户端的流量数据中存在恶意代码,则服务器终止TLS1.3握手过程。
2.根据权利要求1所述的方法,其特征在于:所述判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整,包括:如果会话流量的特征向量不包括业务载荷,则认定该会话流量与业务无关,是恶意代码篡改的结果;如果会话流量的握手信息不完整,则认定该会话流量是恶意代码篡改的结果。
3.根据权利要求1所述的方法,其特征在于:所述每棵决策树的分类能力具有针对性,所述指定量特征值是根据不同分类得出的,将同一个特征向量矩阵通过决策树按照不同的角度进行分类,即完成针对不同分类能力的整合功能。
4.根据权利要求2或3任一项所述的方法,其特征在于:所述投票的方式包括将每棵决策树的输出结果进行加权累加。
5.一种基于流量和时序识别TLS加密应用的系统,其特征在于,所述系统包括:
预处理模块,用于获取客户端的流量数据,以会话为单位将所述网络流量数据划分为不同的会话流量,提取所述会话流量的特征向量,判断所述特征向量是否包括业务载荷,以及判断握手信息是否完整;根据划分得到会话流量的数量,判断是否执行进一步的特征压缩,当所述会话流量的数量超过预设的阈值时,则执行特征压缩,将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块;
时序特征模块,包括若干隐藏层神经元,所述隐藏层神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此组成双向反馈环,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行向量元素对位相加;
空间特征模块,包括将全局的特征向量保存在多个局部特征矩阵中,捕获不同流量载荷之间的时间序列关系,得到向量之间数据的长距离依赖关系,赋予向量不同的权重值,组成不同的权重矩阵Q、K、V,并行对所述权重矩阵Q、K、V进行线性变换,合并输出全局特征;
分类模块,用于提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征,将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量;将所述混合特征向量传输到服务器的随机森林中进行分类,随机森林进行n轮抽取,得到n个训练集,使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树,所述n棵决策树按照投票的方式得到分类结果;
执行模块,用于根据所述分类结果判断所述客户端的流量数据中是否有恶意代码,当所述客户端的流量数据中存在恶意代码,则服务器终止TLS1.3握手过程。
6.一种基于流量和时序识别TLS加密应用的系统,其特征在于,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行实现权利要求1-4任一项所述的方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行实现权利要求1-4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210890822.6A CN115314265B (zh) | 2022-07-27 | 2022-07-27 | 基于流量和时序识别tls加密应用的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210890822.6A CN115314265B (zh) | 2022-07-27 | 2022-07-27 | 基于流量和时序识别tls加密应用的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115314265A true CN115314265A (zh) | 2022-11-08 |
CN115314265B CN115314265B (zh) | 2023-07-18 |
Family
ID=83858631
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210890822.6A Active CN115314265B (zh) | 2022-07-27 | 2022-07-27 | 基于流量和时序识别tls加密应用的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115314265B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115333801A (zh) * | 2022-07-27 | 2022-11-11 | 北京国瑞数智技术有限公司 | 一种基于双向报文入侵检测的方法和系统 |
CN116825215A (zh) * | 2023-02-28 | 2023-09-29 | 福建省龙德新能源有限公司 | 用于六氟磷酸锂制备的流体循环反应控制系统及其方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190020670A1 (en) * | 2017-07-13 | 2019-01-17 | Cisco Technology, Inc. | Bayesian tree aggregation in decision forests to increase detection of rare malware |
US20190236273A1 (en) * | 2018-01-26 | 2019-08-01 | Sophos Limited | Methods and apparatus for detection of malicious documents using machine learning |
CN112767997A (zh) * | 2021-02-04 | 2021-05-07 | 齐鲁工业大学 | 一种基于多尺度卷积注意力神经网络的蛋白质二级结构预测方法 |
CN112822167A (zh) * | 2020-12-31 | 2021-05-18 | 杭州立思辰安科科技有限公司 | 异常tls加密流量检测方法与系统 |
CN113037730A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于多特征学习的网络加密流量分类方法及系统 |
CN113114672A (zh) * | 2021-04-12 | 2021-07-13 | 常熟市国瑞科技股份有限公司 | 一种视频传输数据精细化测量方法 |
CN113542259A (zh) * | 2021-07-12 | 2021-10-22 | 中山大学 | 基于多模态深度学习的加密恶意流量检测方法及系统 |
CN113591728A (zh) * | 2021-08-03 | 2021-11-02 | 天津大学 | 基于集成深度学习的电能质量扰动分类方法 |
CN114610706A (zh) * | 2022-03-23 | 2022-06-10 | 广东电网有限责任公司 | 基于过采样和改进随机森林的窃电检测方法、系统及装置 |
-
2022
- 2022-07-27 CN CN202210890822.6A patent/CN115314265B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190020670A1 (en) * | 2017-07-13 | 2019-01-17 | Cisco Technology, Inc. | Bayesian tree aggregation in decision forests to increase detection of rare malware |
US20190236273A1 (en) * | 2018-01-26 | 2019-08-01 | Sophos Limited | Methods and apparatus for detection of malicious documents using machine learning |
CN112822167A (zh) * | 2020-12-31 | 2021-05-18 | 杭州立思辰安科科技有限公司 | 异常tls加密流量检测方法与系统 |
CN112767997A (zh) * | 2021-02-04 | 2021-05-07 | 齐鲁工业大学 | 一种基于多尺度卷积注意力神经网络的蛋白质二级结构预测方法 |
CN113037730A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于多特征学习的网络加密流量分类方法及系统 |
CN113114672A (zh) * | 2021-04-12 | 2021-07-13 | 常熟市国瑞科技股份有限公司 | 一种视频传输数据精细化测量方法 |
CN113542259A (zh) * | 2021-07-12 | 2021-10-22 | 中山大学 | 基于多模态深度学习的加密恶意流量检测方法及系统 |
CN113591728A (zh) * | 2021-08-03 | 2021-11-02 | 天津大学 | 基于集成深度学习的电能质量扰动分类方法 |
CN114610706A (zh) * | 2022-03-23 | 2022-06-10 | 广东电网有限责任公司 | 基于过采样和改进随机森林的窃电检测方法、系统及装置 |
Non-Patent Citations (4)
Title |
---|
JIAN LIU: "Effectiveness Evaluation of Evasion Attack on Encrypted Malicious Traffic Detection", 《 2022 IEEE WIRELESS COMMUNICATIONS AND NETWORKING CONFERENCE (WCNC)》 * |
曾勇: "加密流量中的恶意流量识别技术", 《西安电子科技大学学报 》 * |
蒋鹏飞: "基于网络流特征的流量分析与识别技术研究", 《万方在线出版》 * |
麻蕊: "基于图卷积网络交通流预测的研究与应用", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115333801A (zh) * | 2022-07-27 | 2022-11-11 | 北京国瑞数智技术有限公司 | 一种基于双向报文入侵检测的方法和系统 |
CN115333801B (zh) * | 2022-07-27 | 2024-08-16 | 北京国瑞数智技术有限公司 | 一种基于双向报文入侵检测的方法和系统 |
CN116825215A (zh) * | 2023-02-28 | 2023-09-29 | 福建省龙德新能源有限公司 | 用于六氟磷酸锂制备的流体循环反应控制系统及其方法 |
CN116825215B (zh) * | 2023-02-28 | 2024-04-16 | 福建省龙德新能源有限公司 | 用于六氟磷酸锂制备的流体循环反应控制系统及其方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115314265B (zh) | 2023-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Garcia et al. | Distributed real-time SlowDoS attacks detection over encrypted traffic using Artificial Intelligence | |
Idhammad et al. | Detection system of HTTP DDoS attacks in a cloud environment based on information theoretic entropy and random forest | |
CN115314265B (zh) | 基于流量和时序识别tls加密应用的方法和系统 | |
CN112003870A (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
CN113472721B (zh) | 一种网络攻击检测方法及装置 | |
Hu et al. | [Retracted] CLD‐Net: A Network Combining CNN and LSTM for Internet Encrypted Traffic Classification | |
CN111866024B (zh) | 一种网络加密流量识别方法及装置 | |
CN111371778B (zh) | 攻击团伙的识别方法、装置、计算设备以及介质 | |
Jiang et al. | An approach to detect remote access trojan in the early stage of communication | |
Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
US7216364B2 (en) | System security approaches using state tables | |
EP1607823A2 (en) | Method and system for virus detection based on finite automata | |
Wang et al. | Using CNN-based representation learning method for malicious traffic identification | |
CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
Agrafiotis et al. | Image-based neural network models for malware traffic classification using pcap to picture conversion | |
Zaib et al. | Deep learning based cyber bullying early detection using distributed denial of service flow | |
Wang et al. | Identifying DApps and user behaviors on ethereum via encrypted traffic | |
Liu et al. | Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection | |
CN115333801B (zh) | 一种基于双向报文入侵检测的方法和系统 | |
din et al. | Detection of botnet in IoT network through machine learning based optimized feature importance via ensemble models | |
Yang et al. | Fingerprinting Industrial IoT devices based on multi-branch neural network | |
Li et al. | Identification domain fronting traffic for revealing obfuscated C2 communications | |
Chesney et al. | AI empowered intrusion detection for MQTT networks | |
Abirami et al. | Proactive network packet classification using artificial intelligence | |
Wu et al. | Bot-DM: A dual-modal botnet detection method based on the combination of implicit semantic expression and graphical expression |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |