CN116684357A - 一种传输层安全协议加密流量的识别方法及系统 - Google Patents
一种传输层安全协议加密流量的识别方法及系统 Download PDFInfo
- Publication number
- CN116684357A CN116684357A CN202210162400.7A CN202210162400A CN116684357A CN 116684357 A CN116684357 A CN 116684357A CN 202210162400 A CN202210162400 A CN 202210162400A CN 116684357 A CN116684357 A CN 116684357A
- Authority
- CN
- China
- Prior art keywords
- layer
- histogram
- security protocol
- transport layer
- layer security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000003993 interaction Effects 0.000 claims abstract description 31
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 21
- 238000013145 classification model Methods 0.000 claims abstract description 18
- 238000012549 training Methods 0.000 claims abstract description 18
- 238000007781 pre-processing Methods 0.000 claims abstract description 17
- 239000013598 vector Substances 0.000 claims description 40
- 210000002569 neuron Anatomy 0.000 claims description 37
- 238000011176 pooling Methods 0.000 claims description 34
- 238000012546 transfer Methods 0.000 claims description 26
- 230000005540 biological transmission Effects 0.000 claims description 15
- 239000011159 matrix material Substances 0.000 claims description 11
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 230000005284 excitation Effects 0.000 claims description 6
- 238000005520 cutting process Methods 0.000 claims description 3
- 238000009826 distribution Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 11
- 230000006854 communication Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000013136 deep learning model Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 241001501944 Suricata Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 238000011478 gradient descent method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种传输层安全协议加密流量的识别方法及系统,包括:获取被检测加密流量数据;基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。本发明主要针对传输层安全协议的网络流信息,通过提取传输层安全协议记的类型、长度、序列、交互等特征实现加密流量识别。网络流信息可以更好的反应用户行为,对不同的网络应用有更好的识别度。
Description
技术领域
本发明涉及计算机网络技术领域,具体讲涉及一种传输层安全协议加密流量的识别方法及系统。
背景技术
近年来,网络流量中使用加密技术的比例激增,加密网络流量占比高达70%以上。鉴于许多情况下加密网络数据无法直接解密检测,加密通信安全检测在网络安全领域面临着严峻挑战。加密通信中最常用的加密技术就是利用传输层安全协议(TLS,TransportLayer Security)协议对其通信过程进行加密,传输层安全协议的目的是为客户端与服务器之间的信息传输构建一个加密通道,该协议主要分为两层:传输层安全协议记录协议和传输层安全协议握手协议。
目前的加密通信识别技术主要有以下三种:一是基于明文特征的规则检测,二是基于机器学习的模型检测,三是基于深度学习的模型检测。
基于明文特征的规则检测是通过匹配已知的恶意加密流量所用X.509证书的证书指纹以及域名等信息,来检测输入流量是否为恶意流量。基于此方法已有成熟的检测系统,如Snort、Suricata等。此方法的优势是可以快速检测出已知的恶意流量,但对于新型威胁、未知威胁无从判断。特别的,当加密流量使用会话恢复时,加密流量中不包含证书,无法利用证书指纹规则进行检测。当加密流量不使用DNS请求获得服务器地址时,无法利用域名规则进行检测。
思科采用监督式机器学习模型来检测恶意加密流量,充分利用网络流数据独特且多样化的特性,特征数据包括传输层安全协议握手元数据、与加密流量相关联的DNS环境流,以及五分钟内来自同一源网络地址的HTTP环境流的HTTP头部信息。基于机器学习的模型检测是对恶意加密通信检测技术的一大突破。
基于深度学习的模型检测是通过训练深度学习模型进行检测,具有代表性的有基因图谱技术,将恶意代码映射为灰度图像,建立卷积神经网络深度学习模型,利用灰度图像集合训练卷积神经网络,生成检测模型。该技术能够有效地检测使用特定封装工具打包的恶意代码所产生的恶意流量。
对于传输层安全协议加密通信识别,已有上述的几类解决方法,但目前的几类方法会产生以下问题:一是有的加密流量数据并不传输证书与域名,除证书、域名信息外是否还有其他可利用的信息;二是是否有更好的不变量来适应多版本的传输层安全协议;三是如何进一步地提高检测结果的可解释性。
发明内容
为了解决除证书、域名信息外是否还有其他可利用信息,是否有更好的不变量适应多版本的传输层安全协议以及如何进一步地提高检测结果的可解释性,本发明提出了一种传输层安全协议加密流量的识别方法,包括:
获取被检测加密流量数据;
基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;
将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;
其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。
优选的,所述分类模型的训练包括:
基于直方图和直方图对应的消息类型构建训练集;
将所述训练集中的直方图作为卷积神经网络的输入,将所述直方图对应的消息类型作为输出对所述卷积神经网络进行训练得到。
优选的,所述卷积神经网络包括:输入层、卷积层、池化层、全连接层和输出层:
所述输入层,用于将所述直方图裁剪成设定尺寸并进行归一化处理后输出彩色图像矩阵作为输入数据矩阵,同时将所述输入数据矩阵传输至所述卷积层;
所述卷积层,用于基于所述输入数据矩阵,利用预先设定的卷积核按照预先设定的步长从左向右从上向下进行卷积操作,得到卷积特征,并将所述卷积特征传输至所述池化层;
所述池化层,用于利用预先设定的汇合核按照预先设定的步长从左向右从上向下对所述卷积特征进行汇合操作,输出所述汇合核覆盖区域的最大值作为汇合结果,同时将所述汇合结果传输至全连接层;
所述全连接层,用于将所述全连接层中每个神经元与所述池化层的所有神经元进行全连接,将所述池化层最后一层汇合结果平铺得到全连接层第一层的神经元向量,利用所述全连接层第一层的神经元向量计算得到全连接层第二层神经元向量,依次计算得到全连接层最后一层神经元向量,并将所述全连接层最后一层神经元向量传递到所述输出层;
所述输出层,用于利用softmax函数对所述全连接层最后一层神经元向量进行分类。
优选的,所述卷积特征按下式计算:
式中,Hi为卷积特征第i层的特征图,f(x)为非线性激励函数,Hi-1为卷积特征第i-1层的特征图,运算符表示卷积核与第i-1层图像或特征图进行卷积操作,Wi为第i层卷积核的权值向量,bi为偏移向量。
优选的,所述汇合核覆盖区域的最大值按下式计算:
Hi+1=max_pooling(Hi)
式中,Hi+1为汇合核覆盖区域的最大值,Hi为卷积特征第i层的特征图。
优选的,所述神经元向量按下式计算:
式中,yi为全连接层第i层的神经元向量,g(x)为神经元激励函数,yi-1表示全连接层第i-1层的神经元向量,y0为最后一个池化层所得特征图铺得到,ωl为全连接层第l层的权值向量,dl为随机生成的0或1,bl为偏移向量。
优选的,所述softmax函数如下式所示:
Y=softmax(yξ)
式中,Y为每个分类标签的概率分布,yξ为全连接层最后一层的神经元向量。
优选的,所述基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图,包括:
基于所述被检测加密流量数据提取传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息;
基于所述传输层安全协议消息转移序列确定直方图的横坐标取值区间,并基于所述传输层安全协议记录层的字节长度确定直方图的纵坐标取值区间;
在所述直方图的横坐标取值区间和所述直方图的纵坐标取值区间构建的二维坐标中,将所述传输层安全协议记录层的消息类型用颜色表示,将所述传输层安全协议记录层的字节长度用高度表示,将所述传输层安全协议消息转移序列在直方图中按照交互顺序排列,将所述传输层安全协议记录层的交互用直方图的正向和负向来表示,实现提取流信息转换为直方图;
其中,所述流信息包括:传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息。
基于同一发明构思本发明还提供了一种传输层安全协议加密流量的识别系统,包括:
获取模块,用于获取被检测加密流量数据;
预处理模块,用于基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;
分类模块,用于将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;
其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。
优选的,所述预处理模块,包括:
提取流信息子模块,用于基于所述被检测加密流量数据提取传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息;
确定坐标区间子模块,用于基于所述传输层安全协议消息转移序列确定直方图的横坐标取值区间,并基于所述传输层安全协议记录层的字节长度确定直方图的纵坐标取值区间;
直方图转换子模块,用于在所述直方图的横坐标取值区间和所述直方图的纵坐标取值区间构建的二维坐标中,将所述传输层安全协议记录层的消息类型用颜色表示,将所述传输层安全协议记录层的字节长度用高度表示,将所述传输层安全协议消息转移序列在直方图中按照交互顺序排列,将所述传输层安全协议记录层的交互用直方图的正向和负向来表示,实现提取流信息转换为直方图;
其中,所述流信息包括:传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息。
与现有技术相比,本发明的有益效果为:
一种传输层安全协议加密流量的识别方法,包括:获取被检测加密流量数据;基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。通过提取传输层安全协议记录层的类型、长度、序列、交互等特征实现加密流量识别。与传统的基于传输层安全协议密钥协商阶段的握手特征进行加密流量识别的技术相比,本发明适用于各版本的传输层安全协议,且适用于使用会话恢复的加密流量数据,还提升了结果的可解释性。
附图说明
图1为本发明的一种传输层安全协议加密流量的识别方法流程图;
图2为本发明的基于直方图的加密通信深度学习识别方法的流程图。
具体实施方式
为了更好地理解本发明,下面结合说明书附图和实例对本发明的内容做进一步的说明。本发明提出了一种传输层安全协议加密流量的识别方法及系统,主要针对传输层安全协议的网络流信息,通过提取传输层安全协议记录层的类型、长度、序列、交互等特征实现加密流量识别。
实施例1:
一种传输层安全协议加密流量的识别方法,其实现过程如图1所示,包括:
步骤1,获取被检测加密流量数据;
步骤2,基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;
步骤3,将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;
下面对本发明的一种传输层安全协议加密流量的识别方法,结合图2进行详细介绍。
在步骤1前利用已知类型的传输层安全协议加密流量数据集作为训练数据,对卷积神经网络模型进行训练。模型中的参数可通过传统梯度下降方法进行训练,经过训练的模型能够学习原始数据中的特征,并且完成对数据特征的提取与分类。
所述卷积神经网络包括:输入层、卷积层、池化层、全连接层和输出层。卷积神经网络架构各层参数如表1所示:
表1 卷积神经网络架构参数
所述卷积神经网络模型的训练包括:
输入层:对直方图进行预处理。将直方图裁剪成合适大小并进行归一化处理,输出维度为64*64*3的彩色图像,作为卷积神经网络架构的输入数据,用矩阵表示,其中q∈[0,m],m为模型输入数据的个数,n*n*d表示矩阵结构。
卷积层:通过卷积操作进行特征提取。预先设定好卷积核大小为3*3,步长为1,卷积核按照步长大小从左向右从上向下对所述输入数据矩阵进行卷积操作,输出卷积特征。
式中,Hi为第i层的特征图,Wi为第i层卷积核的权值向量,运算符为卷积核与第i-1层图像或特征图进行卷积操作,bi为偏移向量,f(x)是非线性激励函数。
池化层:对上一层的输入进行最大值汇合达到降维的作用。预先设定好汇合核大小为3*3,步长为2,汇合核按照步长从左向右从上向下对特征图进行汇合操作,汇合核所覆盖的区域输出最大值作为汇合结果。
Hi+1=max_pooling(Hi)
式中,Hi+1为汇合核所覆盖的区域输出最大值,Hi为第i层的特征图。
全连接层:全连接层中每个神经元与池化层的所有神经元进行全连接,可以整合卷积层或池化层中具有类别区分性的局部信息,将池化层最后一层汇合结果平铺得到全连接层第一层的神经元向量,利用所述全连接层第一层的神经元向量计算得到全连接层第二层神经元向量,依次计算得到全连接层最后一层神经元向量,并将所述全连接层最后一层神经元向量传递到所述输出层;
式中,yi(i=0…n)为全连接层第i层的神经元向量,yi-1为全连接层第i-1层的神经元向量,y0为池化层最后一层所得特征图平铺,ωl为全连接层第l层的权值向量,dl为随机生成的0或1,bl为偏移向量,g(x)为神经元激励函数。
输出层:将全连接层最后一层神经元向量传递给输出层,并采用softmax函数进行分类。
Y=softmax(yξ)
式中,Y为每个分类标签的概率分布,yξ为连接层最后一层的输出值。
步骤1,获取被检测加密流量数据;
步骤2,基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图,具体用于:
基于所述被检测加密流量数据提取传输层安全协议记录层的类型、长度、序列、交互信息。首先使用协议解析工具提取加密流量中的源网络地址、目的网络地址、传输层安全协议记录层消息类型、协议、传输层安全协议记录层长度字段,并记录在文件中;通过协议字段从解析后的信息中过滤出传输层安全协议的信息,再通过传输层安全协议握手过程来判断交互方向,且按时间顺序排序;记录下每个消息类型对应的传输层安全协议记录层字节长度。
基于所述传输层安全协议记录层的类型、长度、序列、交互信息确定直方图的横、纵坐标取值区间。根据提取的流信息确定直方图的横、纵坐标范围,使横纵坐标的范围能够涵盖数据集中的绝大多数取值。横坐标的取值区间通过统计数据集中的传输层安全协议消息转移序列的长度来确定。其中,所述传输层安全协议消息转移序列为按时间顺序排列的传输层安全协议记录层消息。纵坐标的取值区间通过统计加密流量中传输层安全协议记录层的字节长度来确定,正值表示上行包的字节长度,负值表示下行包的字节长度。其中,所述上行包为客户端到服务器端的网络通信,所述下行包为服务器端到客户端的网络通信。
例如,某条加密流量中的消息转移序列为[Client Hello,Server Hello,Certificate,Application Data,Application Data],其消息转移序列长度为5,所对应的字节长度序列为[184,-89,3000,64,-64]。
基于所述直方图的横、纵坐标取值区间将所述传输层安全协议记录层的类型、长度、序列、交互信息转换为直方图。传输层安全协议记录层的消息类型用直方图中柱的颜色来表示;传输层安全协议记录层的字节长度用直方图的高度来表示,高度范围若超过(或小于)上述所确定的区间则取区间中最大值(或最小值);传输层安全协议消息转移序列在直方图中从左向右按照交互顺序排列,若消息转移序列长度超过上述横坐标区间,则超过范围的部分不在图中表示;传输层安全协议记录层的交互用直方图的正向负向来表示,正向代表上行包的交互,负向代表下行包的交互。
例如,Client Hello用红色表示,Server Hello用紫色表示,Certificate使用粉色表示等等。
步骤3,将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别。
实施例2:
一种传输层安全协议加密流量的识别系统,包括:
获取模块,用于获取被检测加密流量数据;
预处理模块,用于基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;
分类模块,用于将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;
其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。
所述预处理模块,包括:
提取流信息子模块,用于基于所述被检测加密流量数据提取传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息;
确定坐标区间子模块,用于基于所述传输层安全协议消息转移序列确定直方图的横坐标取值区间,并基于所述传输层安全协议记录层的字节长度确定直方图的纵坐标取值区间;
直方图转换子模块,用于在所述直方图的横坐标取值区间和所述直方图的纵坐标取值区间构建的二维坐标中,将所述传输层安全协议记录层的消息类型用颜色表示,将所述传输层安全协议记录层的字节长度用高度表示,将所述传输层安全协议消息转移序列在直方图中按照交互顺序排列,将所述传输层安全协议记录层的交互用直方图的正向和负向来表示,实现提取流信息转换为直方图;
其中,所述流信息包括:传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在发明待批的本发明的权利要求范围之内。
Claims (10)
1.一种传输层安全协议加密流量的识别方法,其特征在于,包括:
获取被检测加密流量数据;
基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;
将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;
其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。
2.根据权利要求1所述方法,其特征在于,所述分类模型的训练包括:
基于直方图和直方图对应的消息类型构建训练集;
将所述训练集中的直方图作为卷积神经网络的输入,将所述直方图对应的消息类型作为输出对所述卷积神经网络进行训练得到。
3.根据权利要求2所述方法,其特征在于,所述卷积神经网络包括:输入层、卷积层、池化层、全连接层和输出层:
所述输入层,用于将所述直方图裁剪成设定尺寸并进行归一化处理后输出彩色图像矩阵作为输入数据矩阵,同时将所述输入数据矩阵传输至所述卷积层;
所述卷积层,用于基于所述输入数据矩阵,利用预先设定的卷积核按照预先设定的步长进行卷积操作,得到卷积特征,并将所述卷积特征传输至所述池化层;
所述池化层,用于利用预先设定的汇合核按照预先设定的步长对所述卷积特征进行汇合操作,输出所述汇合核覆盖区域的最大值作为汇合结果,同时将所述汇合结果传输至全连接层;
所述全连接层,用于将所述全连接层中每个神经元与所述池化层的所有神经元进行全连接,将所述池化层最后一层汇合结果平铺得到全连接层第一层的神经元向量,利用所述全连接层第一层的神经元向量计算得到全连接层第二层神经元向量,依次计算得到全连接层最后一层神经元向量,并将所述全连接层最后一层神经元向量传递到所述输出层;
所述输出层,用于利用softmax函数对所述全连接层最后一层神经元向量进行分类。
4.根据权利要求3所述方法,其特征在于,所述卷积特征按下式计算:
式中,Hi为卷积特征第i层的特征图,f(x)为非线性激励函数,Hi-1为卷积特征第i-1层的特征图,运算符表示卷积核与第i-1层图像或特征图进行卷积操作,Wi为第i层卷积核的权值向量,bi为偏移向量。
5.根据权利要求3所述方法,其特征在于,所述汇合核覆盖区域的最大值按下式计算:
Hi+1=max_pooling(Hi)
式中,Hi+1为汇合核覆盖区域的最大值,Hi为卷积特征第i层的特征图。
6.根据权利要求3所述方法,其特征在于,所述神经元向量按下式计算:
式中,yi为全连接层第i层的神经元向量,g(x)为神经元激励函数,yi-1表示全连接层第i-1层的神经元向量,y0为最后一个池化层所得特征图铺得到,ωl为全连接层第l层的权值向量,dl为随机生成的0或1,bl为偏移向量。
7.根据权利要求3所述方法,其特征在于,所述softmax函数如下式所示:
Y=softmax(yξ)
式中,Y为每个分类标签的概率分布,yξ为全连接层最后一层的神经元向量。
8.根据权利要求1所述方法,其特征在于,所述基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图,包括:
基于所述被检测加密流量数据提取传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息;
基于所述传输层安全协议消息转移序列确定直方图的横坐标取值区间,并基于所述传输层安全协议记录层的字节长度确定直方图的纵坐标取值区间;
在所述直方图的横坐标取值区间和所述直方图的纵坐标取值区间构建的二维坐标中,将所述传输层安全协议记录层的消息类型用颜色表示,将所述传输层安全协议记录层的字节长度用高度表示,将所述传输层安全协议消息转移序列在直方图中按照交互顺序排列,将所述传输层安全协议记录层的交互用直方图的正向和负向来表示,实现提取流信息转换为直方图;
其中,所述流信息包括:传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息。
9.一种传输层安全协议加密流量的识别系统,其特征在于,包括:
获取模块,用于获取被检测加密流量数据;
预处理模块,用于基于所述被检测加密流量数据进行数据预处理,提取流信息转换为直方图;
分类模块,用于将所述直方图输入预先训练好的分类模型,进行流量分类,实现加密流量的识别;
其中,所述预先训练好的分类模型是以所述直方图为输入,所述直方图对应的消息类型为输出对卷积神经网络进行训练得到。
10.根据权利要求9所述系统,其特征在于,所述预处理模块,包括:
提取流信息子模块,用于基于所述被检测加密流量数据提取传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息;
确定坐标区间子模块,用于基于所述传输层安全协议消息转移序列确定直方图的横坐标取值区间,并基于所述传输层安全协议记录层的字节长度确定直方图的纵坐标取值区间;
直方图转换子模块,用于在所述直方图的横坐标取值区间和所述直方图的纵坐标取值区间构建的二维坐标中,将所述传输层安全协议记录层的消息类型用颜色表示,将所述传输层安全协议记录层的字节长度用高度表示,将所述传输层安全协议消息转移序列在直方图中按照交互顺序排列,将所述传输层安全协议记录层的交互用直方图的正向和负向来表示,实现提取流信息转换为直方图;
其中,所述流信息包括:传输层安全协议记录层的消息类型、传输层安全协议记录层的字节长度、传输层安全协议消息转移序列、传输层安全协议记录层的交互信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210162400.7A CN116684357A (zh) | 2022-02-22 | 2022-02-22 | 一种传输层安全协议加密流量的识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210162400.7A CN116684357A (zh) | 2022-02-22 | 2022-02-22 | 一种传输层安全协议加密流量的识别方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116684357A true CN116684357A (zh) | 2023-09-01 |
Family
ID=87784171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210162400.7A Pending CN116684357A (zh) | 2022-02-22 | 2022-02-22 | 一种传输层安全协议加密流量的识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116684357A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117135623A (zh) * | 2023-10-24 | 2023-11-28 | 奥鼎智通(北京)科技有限公司 | 一种6g下d2d数据安全传输方法、系统及存储介质 |
-
2022
- 2022-02-22 CN CN202210162400.7A patent/CN116684357A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117135623A (zh) * | 2023-10-24 | 2023-11-28 | 奥鼎智通(北京)科技有限公司 | 一种6g下d2d数据安全传输方法、系统及存储介质 |
| CN117135623B (zh) * | 2023-10-24 | 2024-01-23 | 奥鼎智通(北京)科技有限公司 | 一种6g下d2d数据安全传输方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111340191B (zh) | 基于集成学习的僵尸网络恶意流量分类方法及系统 | |
| CN110247930B (zh) | 一种基于深度神经网络的加密网络流量识别方法 | |
| CN105631296B (zh) | 一种基于cnn特征提取器的安全人脸认证系统设计方法 | |
| CN111447190A (zh) | 一种加密恶意流量的识别方法、设备及装置 | |
| CN113612767B (zh) | 基于多任务学习增强的加密恶意流量检测方法及系统 | |
| CN112311814B (zh) | 基于深度学习的恶意加密流量识别方法、系统及电子设备 | |
| CN111507386B (zh) | 一种存储文件及网络数据流加密通信检测方法及系统 | |
| CN112804253B (zh) | 一种网络流量分类检测方法、系统及存储介质 | |
| CN113364787B (zh) | 一种基于并联神经网络的僵尸网络流量检测方法 | |
| Zhang et al. | Detection of android malware based on deep forest and feature enhancement | |
| CN112261063A (zh) | 结合深度分层网络的网络恶意流量检测方法 | |
| CN112561770A (zh) | 一种基于脆弱水印的对抗样本防御方法 | |
| CN116684357A (zh) | 一种传输层安全协议加密流量的识别方法及系统 | |
| CN117056797A (zh) | 基于非平衡数据的加密流量分类方法、设备及介质 | |
| CN115296857A (zh) | 基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法 | |
| Chen et al. | Using adversarial examples to bypass deep learning based url detection system | |
| CN114726802A (zh) | 一种基于不同数据维度的网络流量识别方法及装置 | |
| CN111159588B (zh) | 一种基于url成像技术的恶意url检测方法 | |
| CN114362988A (zh) | 网络流量的识别方法及装置 | |
| CN117197543A (zh) | 基于GMD图像化与改进ResNeXt的网络异常检测方法及装置 | |
| CN113194092B (zh) | 一种精准的恶意流量变种检测方法 | |
| Guo et al. | MGEL: a robust malware encrypted traffic detection method based on ensemble learning with multi-grained features | |
| CN116010520B (zh) | 基于区块链的保密数据存储方法、装置、设备及存储介质 | |
| CN115296856B (zh) | 基于ResNet-AIS的加密流量网络威胁检测器进化学习方法 | |
| Ge et al. | A dual-branch self-attention method for mobile malware detection via network traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |