一种针对加密流量的安全检测方法与流程

1.本申请涉及网络信息安全领域，尤其涉及一种针对加密流量的安全检测方法。


背景技术：

2.全国互联网走向全面加密时代已经是大势所趋，但在加密反问可保障通讯安全的前提下，绝对大多数网络安全设备对网络攻击、恶意软件等加密流量的安全防护措施的力度往往较低，由于加密流量的攻击者往往通过ssl加密通道完成恶意软件载荷和漏洞利用的投递和转发，包括受感染主机与命令和控制服务器间的通信也会受到相应的影响，但由于加密流量的来源广泛，加密协议的种类多样等因素，以现有的安全检测方法难以达到必须的安全防护水平。


技术实现要素：

3.为了解决上述技术问题，本申请提供一种针对加密流量的安全检测方法，包括以下步骤：步骤一：数据实时处理：实时收集加密流量样本数据；步骤二：数据特征处理：对无法满足于算法需求的数据进行格式化处理，使数据以相同类型被算法读取；步骤三：数据分析和分类：对已处理的数据进行恶意样本功能、加密机制、通联方式以及恶意攻击流量的攻击类型等不同类别特征进行分析，并根据恶意加密流量的种类进行粗分类，再根据各种加密流量的源代码种类、攻击类型以及流量来源进行细分类；步骤四：特征降维和特征分析模型建立：对细化分类后的数据特征进行主成分分析，并以分析结果筛选出优化的数据特征，建立特征分析模型，用于将加密流量数据进行快速准确的特征识别和对应；步骤五：特征训练：结合实时数据或模拟数据，通过cnn、rnn等不同种类算法对特征分析模型进行模拟和训练，用于优化特征识别和对应速度和准确性，得到优化特征分析模型；步骤六：得到监测结果：根据步骤五得到的最终特征分析模型，对加密流量数据进行威胁类型、威胁系数、家族名、攻击类型及应用类型等方面的监测结果评估。
4.进一步地，所述步骤一中收集的加密流量样本数据来源于实际网络环境、模拟测试数据以及跟踪恶意数据最新样本和最新攻击方式得到的数据。、所述步骤二中格式化处理运用归一化、标准化、离散化、二值化和哑编码其中的至少一种。
5.所述步骤三中恶意加密流量的种类包括恶意代码使用加密通信的流量类、加密通道中的恶意攻击流量类以及恶意或非法加密应用的通信流量类其中的至少一种。
6.所述步骤四中筛选出优化的数据特征的筛选方法包括过滤式、包裹式或嵌入式其中的至少一种。
7.有益效果：
①
高安全防护性：通过特征分析模型进行多次的模拟和训练，得到优化特征分析模型，更准确地识别加密流量样本数据，从而达到更高的安全防护性；
②
检测高效：通过反复模拟和训练分析模型，并通过设置对应不同加密流量数据类型的算法，使得检测速度更快，整体效率更高。
附图说明
8.图1是本申请的实施例流程图。
具体实施方式
9.现在结合附图对本申请作进一步详细的说明。
10.如图1流程图所示，首先进行对加密流量样本数据的收集，此处的加密流量既包含来源途径为实际网络环境、模拟测试数据以及跟踪最新样本和最新攻击方式的恶意数据，也包含正常加密通信的流量数据，以及正常业务运行数据。然而此种信息中，大部分信息数据类型并非设置专用于算法，故针对该数据首先需要进行数据的格式化，其中包括有（1）归一化：归一化是对数据集进行区间缩放，缩放到[0,1]的区间内，把有单位的数据转化为没有单位的数据，即统一数据的衡量标准，消除单位的影响。这样方便了数据的处理，使数据处理更加快速、敏捷。skearn中最常用的归一化的方法是：minmaxscaler。此外还有对数函数转换（log），反余切转换等。
[0011]
（2）标准化：标准化是在不改变原数据分布的前提下，将数据按比例缩放，使之落入一个限定的区间，使数据之间具有可比性。但当个体特征太过或明显不遵从高斯正态分布时，标准化表现的效果会比较差。标准化的目的是为了方便数据的下一步处理，比如：进行的数据缩放等变换。常用的标准化方法有z-score标准化、standardscaler标准化等。
[0012]
（3）离散化：离散化是把连续型的数值型特征分段，每一段内的数据都可以当做成一个新的特征。具体又可分为等步长方式离散化和等频率的方式离散化，等步长的方式比较简单，等频率的方式更加精准，会跟数据分布有很大的关系。 代码层面，可以用pandas中的cut方法进行切分。总之，离散化的特征能够提高模型的运行速度以及准确率。
[0013]
（4）二值化：特征的二值化处理是将数值型数据输出为布尔类型。其核心在于设定一个阈值，当样本书籍大于该阈值时，输出为1，小于等于该阈值时输出为0。我们通常使用preproccessing库的binarizer类对数据进行二值化处理。
[0014]
（5）哑编码：我们针对类别型的特征，通常采用哑编码（one_hot encodin）的方式。所谓的哑编码，直观的讲就是用n个维度来对n个类别进行编码，并且对于每个类别，只有一个维度有效，记作数字1 ；其它维度均记作数字0。但有时使用哑编码的方式，可能会造成维度的灾难，所以通常我们在做哑编码之前，会先对特征进行hash处理，把每个维度的特征编码成词向量。
[0015]
在完成上述格式化工作后，开始进行恶意加密流量的数据分析和分类，系统根据代码种类、攻击类型及搭载平台等条件进行分析，将加密流量分为以下三大类：（1）恶意代码使用加密通信的流量，其中包括超过200种家族，恶意代码类型包括：特洛伊木马、勒索软件、感染式病毒、蠕虫病毒、下载器、其它；其加密通联方式又包括六类：
连接c&c服务器、检测主机联网环境、母体程序正常通信、白站隐蔽中转、蠕虫传播通信及其它。
[0016]
（2）加密通道中的恶意攻击流量，攻击类型包括：探测扫描、暴力破解、信息窃取、cc攻击、其它。
[0017]
（3）恶意或非法加密应用的通信流量，应用包括：tor、翻墙软件、非法vpn等。
[0018]
在完成分析和分类步骤后，开始进行特征降维和特征分析模型建立，对细化分类后的数据特征进行主成分分析，并以分析结果筛选出优化的数据特征，建立特征分析模型，用于将加密流量数据进行快速准确的特征识别和对应。再结合实时数据或模拟数据，通过cnn、rnn等不同种类算法对特征分析模型进行模拟和训练，用于优化特征识别和对应速度和准确性，得到优化特征分析模型；最终根据得到的优化特征分析模型，对加密流量数据进行威胁类型、威胁系数、家族名、攻击类型及应用类型等方面的监测结果评估。
[0019]
以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例的技术方案的范围。


技术特征：
1.一种针对加密流量的安全检测方法，其特征在于，包括以下步骤：步骤一：数据实时处理：实时收集加密流量样本数据；步骤二：数据特征处理：对无法满足于算法需求的数据进行格式化处理，使数据以相同类型被算法读取；步骤三：数据分析和分类：对已处理的数据进行恶意样本功能、加密机制、通联方式以及恶意攻击流量的攻击类型等不同类别特征进行分析，并根据恶意加密流量的种类进行粗分类，再根据各种加密流量的源代码种类、攻击类型以及流量来源进行细分类；步骤四：特征降维和特征分析模型建立：对细化分类后的数据特征进行主成分分析，并以分析结果筛选出优化的数据特征，建立特征分析模型，用于将加密流量数据进行快速准确的特征识别和对应；步骤五：特征训练：结合实时数据或模拟数据，通过cnn、rnn等不同种类算法对特征分析模型进行模拟和训练，用于优化特征识别和对应速度和准确性，得到优化特征分析模型；步骤六：验证监测结果：根据步骤五得到的优化特征分析模型，对加密流量数据进行威胁类型、威胁系数、家族名、攻击类型及应用类型等方面的监测结果评估，返回步骤一。2.根据权利要求1所述的安全检测方法，其特征在于，所述步骤一中收集的加密流量样本数据来源于实际网络环境、模拟测试数据以及跟踪恶意数据最新样本和最新攻击方式得到的数据。3.根据权利要求1所述的安全检测方法，其特征在于，所述步骤二中格式化处理运用归一化、标准化、离散化、二值化和哑编码其中的至少一种。4.根据权利要求1所述的安全检测方法，其特征在于，所述步骤三中恶意加密流量的种类包括恶意代码使用加密通信的流量类、加密通道中的恶意攻击流量类以及恶意或非法加密应用的通信流量类其中的至少一种。5.根据权利要求1所述的安全检测方法，其特征在于，所述步骤四中筛选出优化的数据特征的筛选方法包括过滤式、包裹式或嵌入式其中的至少一种。

技术总结
本申请涉及一种针对加密流量的安全检测方法，包括以下步骤：数据实时处理；数据特征处理：对无法满足于算法需求的数据进行格式化处理，使数据以相同类型被算法读取；数据分析和分类：对已处理的数据进行不同类别特征进行分析，并进行粗分类和细分类；特征降维和特征分析模型建立：对细化分类后的数据特征进行主成分分析，并以分析结果筛选出优化的数据特征，建立特征分析模型；特征训练：结合实时数据或模拟数据，通过不同种类算法对特征分析模型进行模拟和训练，得到最终特征分析模型；验证监测结果：对加密流量数据进行多方面的监测结果评估。本申请利用构建特征模型的手段，实现对加密流量的安全防护，并使加密流量的保护更加高效。高效。高效。


技术研发人员：李峰 顾亮
受保护的技术使用者：南京怡晟安全技术研究院有限公司
技术研发日：2022.09.14
技术公布日：2022/12/5