基于人工智能的加密流量识别方法与流程

本发明属于网络安全领域，涉及基于人工智能的加密流量识别技术，具体是基于人工智能的加密流量识别方法。

背景技术：

1、在典型的网络攻击过程中，黑客首先利用主机漏洞，入侵网络用户的主机。然后让用户主机访问特定服务器，下载并运行恶意代码程序，之后用户主机会接受攻击指令或者上传用户数据。在这个过程中，恶意代码程序大多会采用加密方式以躲避检测，因此识别出加密形式的网络恶意流量具有重要意义。

2、现有技术(公开号为cn111010409a的中国发明专利)公开了一种加密攻击网络流量检测方法，根据标识信息确定加密流量对应的服务器和终端，分析服务器、终端以及加密流量的行为是否正常，是则判定加密流程异常，能够检测出具有合法证书、合法域名的攻击者。现有技术进行加密流程识别时，仅根据加密流量的标识信息对应的终端和服务器来判断加密流程是否正常，而没有考虑多终端或者多服务器的情况，当攻击者通过多终端来组织攻击时，现有技术很难识别出加密流程的异常；因此，亟须一种基于人工智能的加密流量识别方法。

技术实现思路

1、本发明旨在至少解决现有技术中存在的技术问题之一；为此，本发明提出了基于人工智能的加密流量识别方法，用于解决现有技术在进行加密流量识别时，没有考虑多终端或多服务器的情况，导致加密流量难以全场景识别的技术问题。

2、为实现上述目的，本发明的第一方面提供了基于人工智能的加密流量识别方法，包括：

3、实时采集网络系统的网络流量，解析网络流量并划分为加密流量和非加密流量；之后，对非加密流量和加密流量进行初步识别，并根据识别结果进行预警；

4、通过哈希算法计算获取加密流量的哈希值，在目标时间范围内匹配获取哈希值一致的加密流量，将获取的加密流量标记为目标流量；

5、提取目标流量对应的终端标识和服务器标识，分别整合成终端序列和服务器序列；通过人工智能模型对终端序列中各终端以及服务器序列中各服务器进行归类，根据归类结果判断加密流量是否异常。

6、优选的，实时采集网络系统的所述网络流量，并对其进行初步识别，包括：

7、判断网络流量是否加密，将网络流量划分为加密流量或者非加密流量；

8、识别非加密流量的内容是否存在攻击行为；是，对非加密流量的攻击行为进行预警；否，则不对非加密流量进行预警处理；或者

9、提取内置算法，通过内置解密算法对加密流量进行解密；解密成功之后识别是否存在攻击行为，且解密未成功时则对加密流量进行哈希计算。

10、优选的，通过哈希算法计算获取所述加密流量的哈希值，在目标时间范围内匹配获取哈希值一致的加密流量，包括：

11、当加密流量解密未成功时，则通过哈希算法对加密流量进行哈希计算，获取对应的哈希值；之后，根据经验设定目标时间范围；

12、在目标时间范围内通过哈希值进行匹配，获取哈希值一致的加密流量；同时，将匹配的加密流量标记为目标流量。

13、优选的，在通过哈希算法计算获取加密流量的哈希值之前，解析加密流量的终端标识判断终端是否经过授权；是，则不需要对加密流量进行识别判断；否，则计算加密流量的哈希值，进而对加密流量进行识别。

14、优选的，在获取所述目标流量之后，提取所述目标流量的终端标识和服务器标识，分别整合成终端序列和服务器序列，包括：

15、提取目标流量对应的若干终端标识和若干服务器标识；其中，终端标识包括源ip地址和源端口，服务器标识包括目的ip地址和目的端口；

16、将若干终端标识整合成终端序列，将若干服务器标识整合成服务器序列。

17、优选的，通过人工智能模型对所述终端序列中的各终端进行归类，包括：

18、根据各终端对应的终端标识提取终端特征；

19、通过构建的人工智能模型对终端特征进行归类，进而实现终端归类。

20、优选的，通过人工智能模型对所述服务器序列中的各服务器进行归类，包括：

21、提取归类后各终端类别中与终端标识对应的服务器标识，提取服务器特征；

22、通过构建的人工智能模型对服务器特征进行归类，进而实现服务器归类。

23、优选的，根据各终端以及各服务器的归类结果判断加密流量是否异常，包括：

24、提取归类之后的终端类别中的终端数量以及对应服务器归类之后服务器数量，分别标记为zs和fs；

25、通过公式lpx＝α×fs/zs获取流量评估系数lpx；当流量评估系数大于流量评估阈值时，则判定加密流量异常；其中，α为根据经验设定的比例系数，流量评估阈值根据经验设定。

26、本发明的第二方面提供了基于人工智能的加密流量识别系统，包括中枢控制模块，以及与之相连接的数据采集模块，数据采集模块用于采集网络系统的网络流量；

27、数据采集模块：用于采集网络系统的网络流量，并将网络流量划分为加密流量和非加密流量，之后转发至中枢控制模块；

28、中枢控制模块：直接识别非加密流量并预警，以及基于人工智能模型识别加密流量并预警；其中，人工智能模型包括bp神经网络模型或支持向量机模型。

29、本发明的第三方面提供了基于人工智能的加密流量识别装置，包括存储介质和处理器，所述存储介质存储有操作指令，所述处理器执行操作指令执行基于人工智能的加密流量识别方法。

30、与现有技术相比，本发明的有益效果是：

31、1.本发明采集到网络系统的网络流量之后，对未加密流量直接进行识别预警，对加密流量进行哈希计算，根据对应哈希值在目标时间范围内进行匹配生成目标流量；对网络流量进行初步识别，同时根据哈希值在目标时间范围内匹配能够降低匹配难度，可以提高加密流量的识别准确性。

32、2.本发明提取目标流量中的终端标识和服务器标识，进而整合获取终端序列和服务器序列；通过人工智能模型对各终端和各服务器进行归类，根据归类结果判断加密流量是否异常；能够对多终端攻击多服务器的行为进行准确识别，有助于提高加密流量的识别准确性，降低网络系统被攻击的概率。

技术特征：

1.基于人工智能的加密流量识别方法，其特征在于，包括：

2.根据权利要求1所述的基于人工智能的加密流量识别方法，其特征在于，实时采集网络系统的所述网络流量，并对其进行初步识别，包括：

3.根据权利要求2所述的基于人工智能的加密流量识别方法，其特征在于，通过哈希算法计算获取所述加密流量的哈希值，在目标时间范围内匹配获取哈希值一致的加密流量，包括：

4.根据权利要求3所述的基于人工智能的加密流量识别方法，其特征在于，在通过哈希算法计算获取加密流量的哈希值之前，解析加密流量的终端标识判断终端是否经过授权；是，则不需要对加密流量进行识别判断；否，则计算加密流量的哈希值，进而对加密流量进行识别。

5.根据权利要求3所述的基于人工智能的加密流量识别方法，其特征在于，在获取所述目标流量之后，提取所述目标流量的终端标识和服务器标识，分别整合成终端序列和服务器序列，包括：

6.根据权利要求5所述的基于人工智能的加密流量识别方法，其特征在于，通过人工智能模型对所述终端序列中的各终端进行归类，包括：

7.根据权利要求6所述的基于人工智能的加密流量识别方法，其特征在于，通过人工智能模型对所述服务器序列中的各服务器进行归类，包括：

8.根据权利要求7所述的基于人工智能的加密流量识别方法，其特征在于，根据各终端以及各服务器的归类结果判断加密流量是否异常，包括：

9.基于人工智能的加密流量识别系统，用于执行根据权利要求1至8所述的基于人工智能的加密流量识别方法，其特征在于，包括中枢控制模块，以及与之相连接的数据采集模块，数据采集模块用于采集网络系统的网络流量；

10.基于人工智能的加密流量识别装置，其特征在于，包括存储介质和处理器，所述存储介质存储有操作指令，所述处理器执行操作指令执行权利要求1至9任意一项所述的基于人工智能的加密流量识别方法。

技术总结
本发明公开了基于人工智能的加密流量识别方法，涉及网络安全技术领域，解决了现有技术在进行加密流量识别时，没有考虑多终端或多服务器的情况，导致加密流量难以全场景识别的技术问题；本发明对加密流量进行哈希计算，根据对应哈希值在目标时间范围内进行匹配生成目标流量；对网络流量进行初步识别，同时根据哈希值在目标时间范围内匹配能够降低匹配难度，提高加密流量的识别准确性；本发明提取目标流量中的终端标识和服务器标识，进而整合获取终端序列和服务器序列；对各终端和各服务器进行归类，根据归类结果判断加密流量是否异常；能够对多终端攻击多服务器的行为进行准确识别，有助于提高加密流量的识别准确性，降低网络系统被攻击的概率。

技术研发人员：方圆,张亮,盛剑桥,张冠男,管建超
受保护的技术使用者：国网安徽省电力有限公司信息通信分公司
技术研发日：
技术公布日：2024/1/12