CN114465786A - 一种加密网络流量的监控方法 - Google Patents

一种加密网络流量的监控方法 Download PDF

Info

Publication number
CN114465786A
CN114465786A CN202210074853.4A CN202210074853A CN114465786A CN 114465786 A CN114465786 A CN 114465786A CN 202210074853 A CN202210074853 A CN 202210074853A CN 114465786 A CN114465786 A CN 114465786A
Authority
CN
China
Prior art keywords
flow
encrypted
model
traffic
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210074853.4A
Other languages
English (en)
Other versions
CN114465786B (zh
Inventor
郑超
黄园园
陈劲松
卢文朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongdian Jizhi Hainan Information Technology Co ltd
Original Assignee
Zhongdian Jizhi Hainan Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongdian Jizhi Hainan Information Technology Co ltd filed Critical Zhongdian Jizhi Hainan Information Technology Co ltd
Priority to CN202210074853.4A priority Critical patent/CN114465786B/zh
Publication of CN114465786A publication Critical patent/CN114465786A/zh
Application granted granted Critical
Publication of CN114465786B publication Critical patent/CN114465786B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种加密网络流量的监控方法,包括加密流量,通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;本发明提出的一种加密流量监控方法,在实践中可使加密流量网络的可见性方法和实现算法得到增强,采用基于数据分箱的流量模型技术,在不解密网络内容的情况下,不仅可以大大降低监测过程的计算量,还可以检查流量是否符合预期的行为模型,达到监控识别恶意流量的目的。

Description

一种加密网络流量的监控方法
技术领域
本发明涉及网络监控技术领域,主要提供一种加密网络流量的监控方法。
背景技术
近年来,网络流量在不同的网络协议和行为准则下发生了巨大变化,大多数网络流量以加密的方式进行传输,随着加密网络流量的逐步盛行,明文协议的使用频率较低,尽管它们在LAN网络中仍然相对流行,在网络内容加密传输的应用场景中,网络的可见性就变得尤为重要了。这意味着需要用新的测量指标来补充现有技术,检测加密网络流量的同时对该流量进行特征化,用于识别网络行为以及防备安全威胁和变化。
假设网络的可见性是当代网络安全机制的基础,显然很有必要采取适当的措施及机制来保证零信任或虚拟网络的正常运行;因为各种原因,加密流量的解密并不实用,包括但不限于道德和技术问题,这些问题阻止中间人技术在非 TLS(传输层安全)协议(如SSH、BitTorrent和Skype)上运行。
与传统的其他的方法不同,本发明在不搜索特定流量或恶意软件指纹的情况下,以简化计算量的方式构建网络流量模型对流量进行分类。同时定义了一种新的度量指标和技术,类似于用于明文的指标和技术,可以用于加密流量的处理。达到了在不解码加密流量有效负载的情况下与明文传输具有相同级别的可见性,以解决以上的缺陷。
发明内容
(一)发明目的
本发明的目的在于提供一种加密网络流量的监控方法,以解决上述背景技术中提出的问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种加密网络流量的监控方法,包括加密流量,其特征在于:通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;从而达到少量计算就可以实现监控加密流量的目的;对于新增的流量模型,将该流量设置为未知流量模型,同时将流量设置为有限权限,可访问部分必要的网络***资源,计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型,其具体步骤流程如下:
步骤一,设置加密流量模型的监测度量指标,形成度量指标向量,
Figure RE-GDA0003582246980000022
其中,ωi表示加密流量模型的度量的第i 个指标,N表示加密流量模型度量指标总数;
步骤二,加密流量数据样本采集:根据加密流量数据包头信息中的五元组将加密网络流量数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具比如:CICFlowMeter对各个网络流进行特征提取,提取每个网络流的特征值,比如:
Figure RE-GDA0003582246980000021
Figure RE-GDA0003582246980000031
按照上述指标采集已知标准加密流量数据样本中的流量指标,形成流量模型
Figure RE-GDA0003582246980000032
标准流量样本或来自互联网上下载CICIDS2017的加密流量数据集,或来自NIST物联网加密流量集,或来自实时采集的含有恶意流量的数据集合,加密流量的采集数量不低于某个门限,且包含当前已知的各种正常以及非正常加密流量。然后将采集的指标构成流量模型指标库
Figure RE-GDA0003582246980000033
步骤三,计算加密流量模型指标库的特征值,在上述流量模型库中,根据相同的协议版本号的流量指标向量,采用分箱的技术方法构建流量模型的指标库特征值,分箱采用非对称的方式进行构建。
优选的,首先进行下面的度量指标的计算:
1.将加密流量连接建立后首个流量包的载荷大小划分为Ml个分箱,分别为
Figure RE-GDA0003582246980000034
其中PLi表示第i个分箱的范围,分箱范围分别为,PL1:小于2α个字节;PL2:包含在区间2α至2α+1个字节;PL3:包含在区间2α+1至2α+2个字节;
Figure RE-GDA0003582246980000035
大于
Figure RE-GDA0003582246980000036
个字节。优选地,α=5,M1=8。
2.将加密流量包的IAT也划分为M2个分箱,分别为
Figure RE-GDA0003582246980000041
其中IATi表示第i个分箱的IAT值的范围,分箱范围分别为,IAT1:小于20*Tms;IAT2:包含在区间 20*Tms至21*Tms;IAT3:包含在区间21*Tms至 22*Tms;
Figure RE-GDA0003582246980000042
大于
Figure RE-GDA0003582246980000043
优选地,T=1,M2=8。
3.将加密流量连接持续时间划分为M3个分箱,分别为
Figure RE-GDA0003582246980000044
其中FD1:小于F0*R秒,FD2:包含在 F0*R秒至F1*R秒之间;
Figure RE-GDA0003582246980000045
大于
Figure RE-GDA0003582246980000046
秒。优选地, R=1,F=2.6,M3=8。
4.将加密流量新连接创建的频率划分为M4个分箱,分别为
Figure RE-GDA0003582246980000047
其中CF1:大于C0*R次/秒,CF2:包含在小于C0*R次/秒至C-1*R次/秒,
Figure RE-GDA0003582246980000048
小于
Figure RE-GDA0003582246980000049
次 /秒。优选地R=1,C=2.5,M4=8。
5.计算负载字节信息熵H(X):为了节省周期计算的计算开销,基于连接的第一个长度为L的数据包,比如256,创建一个长度为L的整数向量
Figure RE-GDA00035822469800000410
对于有效负载的每个字节,变换为该整数向量的元素。然后在此向量上计算字节熵。
Figure RE-GDA0003582246980000051
其中,Vk表示在向量
Figure RE-GDA0003582246980000052
中为取值为k的频次。
优选的,步骤四,归一化流量模型指标库特征值,建立加密流量的流量模型,首先,将步骤三计算获得的流量包载荷大小、流量包的IAT、连接持续时间和连接建立的频次等数据分箱进行归一化处理输出相应的值,比如:分箱值归一化为占总数的百分比,这使能够保留时间或数据包长度的简单细节,同时也考虑流之间的差异。
优选的,对于每一个度量指标分别用一个64位的值来标识分箱,其中该值的8个字节对应的二进制的值分别对应为第i个数据分箱的值,其中,PL′表示流量包的载荷大小分箱经过归一化后的64比特无符号整数值,IAT′表示加密流量包的IAT分箱经过归一化后的64比特无符号整数值,FD′表示加密流量连接持续时间分箱经过归一化后的64比特无符号整数值,CF′表示加密流量新连接创建的频率分箱经过归一化后的64比特无符号整数值。
6、优选的,其次,计算流量模型参数,基于步骤一的数据集,基于同一种类型流量的多个样本计算上述四个无符号64比特整数值的平均值,以及服务端到客户端的字节熵和客户端到服务端的字节熵,流量模型与参数表对应关系如下:
Figure RE-GDA0003582246980000061
根据上述表格中的流量参数计算获得的流量模型标识,既可以区分正常流量,也可以区分恶意流量,对于恶意流量模型,设置相关的流量模型标识,便于对恶意流量进行监控以及告知网络控制***进行相应的处理。
优选的,步骤五:分别计算被检测加密流量与流量模型的欧式距离,对流量进行分类;基于上述流量模型的参数,分别计算被检测新流量与各流量模型的欧式距离,计算方法如下:
Figure RE-GDA0003582246980000062
其中,ωj,k表示第j个模型的第k个度量指标,Yk表示被检测流量的第k个度量指标,N表示步骤五中构建模型采用的度量指标总数量,优选的N=6。Dj表示被检测流量与第j个模型的欧式距离,如果Dj小于某个预设的门限值Tj,则认为该流量合法,否则认为该流量为新流量模型。
优选的,对于新流量模型,将该流量设置为未知流量模型,告知网络监控***,将该流量设置为有限权限,可访问部分必要的网络***资源,同时计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型。
与现有技术相比,本发明的有益效果是:本发明提出的一种加密流量监控方法,在实践中可使加密流量网络的可见性方法和实现算法得到增强,采用基于数据分箱的流量模型技术,在不解密网络内容的情况下,不仅可以大大降低监测过程的计算量,还可以检查流量是否符合预期的行为模型,达到监控识别恶意流量的目的。
附图说明
图1为本发明的流程示意图。
具体实施方式
请参阅图1,本发明提供一种技术方案:一种加密网络流量的监控方法,包括加密流量,通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;从而达到少量计算就可以实现监控加密流量的目的;对于新增的流量模型,将该流量设置为未知流量模型,同时将流量设置为有限权限,可访问部分必要的网络***资源,计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型,其具体步骤流程如下:
步骤一,设置加密流量模型的监测度量指标,形成度量指标向量,
Figure RE-GDA0003582246980000081
其中,ωi表示加密流量模型的度量的第i个指标,N表示加密流量模型度量指标总数;
步骤二,加密流量数据样本采集:根据加密流量数据包头信息中的五元组将加密网络流量数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具比如:CICFlowMeter对各个网络流进行特征提取,提取每个网络流的特征值,比如:
Figure RE-GDA0003582246980000082
按照上述指标采集已知标准加密流量数据样本中的流量指标,形成流量模型
Figure RE-GDA0003582246980000083
标准流量样本或来自互联网上下载CICIDS2017的加密流量数据集,或来自NIST物联网加密流量集,或来自实时采集的含有恶意流量的数据集合,加密流量的采集数量不低于某个门限,且包含当前已知的各种正常以及非正常加密流量。然后将采集的指标构成流量模型指标库
Figure RE-GDA0003582246980000084
步骤三,计算加密流量模型指标库的特征值,在上述流量模型库中,根据相同的协议版本号的流量指标向量,采用分箱的技术方法构建流量模型的指标库特征值,分箱采用非对称的方式进行构建。
进一步的,首先进行下面的度量指标的计算:
1.将加密连接建立后首个流量包的载荷大小划分为M1个分箱,分别为
Figure RE-GDA0003582246980000091
其中PLi表示第i个分箱的范围,分箱范围分别为, PL1:小于2α个字节;PL2:包含在区间2α至2α+1个字节;PL3:包含在区间2α+1至2α+2个字节;
Figure RE-GDA0003582246980000092
大于
Figure RE-GDA0003582246980000093
个字节。优选地,α=5,M1=8。
2.将加密流量包的IAT也划分为M2个分箱,分别为
Figure RE-GDA0003582246980000094
其中IATi表示第i个分箱的IAT值的范围,分箱范围分别为,IAT1:小于20*Tms;IAT2:包含在区间20*Tms 至21*Tms;IAT3:包含在区间21*Tms至22*Tms;
Figure RE-GDA0003582246980000095
大于
Figure RE-GDA0003582246980000099
优选地,T=1,M2=8。
3.将加密流量连接持续时间划分为M3个分箱,分别为
Figure RE-GDA0003582246980000096
其中FD1:小于F0*R秒,FD2:包含在 F0*R秒至F1*R秒之间;
Figure RE-GDA0003582246980000098
大于
Figure RE-GDA0003582246980000097
秒。优选地,R=1,F=2.6,M3=8。
4.将加密流量新连接创建的频率划分为M4个分箱,分别为
Figure RE-GDA0003582246980000101
其中CF1:大于C0*R次/秒,CF2:包含在小于C0*R次/秒至G-1*R次/秒,
Figure RE-GDA0003582246980000102
小于
Figure RE-GDA0003582246980000103
次/ 秒。优选地R=1,C=2.5,M4=8。
5.计算负载字节信息熵H(X):为了节省周期计算的计算开销,基于连接的第一个长度为L的数据包,比如256,创建一个长度为L的整数向量
Figure RE-GDA0003582246980000104
对于有效负载的每个字节,变换为该整数向量的元素。然后在此向量上计算字节熵。
Figure RE-GDA0003582246980000105
其中,Vk表示在向量
Figure RE-GDA0003582246980000106
中为取值为k的频次。
进一步的,步骤四,归一化流量模型指标库特征值,建立加密流量的流量模型,首先,将步骤三计算获得的流量包载荷大小、流量包的IAT、连接持续时间和连接建立的频次等数据分箱进行归一化处理输出相应的值,比如:分箱值归一化为占总数的百分比,这使能够保留时间或数据包长度的简单细节,同时也考虑流之间的差异。
进一步的,对于每一个度量指标分别用一个64位的值来标识分箱,其中该值的8个字节对应的二进制的值分别对应为第i个数据分箱的值,其中,PL′表示流量包的载荷大小分箱经过归一化后的64比特无符号整数值,IAT′表示加密流量包的IAT分箱经过归一化后的64比特无符号整数值,FD′表示加密流量连接持续时间分箱经过归一化后的64比特无符号整数值,CF′表示加密流量新连接创建的频率分箱经过归一化后的64比特无符号整数值。
进一步的,其次,计算流量模型参数,基于步骤一的数据集,基于同一种类型流量的多个样本计算上述四个无符号64比特整数值的平均值,以及服务端到客户端的字节熵和客户端到服务端的字节熵,流量模型与参数表对应关系如下:
Figure RE-GDA0003582246980000111
根据上述表格中的流量参数计算获得的流量模型标识,既可以区分正常流量,也可以区分恶意流量,对于恶意流量模型,设置相关的流量模型标识,便于对恶意流量进行监控以及告知网络控制***进行相应的处理。
进一步的,步骤五:分别计算被检测加密流量与流量模型的欧式距离,对流量进行分类;基于上述流量模型的参数,分别计算被检测新流量与各流量模型的欧式距离,计算方法如下:
Figure RE-GDA0003582246980000121
其中,ωj,k表示第j个模型的第k个度量指标,Yk表示被检测流量的第k个度量指标,N表示步骤五中构建模型采用的度量指标总数量,优选的N=6。Dj表示被检测流量与第j个模型的欧式距离,如果Dj小于某个预设的门限值Tj,则认为该流量合法,否则认为该流量为新流量模型。
进一步的,步骤六:对于新流量模型,将该流量设置为未知流量模型,告知网络监控***,将该流量设置为有限权限,可访问部分必要的网络***资源,同时计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型。
本发明的工作原理:本发明提出的一种加密流量监控方法,在实践中可使加密流量网络的可见性方法和实现算法得到增强,采用基于数据分箱的流量模型技术,在不解密网络内容的情况下,不仅可以大大降低监测过程的计算量,还可以检查流量是否符合预期的行为模型,达到监控识别恶意流量的目的。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。术语“中心”、“纵向”、“横向”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为便于描述本发明的简化描述,而不是指示或暗指所指的装置或元件必须具有特定的方位、为特定的方位构造和操作,因而不能理解为对本发明保护内容的限制。
尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种加密网络流量的监控方法,包括加密流量,其特征在于:通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;从而达到少量计算就可以实现监控加密流量的目的;对于新增的流量模型,将该流量设置为未知流量模型,同时将流量设置为有限权限,可访问部分必要的网络***资源,计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型,其具体步骤流程如下:
步骤一,设置加密流量模型的监测度量指标,形成度量指标向量,
Figure RE-FDA0003582246970000011
其中,ωi表示加密流量模型的度量的第i个指标,N表示加密流量模型度量指标总数;
步骤二,加密流量数据样本采集:根据加密流量数据包头信息中的五元组将加密网络流量数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具比如:CICFlowMeter对各个网络流进行特征提取,提取每个网络流的特征值,比如:
Figure RE-FDA0003582246970000012
Figure RE-FDA0003582246970000021
按照上述指标采集已知标准加密流量数据样本中的流量指标,形成流量模型
Figure RE-FDA0003582246970000022
标准流量样本或来自互联网上下载CICIDS2017的加密流量数据集,或来自NIST物联网加密流量集,或来自实时采集的含有恶意流量的数据集合,加密流量的采集数量不低于某个门限,且包含当前已知的各种正常以及非正常加密流量。然后将采集的指标构成流量模型指标库
Figure RE-FDA0003582246970000023
步骤三,计算加密流量模型指标库的特征值,在上述流量模型库中,根据相同的协议版本号的流量指标向量,采用分箱的技术方法构建流量模型的指标库特征值,分箱采用非对称的方式进行构建。
2.根据权利要求1所述的一种加密网络流量的监控方法,其特征在于:首先进行下面的度量指标的计算:
1.将加密流量连接建立后首个流量包的载荷大小划分为M1个分箱,分别为
Figure RE-FDA0003582246970000024
其中PLi表示第i个分箱的范围,分箱范围分别为,PL1:小于2α个字节;PL2:包含在区间2α至2α+1个字节;PL3:包含在区间2α+1至2α+2个字节;
Figure RE-FDA0003582246970000025
大于
Figure RE-FDA0003582246970000026
个字节。优选地,a=5,M1=8。
2.将加密流量包的IAT也划分为M2个分箱,分别为
Figure RE-FDA0003582246970000031
其中IATi表示第i个分箱的IAT值的范围,分箱范围分别为,IAT1:小于20*Tms;IAT2:包含在区间20*Tms至21*Tms;IAT3:包含在区间21*Tms至22*Tms;
Figure RE-FDA0003582246970000032
大于
Figure RE-FDA00035822469700000310
优选地,T=1,M2=8。
3.将加密流量连接持续时间划分为M3个分箱,分别为
Figure RE-FDA0003582246970000033
其中FD1:小于F0*R秒,FD2:包含在F0*R秒至F1*R秒之间;
Figure RE-FDA0003582246970000034
大于
Figure RE-FDA0003582246970000035
秒。优选地,R=1,F=2.6,M3=8。
4.将加密流量新连接创建的频率划分为M4个分箱,分别为
Figure RE-FDA0003582246970000036
其中CF1:大于C0*R次/秒,CF2:包含在小于次/秒至C-1*R次/秒,
Figure RE-FDA0003582246970000037
小于
Figure RE-FDA0003582246970000038
次/秒。优选地R=1,C=2.5,M4=8。
5.计算负载字节信息熵H(X):为了节省周期计算的计算开销,基于连接的第一个长度为L的数据包,比如256,创建一个长度为L的整数向量
Figure RE-FDA0003582246970000039
对于有效负载的每个字节,变换为该整数向量的元素。然后在此向量上计算字节熵。
Figure RE-FDA0003582246970000041
其中,vk表示在向量
Figure RE-FDA0003582246970000042
中为取值为k的频次。
3.根据权利要求2所述的一种加密网络流量的监控方法,其特征在于:步骤四,归一化流量模型指标库特征值,建立加密流量的流量模型,首先,将步骤三计算获得的流量包载荷大小、流量包的IAT、连接持续时间和连接建立的频次等数据分箱进行归一化处理输出相应的值,比如:分箱值归一化为占总数的百分比,这使能够保留时间或数据包长度的简单细节,同时也考虑流之间的差异。
4.根据权利要求3所述的一种加密网络流量的监控方法,其特征在于:对于每一个度量指标分别用一个64位的值来标识分箱,其中该值的8个字节对应的二进制的值分别对应为第i个数据分箱的值,其中,PL′表示流量包的载荷大小分箱经过归一化后的64比特无符号整数值,IAT′表示加密流量包的IAT分箱经过归一化后的64比特无符号整数值,FD′表示加密流量连接持续时间分箱经过归一化后的64比特无符号整数值,CF′表示加密流量新连接创建的频率分箱经过归一化后的64比特无符号整数值。
5.根据权利要求4所述的一种加密网络流量的监控方法,其特征在于:其次,计算流量模型参数,基于步骤一的数据集,基于同一种类型流量的多个样本计算上述四个无符号64比特整数值的平均值,以及服务端到客户端的字节熵和客户端到服务端的字节熵,流量模型与参数表对应关系如下:
Figure RE-FDA0003582246970000051
根据上述表格中的流量参数计算获得的流量模型标识,既可以区分正常流量,也可以区分恶意流量,对于恶意流量模型,设置相关的流量模型标识,便于对恶意流量进行监控以及告知网络控制***进行相应的处理。
6.根据权利要求5所述的一种加密网络流量的监控方法,其特征在于:步骤五:分别计算被检测加密流量与流量模型的欧式距离,对流量进行分类;基于上述流量模型的参数,分别计算被检测新流量与各流量模型的欧式距离,计算方法如下:
Figure RE-FDA0003582246970000052
其中,ωj,k表示第j个模型的第k个度量指标,Yk表示被检测流量的第k个度量指标,N表示步骤五中构建模型采用的度量指标总数量,优选的N=6。Dj表示被检测流量与第j个模型的欧式距离,如果Dj小于某个预设的门限值Tj,则认为该流量合法,否则认为该流量为新流量模型。
7.根据权利要求6所述的一种加密网络流量的监控方法,其特征在于:步骤六:对于新流量模型,将该流量设置为未知流量模型,告知网络监控***,将该流量设置为有限权限,可访问部分必要的网络***资源,同时计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型。
CN202210074853.4A 2022-01-21 2022-01-21 一种加密网络流量的监控方法 Active CN114465786B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210074853.4A CN114465786B (zh) 2022-01-21 2022-01-21 一种加密网络流量的监控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210074853.4A CN114465786B (zh) 2022-01-21 2022-01-21 一种加密网络流量的监控方法

Publications (2)

Publication Number Publication Date
CN114465786A true CN114465786A (zh) 2022-05-10
CN114465786B CN114465786B (zh) 2023-10-20

Family

ID=81410853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210074853.4A Active CN114465786B (zh) 2022-01-21 2022-01-21 一种加密网络流量的监控方法

Country Status (1)

Country Link
CN (1) CN114465786B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117692257A (zh) * 2024-02-02 2024-03-12 数盾信息科技股份有限公司 一种电力物联网业务数据的高速加密方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871832A (zh) * 2016-03-29 2016-08-17 北京理工大学 一种基于协议属性的网络应用加密流量识别方法及其装置
US20170364794A1 (en) * 2016-06-20 2017-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Method for classifying the payload of encrypted traffic flows
CN107749859A (zh) * 2017-11-08 2018-03-02 南京邮电大学 一种面向网络加密流量的恶意移动应用检测方法
CN108833360A (zh) * 2018-05-23 2018-11-16 四川大学 一种基于机器学习的恶意加密流量识别技术
CN110012029A (zh) * 2019-04-22 2019-07-12 中国科学院声学研究所 一种区分加密和非加密压缩流量的方法和***
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871832A (zh) * 2016-03-29 2016-08-17 北京理工大学 一种基于协议属性的网络应用加密流量识别方法及其装置
US20170364794A1 (en) * 2016-06-20 2017-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Method for classifying the payload of encrypted traffic flows
CN107749859A (zh) * 2017-11-08 2018-03-02 南京邮电大学 一种面向网络加密流量的恶意移动应用检测方法
CN108833360A (zh) * 2018-05-23 2018-11-16 四川大学 一种基于机器学习的恶意加密流量识别技术
CN110012029A (zh) * 2019-04-22 2019-07-12 中国科学院声学研究所 一种区分加密和非加密压缩流量的方法和***
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117692257A (zh) * 2024-02-02 2024-03-12 数盾信息科技股份有限公司 一种电力物联网业务数据的高速加密方法及装置
CN117692257B (zh) * 2024-02-02 2024-04-30 数盾信息科技股份有限公司 一种电力物联网业务数据的高速加密方法及装置

Also Published As

Publication number Publication date
CN114465786B (zh) 2023-10-20

Similar Documents

Publication Publication Date Title
KR101409563B1 (ko) 애플리케이션 프로토콜 식별 방법 및 장치
EP3304853B1 (en) Detection of malware and malicious applications
KR101295708B1 (ko) 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법
Lin et al. Application classification using packet size distribution and port association
US10855549B2 (en) Network data processing driver for a cognitive artificial intelligence system
US20060262789A1 (en) Method and corresponding device for packets classification
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
WO2020228527A1 (zh) 数据流的分类方法和报文转发设备
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
CN114465786B (zh) 一种加密网络流量的监控方法
US10187414B2 (en) Differential malware detection using network and endpoint sensors
KR101437008B1 (ko) 트래픽 분석 장치 및 방법
CN113037748A (zh) 一种c&c信道混合检测方法及***
Oh et al. Appsniffer: Towards robust mobile app fingerprinting against VPN
CN114465787B (zh) 一种基于dpi的物联网加密流量监控方法
CN114124551B (zh) 一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法
CN114978593B (zh) 基于图匹配的不同网络环境的加密流量分类方法及***
KR20140117217A (ko) 빅데이터 분석을 이용한 유해 정보 수집 방법 및 장치
CN115065592A (zh) 信息处理方法、装置及存储介质
CN114338070B (zh) 基于协议属性的Shadowsocks(R)识别方法
Kong et al. A method of detecting the abnormal encrypted traffic based on machine learning and Behavior characteristics
CN115766204B (zh) 一种针对加密流量的动态ip设备标识***及方法
CN106911586B (zh) 一种服务质量Qos优化方法和装置
CN106790245B (zh) 一种基于云服务的实时僵尸网络检测方法
CN114006725B (zh) 一种多层次信息融合的网络攻击态势实时感知方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 571924 301, floor 3, building A09, Hainan Ecological Software Park, Laocheng high tech industry demonstration zone, Haikou City, Hainan Province

Applicant after: Jizhi (Hainan) Information Technology Co.,Ltd.

Address before: 571924 301, floor 3, building A09, Hainan Ecological Software Park, Laocheng high tech industry demonstration zone, Haikou City, Hainan Province

Applicant before: Zhongdian Jizhi (Hainan) Information Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant