基于流量和时序识别TLS加密应用的方法和系统技术方案

本发明专利技术提供一种基于流量和时序识别TLS加密应用的方法和系统，通过根据客户端发送的流量数据是否携带业务载荷或携带的握手信息是否完整，可以快速筛查出恶意代码；通过提取出流量数据的时序特征和空间特征，进行随机森林分类，可以全方面检测并快速突出所需的特征向量，利用整合的不同的分类能力，克服了现有技术恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测，以及需要在新加密协议TLS1.3一次往返过程中完成识别检测的问题。TLS1.3一次往返过程中完成识别检测的问题。TLS1.3一次往返过程中完成识别检测的问题。

【技术实现步骤摘要】
基于流量和时序识别TLS加密应用的方法和系统


[0001]本申请涉及网络安全
，尤其涉及一种基于流量和时序识别TLS加密应用的方法和系统。

技术介绍

[0002]随着流量加密技术的不断发展，加密流量逐渐取代非加密流量成为当前网络的主流，其在保护用户隐私的同时，也常被各种恶意软件用来规避传统的基于端口或载荷关键词的入侵检测系统，给网络安全带来了严重威胁。为了实现网络加密环境下的恶意加密流量精确检测，有必要提出一种针对流量加密的识别检测方法和系统。
[0003]同时，新出现的TLS1.3加密协议与之前的TLS1.2加密协议相比，加密连接速度更快了，不再需要两次往返的握手过程，只需要一次往返即可完成握手。这使得在新加密协议TLS1.3使用场景中，识别检测速度要更快更高效，从而在握手成功前发现恶意代码的存在。
[0004]因此，急需一种针对性的基于流量和时序识别TLS加密应用的方法和系统。

技术实现思路

[0005]本专利技术的目的在于提供一种基于流量和时序识别TLS加密应用的方法和系统，解决恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测，以及需要在新加密协议TLS1.3一次往返过程中完成识别检测的问题。
[0006]第一方面，本申请提供一种基于流量和时序识别TLS加密应用的方法，所述方法包括：
[0007]获取客户端的流量数据，以会话为单位将所述网络流量数据划分为不同的会话流量，提取所述会话流量的特征向量，判断所述特征向量是否包括业务载荷，以及判断握手信息是否完整；
[0008]根据划分得到会话流量的数量，判断是否执行进一步的特征压缩，当所述会话流量的数量超过预设的阈值时，则执行特征压缩，将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块；
[0009]所述时序特征模块包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
[0010]所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同流量载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵Q、K、V，并行对所述权重矩阵Q、K、V进行线性变换，合并输出全局特征；
[0011]提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所
述会话流量的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量；
[0012]将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
[0013]根据所述分类结果判断所述客户端的流量数据中是否有恶意代码，当所述客户端的流量数据中存在恶意代码，则服务器终止TLS1.3握手过程。
[0014]第二方面，本申请提供一种基于流量和时序识别TLS加密应用的系统，所述系统包括：
[0015]预处理模块，用于获取客户端的流量数据，以会话为单位将所述网络流量数据划分为不同的会话流量，提取所述会话流量的特征向量，判断所述特征向量是否包括业务载荷，以及判断握手信息是否完整；根据划分得到会话流量的数量，判断是否执行进一步的特征压缩，当所述会话流量的数量超过预设的阈值时，则执行特征压缩，将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块；
[0016]时序特征模块，包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；
[0017]空间特征模块，包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同流量载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵Q、K、V，并行对所述权重矩阵Q、K、V进行线性变换，合并输出全局特征；
[0018]分类模块，用于提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量；将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；
[0019]执行模块，用于根据所述分类结果判断所述客户端的流量数据中是否有恶意代码，当所述客户端的流量数据中存在恶意代码，则服务器终止TLS1.3握手过程。
[0020]第三方面，本申请提供一种基于流量和时序识别TLS加密应用的系统，所述系统包括处理器以及存储器：
[0021]所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
[0022]所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
[0023]第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面四种可能中任一项所述的方法。
[0024]有益效果
[0025]本专利技术提供一种基于流量和时序识别TLS加密应用的方法和系统，通过根据客户
端发送的流量数据是否携带业务载荷或携带的握手信息是否完整，可以快速筛查出恶意代码；通过提取出流量数据的时序特征和空间特征，进行随机森林分类，可以全方面检测并快速突出所需的特征向量，利用整合的不同的分类能力，克服了现有技术恶意代码借用加密流量规避基于端口或载荷关键词的入侵检测，以及需要在新加密协议TLS1.3一次往返过程中完成识别检测的问题。
附图说明
[0026]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0027]图1为本专利技术基于流量和时序识别TLS加密应用的方法的大致流程图；
[0028]图2为本专利技术基于流量和时序识别TLS加密应用的系统的架构图。
具体实施方式
[0029]下面结合附图对本专利技术的优选实施例进行详细阐述，以使本专利技术的优点和特征能更易于被本领域技术人员理解，从而对本专利技术的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于流量和时序识别TLS加密应用的方法，其特征在于，所述方法包括：获取客户端的流量数据，以会话为单位将所述网络流量数据划分为不同的会话流量，提取所述会话流量的特征向量，判断所述特征向量是否包括业务载荷，以及判断握手信息是否完整；根据划分得到会话流量的数量，判断是否执行进一步的特征压缩，当所述会话流量的数量超过预设的阈值时，则执行特征压缩，将之前提取得到的所述会话流量的特征向量分别输入时序特征模块和空间特征模块；所述时序特征模块包括若干隐藏层神经元，所述隐藏层神经元分为两组，一组为前向反馈线路，另一组为反向反馈线路，由此组成双向反馈环，每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息，以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息，输出当前时刻的隐藏层信息和当前神经元更新后的状态信息，输出至所述时序特征模块的累加单元进行向量元素对位相加；所述空间特征模块包括将全局的特征向量保存在多个局部特征矩阵中，捕获不同流量载荷之间的时间序列关系，得到向量之间数据的长距离依赖关系，赋予向量不同的权重值，组成不同的权重矩阵Q、K、V，并行对所述权重矩阵Q、K、V进行线性变换，合并输出全局特征；提取所述时序特征模块和空间特征模块的全连接神经网络的中间层输出作为所述会话流量的新的时序特征和空间特征，将所述新的时序特征和空间特征拼接在一起得到所述会话流量的混合特征向量；将所述混合特征向量传输到服务器的随机森林中进行分类，随机森林进行n轮抽取，得到n个训练集，使用抽取的n个训练集由列采样随机使用指定量特征值训练得到n棵决策树，所述n棵决策树按照投票的方式得到分类结果；根据所述分类结果判断所述客户端的流量数据中是否有恶意代码，当所述客户端的流量数据中存在恶意代码，则服务器终止TLS1.3握手过程。2.根据权利要求1所述的方法，其特征在于：所述判断所述特征向量是否包括业务载荷，以及判断握手信息是否完整，包括：如果会话流量的特征向量不包括业务载荷，则认定该会话流量与业务无关，是恶意代码篡改的结果；如果会话流量的握手信息不完整，则认定该会话流量是恶意代码篡改的结果。3.根据权利要求1所述的方法，其特征在于：所述每棵决策树的分类能力具有针对性，所述指定量特征值是根据不同分类得出的，将同一个特征向量矩阵通过决策树按照不同的角度进行分类，即完成针对不同分类能力的整合功能。4.根据权利要求2或3任一项所述的方法，其特征在于：所述投票的...

【专利技术属性】
技术研发人员：吴冠标，胡文波，郭天瑞，李新，
申请(专利权)人：天津市国瑞数码安全系统股份有限公司，
类型：发明
国别省市：