[发明专利]一种多分类器自适应融合的HTTPS加密流量分类方法

说明书

一种基于多分类器自适应融合的HTTPS加密流量分类方法，选择了HTTPS连接中常见的连接特征、SSL特征、证书特征等三类特征，对于不同特征分别使用不同的分量分类器进行训练并最终将分量分类器进行融合，与每个分量分类器相比，融合分类器拥有更高的分类精度和分类效果。同时，分量分类器融合权重也不是人为设置或根据分量分类器性能进行设置，而是根据训练样本中三类特征相对于各个类别的不同相关性而进行动态权值设置，可以更好的提高融合分类器的分类精度和分类效果。

技术领域

本发明涉及网络安全相关技术领域，具体而言，涉及一种HTTPS网络流量分类方法。

背景技术

随着互联网的广泛应用，数据安全保护显得尤为重要。为了解决这一问题，HTTPS协议在HTTP协议的基础上结合了SSL/TLS协议，通过建立安全通道线路对HTTP协议内容进行加密传输，防止通信内容被窃听或篡改。截至今日，超过65％的网络流量已经使用HTTPS加密协议进行传输。伴随着HTTPS的广泛使用，针对HTTPS协议的恶意流量攻击页层出不穷，如SSL劫持攻击、HTTPS Flood攻击等，不同的攻击方式对应的防御方式也有所不同。因此，需要对攻击进行检测分类，针对不同类型攻击采取不同防御手段。

但是，HTTPS协议在保护隐私的同时，也让对恶意流量的检测分类变得困难。传统的检测方法需要通过安装HTTPS拦截代理对加密流量进行解密后使用经典检测方法进行流量检测、分类。不过这一检测方式效率不高。

如果不对HTTPS进行解密操作，而是通过流量包深度解析方式的方式对HTTPS流量进行提取，可以发现HTTPS流量数据包含多种特征，这些特征总体上可以分为连接特征、SSL特征、证书特征等。不同类型的攻击在特定特征空间内可能区分很好，而在其他特征空间很难甚至无法进行区分。而通常我们并不清楚应该选择哪类特征，因此在面对如此多的特征时，通常的做法是将所有特征组合成特征向量，然后根据某些特征选择方法进行特征选择，进而使用分类器实现分类。但是这样做会带来一些列问题，如特征爆炸，不同特征的归一化问题，分类器选择困难等。因此，可以充分利用不同分类器的有点和实用性，采取多模型融合的方式对其进行分类。

在多分类器加权融合的研究中，主要包括平均加权融合和基于识别性能的的加权融合。平均加权融合中各分类器具有相同的权值，无法体现出不同分类器所对应特征的重要程度；基于识别性能的融合基于模型训练结果赋予其不同的权值，但是当某一分类样本过少时容易出现权值误差。

发明内容

为了克服现有技术的不足，本发明提出一种多分类器自适应权值融合的HTTPS加密流量分类方法，提高HTTPS加密流量分类的准确度。

本发明提供的技术方案是：

一种多分类器自适应融合的HTTPS加密流量分类方法，包括以下步骤：

步骤1、获取关于HTTPS恶意攻击流量的数据集，进行解析并构建连接4元组，即源IP、目标IP、目标端口和协议；

步骤2，基于步骤1所提取的数据集进行随机化后提取训练样本和测试样本的特征，包括连接特征、SSL特征和证书特征；

步骤3，以步骤2所得分量训练子数据集和分量测试子数据集训练样本训练并调整分量分类器参数直到分量分类器达到一个较好的效果，然后采用训练后的分量分类器对步骤2所得待测子数据集S′_t进行分类；所述分量分类器包括基于一对多构建的SVM分类器、基于决策树的分类器、基于k最近邻算法KNN的分类器；