[发明专利]一种加密流量恶意性检测模型建立、检测方法及系统在审
| 申请号: | 202110602661.1 | 申请日: | 2021-05-31 |
| 公开(公告)号: | CN113329023A | 公开(公告)日: | 2021-08-31 |
| 发明(设计)人: | 李苗钰;刘雨彤;杜忠昊;董悦 | 申请(专利权)人: | 西北大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N20/00 |
| 代理公司: | 西安恒泰知识产权代理事务所 61216 | 代理人: | 王芳 |
| 地址: | 710069 *** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 加密 流量 恶意 检测 模型 建立 方法 系统 | ||
1.一种加密流量恶意性检测模型建立方法,其特征在于,包括如下步骤:
步骤1:采集加密流量原始数据集,对加密流量原始数据集进行清洗和分流,获得加密流量数据集,所述的加密流量数据集包括多个加密流量数据包,将每个加密流量数据包标记为恶意或良性获得标签集;
步骤2:提取加密流量数据集中每个加密流量数据包的TLS特征和统计特征,对每个加密流量数据包的TLS特征和统计特征采用启发式算法进行筛选获得每个加密流量数据包的优选特征向量,将加密流量数据集的全部优选特征作为优选特征向量集;
步骤3:建立随机森林模型,所述的随机森林模型包括多棵CART分类树,将优选特征集作为训练集结合步骤1获得的标签集对随机森林模型采用GridSearchCV网格搜索方法进行训练,训练过程中每轮迭代结束后更新决策树的棵数、决策树的最大深度和决策树的最大特征数,将训练好的随机森林模型作为加密流量恶意性检测模型。
2.如权利要求1所述的加密流量恶意性检测模型建立方法,其特征在于,所述的TLS特征包括TLS版本、TLS密码套件、TLS扩展、TLS扩展中的SAN数量和TLS公钥长度,所述的统计特征包括负载长度状态转移矩阵和字节分布特征。
3.一种加密流量恶意性检测方法,其特征在于,包括如下步骤:
步骤一:获取待检测加密流量数据包;
步骤二:提取待检测加密流量数据包的TLS特征和统计特征;
步骤三:将待检测加密流量数据包的TLS特征和统计特征输入权利要求1或2中加密流量恶意性检测模型建立方法得到的加密流量恶意性检测模型中,获得待检测加密流量数据包的恶意性检测结果。
4.一种加密流量恶意性检测系统,其特征在于,包括:加密流量恶意性检测模型和检测模块;
所述的加密流量恶意性检测模型为权利要求1或2中加密流量恶意性检测模型建立方法构建得到的;
所述的检测模块用于获取待检测加密流量数据包;提取待检测加密流量数据包的TLS特征和统计特征;将待检测加密流量数据包的TLS特征和统计特征输入加密流量恶意性检测模型中,获得待检测加密流量数据包的恶意性检测结果。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西北大学,未经西北大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110602661.1/1.html,转载请声明来源钻瓜专利网。
