[发明专利]一种软投票策略的加密恶意流量检测方法

权利要求书

1.一种软投票策略的加密恶意流量检测方法，其特征在于，包括以下步骤：

步骤一，捕获流量包，构建原始流量数据集；

步骤二，过滤原始流量数据集中IP校验和无效的流量，并打上恶意/良性标签；

步骤三，解析流量包，进行特征提取，提取流级特征、连接特征、TLS握手特征和X.509证书特征，并采用流指纹组合每条流量的不同特征；

步骤四，将所述流级特征和连接特征通过流指纹组合，构成流特征子集，所述TLS握手特征和X.509证书特征通过流指纹组合，构成TLS特征子集，并将所述流特征子集进行标准化，得到标准流特征子集，将所述TLS特征子集采用ont-hot方式进行编码，

得到稀疏TLS特征子集；

步骤五，采用特征重要性评估法和主成分分析法分别对标准流特征子集和稀疏TLS特征子集进行特征降维；

步骤六，采用流指纹组合降维后的标准流特征子集和稀疏TLS特征子集，并添加一个TLS流的标注特征，得到特征集X；将特征集X与标签值Y构成样本集T，并将T划分为训练集和测试集；

步骤七，建立投票器模型，所述投票器模型包括决策树分类器、K近邻分类器、朴素贝叶斯分类器、极限随机树分类器和GBDT分类器；采用网格搜索法和控制变量法对投票器模型进行参数调节，采用层次分析法确定每一个投票器模型的权重ω_i，所有投票器模型的权重组成权重矩阵ω；

步骤八，根据权重矩阵ω采用加权策略组合投票器模型，建立基于软投票策略的多模型加权投票(SWVC)检测模型；所述SWVC检测模型的训练过程包括：每一个投票器模型独立的训练所有训练集样本，训练后分别输出每一个样本为恶意样本和良性样本的概率值；通过权重矩阵ω对每一个投票器模型的输出进行加权求和，得到每一个样本为恶意样本和良性样本的加权概率值；取两个加权概率值中较大数值所属的类别作为样本的预测类别；

步骤九，将训练集输入SWVC检测模型进行训练，将测试集输入训练完成的SWVC检测模型进行预测，并使用准确率、F₁分数和误报率3个指标对检测模型进行评估，所述F₁分数是精确率和召回率的调和平均数。

2.如权利要求1所述的一种软投票策略的加密恶意流量检测方法，其特征在于，所提取的流级特征、连接特征、TLS握手特征和X.509证书特征包括：

流级特征，包括流的特征和到达过程；连接特征，包括跟踪TCP/UDP建立连接的过程；

TLS握手特征，包括TLS握手过程中的Client Hello和Server Hello部分；X.509证书特征，包括TLS的证书校验过程。

3.如权利要求1所述的一种软投票策略的加密恶意流量检测方法，其特征在于，所述TLS流的标注特征包括：

将TLS握手过程中产生的TLS版本号特征作为一个TLS流的标识，标识由4个维度的稀疏矩阵构成，用于表示TLS加密流量的4个版本号，包括SSL3.0/TLS1.0/TLS1.1/TLS1.2。

4.如权利要求1所述的一种软投票策略的加密恶意流量检测方法，其特征在于，所述投票器模型的建立和参数调节包括：

投票器模型由决策树分类器、K近邻分类器、高斯朴素贝叶斯分类器、极限随机树分类器和GBDT分类器组成，采用控制变量法对决策树分类器、K近邻分类器和极限随机树分类器模型进行参数调节；采用网格寻优法对GBDT分类器和高斯朴素贝叶斯分类器模型进行参数调节。

5.如权利要求1所述的一种软投票策略的加密恶意流量检测方法，其特征在于，所述决策树分类器、K近邻分类器、朴素贝叶斯分类器、极限随机树分类器和GBDT分类器所对应的权重矩阵ω＝[0.2491，0.1243，0.0501，0.3293，0.2472]。