[发明专利]一种软投票策略的加密恶意流量检测方法

说明书

本发明公开了一种软投票策略的加密恶意流量检测方法。本发明首先捕获流量包，将所捕获流量打上恶意/良性标签；对流量包进行预处理；对预处理后的流量包进行特征提取，并使用所提取的特征构建两个特征子集；对两个特征子集进行标准化和编码、特征子集降维、特征子集组合处理，进而构成样本集，并划分为训练集和测试集；建立投票器模型，调节投票器模型参数，采用层次分析法确定投票器模型权重；建立软投票的SWVC检测模型，训练模型；检验模型，使用准确率、Fsubgt;1/subgt;分数和误报率3个指标来评估SWVC检测模型的性能。本发明采用多特征组合和软投票策略相结合的方式实现对加密恶意流量的检测，具有较强的检测能力。

技术领域

本发明属于数据识别中的加密恶意流量检测领域，尤其涉及一种软投票策略的多模型加权投票(SWVC)加密恶意流量检测方法。

背景技术

近年来，网络已经普及到生活中的方方面面，而网络攻击也在急速增长，例如数据泄露、挖矿病毒等安全事件频发。为了保护用户隐私和上网的安全性，许多站点和应用都对自己的通信采取加密措施。现在，已经有一半的流量都采用TLS(Transport LayerSecurity)加密协议来加密通信。然而加密技术是一把双刃剑，在合法流量加密的同时，携带蠕虫、木马的恶意软件也采用TLS加密协议来伪装攻击行为，进而侵入主机，产生恶意行为。

若没有解密技术，就无法得知流量内包含的信息。但解密技术硬件开销大，成本高，不符合保护用户上网隐私的初衷。由于近年来计算机技术的飞速发展，计算机的计算能力有了显著提升，机器学习和深度学习技术也日趋成熟，国内外许多学者开始研究使用机器学习或深度学习的方法来检测网络中的加密流量。例如，思科研究TLS握手的过程，结合机器学习建立了一套TLS加密恶意流量检测系统。还有学者研究基于时序的LSTM神经网络来解决此类问题。

过去常用基于深度包检测和解密的方法，一方面，这两种方法解析的是数据包底层信息，侵犯了用户的上网隐私，另一方面，该方法也存在误报率高的问题，给网络安全从业人员带来了诸多麻烦。如今，基于机器学习的加密恶意流量检测方法已经成为主流研究方法，但是，加密流量检测存在以下问题：(1)加密流量特征类别多样，单一模型不适应于处理多元异构的特征；(2)加密恶意流量检测误报率高。

发明内容

针对现有技术存在的不足和缺陷，本发明提供了一种加密恶意流量检测方法，旨在检测过程中综合考虑流级特征、连接特征、TLS握手特征和X.509证书特征，结合软投票策略解决以上问题。

本发明的技术路线是在不解密TLS加密协议的情况下，提取流级特征、连接特征、TLS握手特征和X.509证书特征来检测混合流量中的TLS加密恶意流量。技术思路是获取完整的pcap流量包，对数据包进行特征提取，按照特征类别组合成2个特征子集，对这2个特征子集分别进行标准化和编码处理，处理后的特征子集进行特征降维和多特征融合，构建样本集；建立5个投票器模型，使用控制变量法或网格搜索法调节模型参数，使用层次分析法确定每个投票器的权重，构成权重矩阵；根据软投票策略和权重矩阵组合5个投票器模型构成SWVC检测模型；将训练集输入SWVC检测模型，训练模型；利用测试集检验训练完成的SWVC检测模型，使用准确率、F₁分数和误报率来评估模型性能。

根据以上实验思路，实现本发明目的的技术方案包括以下步骤：

首先，捕获原始的流量包：

在特定的环境下执行恶意程序，捕获恶意软件运行过程中所产生的恶意流量，得到原始的恶意流量包；捕获网络正常情况下产生的流量，得到原始的良性流量包；

进一步地，数据预处理，将流量包中IP校验和无效的流量过滤，得到纯净的恶意流量包和良性流量包；

进一步地，解析流量包，进行特征提取，得到流级特征、连接特征、TLS握手特征和X.509证书特征，其中，TLS握手特征由Client Hello和Server Hello两部分组成，采用流指纹组合每条流的不同特征；