[发明专利]一种加密代理流量检测方法和装置

权利要求书

1.一种加密代理流量检测方法，其特征在于，所述方法包括：

通过流量解析引擎对实时加密代理流量提取元数据；

根据预设的黑数据规则和/或白数据规则对所述元数据进行过滤，获取需要检测的网络流量；

对所述需要检测的网络流量提取步态指纹特征；

利用所述步态指纹特征以及创建的机器学习模型和深度学习模型对所述网络流量进行检测，采用预设的判断方法判断所述网络流量的加密代理类型。

2.根据权利要求1所述的加密代理流量检测方法，其特征在于，所述对所述需要检测的网络流量提取步态指纹特征包括：

将加密代理流量的会话切分为不同的窗口，分别提取窗口内不同的会话数据包的统计特征，将所述统计特征进行预设处理后作为所述步态指纹特征；其中所述统计特征体现会话的状态信息和加密代理流量中不同的代理行为动作。

3.根据权利要求2所述的加密代理流量检测方法，其特征在于，所述会话切分的方法包括：按时间切分和/或按包数量切分；

所述统计特征包括：对所述会话数据包的时间特征和/或上下行负载的统计量和比率；

所述预设处理包括以下任意一种或多种：对得到的差异性统计特征进行标准化、统一所述统计特征的数据精度以及正态化分布处理。

4.根据权利要求1所述的加密代理流量检测方法，其特征在于，在利用所述步态指纹特征以及创建的机器学习模型和深度学习模型对所述网络流量进行检测之前，所述方法还包括：

搭建不同类型的加密代理环境，在所述加密代理环境下基于不同类型的加密代理流量的多维元数据特征提取相应类型的步态指纹特征，并根据所述步态指纹特征创建所述机器学习模型和所述深度学习模型。

5.根据权利要求4所述的加密代理流量检测方法，其特征在于，所述搭建不同类型的加密代理环境，在所述加密代理环境下基于不同类型的加密代理流量的多维元数据特征提取相应类型的步态指纹特征，并根据所述步态指纹特征创建所述机器学习模型和所述深度学习模型包括：

网络收集不同的加密代理流量的类型，并搭建相应的不同类型的加密代理环境，在所述加密代理环境下捕获不同类型的通信流量，并从所述通信流量中捕获加密代理流量，对所述加密代理流量添加类型标注，将添加类型标注后的加密代理流量作为训练数据集；

使用流量解析引擎提取所述训练数据集中不同类型的加密代理流量的多维元数据特征，以根据所述多维元数据特征分别对不同类型的加密代理流量进行检测；

根据步态指纹特征工程方法，对每种类型的加密代理流量的所述多维元数据特征提取步态指纹特征，以通过所述步态指纹特征分别创建所述机器学习模型和所述深度学习模型。

6.根据权利要求5所述的加密代理流量检测方法，其特征在于，所述方法还包括：在使用所述流量解析引擎提取所述多维元数据特征时以会话为单位进行提取；其中，每个会话包括相同的多元组。

7.根据权利要求6所述的加密代理流量检测方法，其特征在于，所述多维元数据特征包括以下任意一种或多种：会话中的包抓取时间、包负载大小、包方向、包的生存时间TTL标志位以及包的互联网协议/标签IP/flag标志位；

所述多元组为五元组；所述五元组包括：源IP、源端口、目的IP、目的端口和协议。

8.根据权利要求5所述的加密代理流量检测方法，其特征在于，通过所述步态指纹特征创建所述机器学习模型包括：

根据所述训练数据集中不同类型的加密代理流量的类型数，构建相应数量的有监督机器学习子模型；

利用交叉验证方式，使用各种类型的加密代理流量的所述步态指纹特征组成的训练集分别训练各个相应的有监督机器学习子模型，并获取每个有监督机器学习子模型的优化模型结构和所述优化模型结构的超参数；

选择多种类型的有监督机器学习模型对各种类型的有监督机器学习子模型做模型融合；

通过多轮迭代对融合模型进行调节，以获取优化有监督机器学习子模型集，作为所述机器学习模型。