(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210896050.7 (22)申请日 2022.07.27 (71)申请人 天津市国瑞数码安全系统股份有限 公司 地址 300392 天津市西青区华苑产业区海 泰绿色产业基地K1-1- 601室 (72)发明人 李新　齐帅　翟宏伟　 (74)专利代理 机构 北京秉文同创知识产权代理 事务所(普通 合伙) 11859 专利代理师 孙富利　张文武 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) G06F 21/33(2013.01) G06F 21/60(2013.01)G06F 40/289(2020.01) G06F 40/30(2020.01) G06K 9/62(2022.01) (54)发明名称 基于流量指纹和行为的恶意加密流量检测 方法和系统 (57)摘要 本发明提供一种基于流量指纹和行为的恶 意加密流量检测方法和系统， 通过从报文载荷部 分提取加密套件和数字证书， 生成流量指纹向 量， 将其与词分量一起识别是否为攻击， 提高了 识别的成功率； 通过降维采样数据流得到离散化 后的数据流， 降低了后续所需的运算量； 通过调 用句法模型和语义分析模型， 完成数据流的断句 和冗余过滤， 实现了特征提取的自动化； 通过卷 积神经网络和随机森林分类， 可以进一步突出所 需的特征向量， 整合了不同的分类能力， 克服了 现有技术难以检测时刻变化的攻击的问题。 权利要求书2页 说明书5页 附图1页 CN 115314268 A 2022.11.08 CN 115314268 A 1.一种基于流 量指纹和行为的恶意加密流 量检测方法， 其特 征在于， 所述方法包括： 接收采集终端发送 的数据流， 从所述数据流中提取报文头部字段内容， 识别出不同的 客户端， 为每一个客户端生成一个单独的标识符； 从报文载荷部分提取加密套件和数字证书， 将所述标识符与 所述加密套件和数字证书 一起生成流量指纹向量； 根据所述加密套件对所述数据流进行解密， 按照 时域连续性采样所述数据流， 得到降 维后的离 散数据流； 获取所述离散数据流， 调用服 务器的句法模型， 进行断句， 得到第一词分量； 将所述第一词分量， 逐个输入服务器的语义分析模型， 接收返回的所述第一词分量对 应的词含义； 根据第一规则从词含义中过滤冗余信息， 得到过滤后对应的第二词分量， 将所述流量 指纹向量和第二词分量 一起输入矩阵模板， 得到第一词分量矩阵； 将所述第一词分量矩阵输入到识别模型的输入层， 计算出不同词类的标准差， 所述标 准差用于确定后续卷积层的滑动窗口的宽度大小； 所述识别模型为基于随机森林和卷积神 经网络的模型架构； 所述输入层的输出送入所述识别模型的卷积层中， 利用不同大小的滑动窗口来选择文 本中的局部词分量， 拼接局部词分量得到第二词分量矩阵， 将所述第二词分量矩阵送入所 述识别模型的池化层； 所述池化层通过选择池化函数来选择区分所述词含义有效的特征值， 再次拼接得到第 三词分量矩阵； 将完成上述处理 的第三词分量矩阵传输到所述识别模型的随机森林中进行分类， 随机 森林把所述第三词分量矩阵进 行n轮抽取， 得到n个训练集， 使用抽取的n个训练集由列采样 随机使用指定量特征值训练得到n棵决策树， 所述n棵决策树按照投票的方式得到分类结 果； 根据所述分类结果判断所述采集终端发送的数据流是否包括攻击向量， 如果包括攻击 向量则阻断该 数据流， 反 之则允许 该数据流。 2.根据权利要求1所述的方法， 其特征在于： 所述识别模型在训练时， 通过反向的传播 方式来最小化熵损失函数， 避免过饱和， 当所述识别模型的精度满足 阈值的要求， 则表明该 识别模型训练完成。 3.根据权利要求1所述的方法， 其特征在于： 所述每棵决策树的分类能力具有针对性， 所述指定量特征值是根据不同分类得出的， 将同一个特征向量矩阵通过决策树按照不同的 角度进行分类， 即完成针对不同分类能力的整合功能。 4.根据权利要求2或3任一项所述的方法， 其特征在于： 所述投票的方式包括将每棵决 策树的输出 结果进行加权累加。 5.一种基于流 量指纹和行为的恶意加密流 量检测系统， 其特 征在于， 所述系统包括： 预处理模块， 用于接收采集终端发送的数据流， 从所述数据流中提取报文头部字段内 容， 识别出不同的客户端， 为每一个客户端生 成一个单独的标识符； 从报文载荷部 分提取加 密套件和数字证书， 将所述标识符与所述加密套件和数字证书一 起生成流量指纹向量； 解密模块， 用于根据所述加密套件对所述数据流进行解密， 按照 时域连续性采样所述权　利　要　求　书 1/2 页 2 CN 115314268 A 2数据流， 得到降维后的离 散数据流； AI模块， 用于获取所述离散数据流， 调用服务器的句法模型， 进行断句， 得到第一词分 量； 将所述第一词分量， 逐个输入服务器的语义分析模型， 接收返回的所述第一词分量对应 的词含义； 根据第一规则从词含义中过滤冗余信息， 得到过滤后对应的第二词分量， 将所述 流量指纹向量和第二词分量 一起输入矩阵模板， 得到第一词分量矩阵； 识别模块， 包括识别模型， 所述识别模型为基于随机森林和卷积神经网络的模型架构， 用于接收AI模块输出的所述第一词分量矩阵， 输入到识别模型的输入层， 计算出不同词类 的标准差， 所述标准差用于确定后续卷积层的滑动窗口的宽度大小； 所述输入层的输出送 入所述识别模型 的卷积层中， 利用不同大小的滑动窗口来选择文本中的局部词分量， 拼接 局部词分量得到第二词分量矩阵， 将所述第二词分量矩阵送入所述识别模型 的池化层； 所 述池化层通过选择池化函数来选择区分所述词含义有效的特征值， 再次拼接得到第三词分 量矩阵； 将完成上述处理 的第三词分量矩阵传输到所述识别模型的随机森林中进行分类， 随机 森林把所述第三词分量矩阵进 行n轮抽取， 得到n个训练集， 使用抽取的n个训练集由列采样 随机使用指定量特征值训练得到n棵决策树， 所述n棵决策树按照投票的方式得到分类结 果； 执行模块， 用于根据所述分类结果判断所述采集终端发送的数据流是否包括攻击向 量， 如果包括 攻击向量则阻断该 数据流， 反 之则允许 该数据流。 6.一种基于流量指纹和行为的恶意加密流量检测系统， 其特征在于， 所述系统包括处 理器以及存 储器： 所述存储器用于存 储程序代码， 并将所述 程序代码传输给 所述处理器； 所述处理器用于根据所述程序代码中的指令执行实现权利要求1 ‑4任一项所述的方 法。 7.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储程序代 码， 所述程序代码用于执 行实现权利要求1 ‑4任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115314268 A 3