申请/专利权人：电子科技大学

申请日：2022-06-24

公开（公告）日：2024-03-22

公开（公告）号：CN115834097B

主分类号：H04L9/40

分类号：H04L9/40;H04L67/02;G06N3/0464;G06N3/0985;G06F18/2415

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2023.04.07#实质审查的生效;2023.03.21#公开

摘要：本发明公开了一种基于多视角的HTTPS恶意软件流量检测系统及方法，属于恶意软件流量检测技术领域，解决现有技术无法对HTTPS加密技术掩盖的攻击行为进行检测的问题。本发明包括流量采集模块：从客户主机网卡捕获HTTPS流量，并对捕获的HTTPS流量进行初步过滤；数据预处理模块：对过滤后得到的HTTPS流量数据以流为单位进行切分，切分后得到多个流；多视角特征提取模块：基于切分后得到的流提取多视角特征；分类检测模块：将多视角特征直接输入各特征对应的已训练好的检测模型进行检测，并将各检测结果输入投票模块，得到最终的检测结果。本发明用于恶意软件流量检测。

主权项：1.一种基于多视角的HTTPS恶意软件流量检测系统，其特征在于，包括：流量采集模块：从客户主机网卡捕获HTTPS流量，并对捕获的HTTPS流量进行初步过滤，其中，捕获的HTTPS流量包括多个流，每1000个流存储为一个pcap文件，流表示从一个源地址到目的地址通信的整个过程，此过程包含多个正方向和反方向的数据包；数据预处理模块：对过滤后得到的HTTPS流量数据以流为单位进行切分，切分后得到多个流；多视角特征提取模块：基于切分后得到的流提取多视角特征；分类检测模块：将多视角特征直接输入各特征对应的已训练好的检测模型进行检测，并将各检测结果输入投票模块，得到最终的检测结果；所述多视角特征提取模块包括：包长分布特征提取模块：提取所有流中各包的方向和长度，并根据包的方向，依次将包的长度存入向量数组，并基于不同方向统计向量数组中包的数量，并计算各个方向的包在总包中的占比，即得到包长分布特征，其中，包的方向包括正方向和反方向，正方向的包为从客户主机到目的地址的包，即从源地址到目的地址的包，反方向的包为从目的地址到客户主机的包，包的长度为具体位置的下标，具体位置指向量数组的位置，向量数组中存储的包的长度大于3000；流统计特征提取模块：提取过滤后得到的HTTPS流量数据的TCP协议中的标志位作为特征，标志位包括Ack、Syn、Fin、Psh、Urg和Rst，其中，Ack表示响应，Syn表示建立连接，Fin表示关闭连接，Psh表示有数据传输，Urg表示有紧急数据，Rst表示连接重置；提取各流的TCP、UDP和DNS协议中的OverIp作为特征，OverIp表示TCP、UDP和DNS协议对应的数据包在整个流中的比例；提取描述所有流的整体行为的信息作为特征，描述所有流的整体行为的信息包括MaxLen、MinLen、AvgLen、StdDevLen、MaxIAT、MinIAT、AvgIAT、AvgDeltaTime、MaxLenRx、MinLenRx、AvgLenRx、StdDevLenRx、MaxIATRx、MinIATRx、AvgIATRx、StartFlow、EndFlow、DeltaTime、FlowLen和FlowLenRx，其中，MaxLen表示流的最大长度，MinLen表示流的最小长度，AvgLen表示流的平均长度，StdDevLen表示发送流长度的标准差，MaxIAT表示最大发送流间隔时间，MinIAT表示最小发送流间隔时间，AvgIAT表示平均发送流间隔时间，AvgDeltaTime表示平均偏移时间，MaxLenRx表示接收流的最大长度，MinLenRx表示接收流的最小长度，AvgLenRx表示接收流的平均长度，StdDevLenRx表示接收流长度的标准差，MaxIATRx表示最大接收流间隔时间，MinIATRx表示最小接收流间隔时间，AvgIATRx表示平均接收流时间，StartFlow表示流开始时间，EndFlow表示流结束时间，DeltaTime表示流间隔时间，FlowLen表示发送流总长度，FlowLenRx表示接收流总长度；提取各流中第一个包的长度FirstPktLen作为特征；统计各流的DNS协议中字段的值作为特征，字段中的值包括DNSQDist、DNSADist、DNSRDist和DNSSDist，DNSQDist表示DNS协议中的问题计数，DNSADist表示DNS协议中的回答资源记录数，DNSRDist表示示DNS协议中的权威名称服务器计数，DNSSDist表示DNS协议中的附加资源记录数；选择各流中重复包出现的比例RepeatedPktLenRatio和SmallPktRatio作为特征，其中，RepeatedPktLenRatio表示各流中重复长度的数据包出现的比例，SmallPktRatio表示各流中最小长度数据包长度占比；对各流的DNS出现的域名进行特征提取，提取后得到的特征包括AvgDomainChar、AvgDomainDot、AvgDomainHyph、AvgDoainDigit和ValidUrl-Ratio，其中，AvgDomainChar表示发送包含DNS问题记录的数据流中字符的平均值，AvgDomainDot表示发送包含DNS问题记录的数据流中点的平均值，AvgDomainHyph表示发送包含DNS问题记录的数据流中连字符的平均值，AvgDoainDigit表示发送包含DNS问题记录的数据流中数字的平均值，ValidUrl-Ratio表示真实链接比例；选择平均存活时间AvgTTL作为特征，TTL表示IP数据包在计算机网络中能转发的最大跳数，AvgTTL表示所有流的平均最大跳数；得到的上述特征即为流统计特征；TLS握手和证书特征提取模块：在各流的TLS.version字段中选择出现次数最多的值作为该流的TLS特征，TLS.version字段为客户端提供的TLS扩展信息，TLS.version表示TLS版本号；提取各流中最终所选择的加密套件的字节码作为CipherSuites特征；在各流中，对于Extension扩展模块，记录Extension扩展模块的长度和出现的服务器域名作为特征；在遍历过程中，对包含tls的layer进行计数，计数后并进行计算，得到tls在layer中的比例，并作为特征；提取证书特征；得到的上述特征即为TLS握手和证书特征；元学习特征提取模块：用于基于ResNet网络进行元学习特征提取；所述元学习特征提取模块的具体实现步骤为：首先截取每个流的前八个数据包，其中，包即为数据包；提取八个数据包的字节码，其中，八个数据包的最大长度为3136字节；基于提取的各流的字节码，创建长度为3136的十六进制字节数组，并将其转换为十进制数组向量，数组内每个数的取值范围在0-255之间，数组的长度不够时，填充0进行补充；最后，将数组向量输入ResNet网络的输入进行元学习特征提取。

全文数据：

权利要求：

百度查询： 电子科技大学 基于多视角的HTTPS恶意软件流量检测系统及方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD