申请/专利权人：电子科技大学

申请日：2022-11-14

公开（公告）日：2024-04-26

公开（公告）号：CN115766204B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/142;H04L41/16

优先权：

专利状态码：有效-授权

法律状态：2024.04.26#授权;2023.03.24#实质审查的生效;2023.03.07#公开

摘要：本发明公开了一种针对加密流量的动态IP设备标识系统及方法，属于网络监测技术领域，包括流量流量采集模块、用户指纹提取模块、流特征提取模块和聚类分析模块。该技术部署于网关上，通过对入站的加密流量进行端口镜像复制，然后对这个端口的流量进行捕获，解析，根据解析结果判断是否为TLSSSL加密流量握手阶段的ClientHello数据包，如果是就会从未加密的ClientHello数据包中提取用户指纹。每一个数据包信息都会存储在各自的数据流列表中，当一个数据流正常结束或超时结束时，都会从流中提取特征信息和释放存储空间，然后对特征进行预处理和向量化。聚类分析模块则对每个流的特征向量进行聚类分析，根据聚类结果对访问设备进行标识，达到能够区分不同访问设备和同一访问设备的目的。

主权项：1.一种针对加密流量的动态IP设备标识系统，其特征在于，包括以下模块：流量采集模块：使用端口镜像的方法捕获流量，并对捕获的每一个数据包的各层协议字段进行解析，然后基于端口的方法判断该数据包是否是TLSSSL加密流量；用户指纹提取模块：针对TLSSSL加密流量的数据包,对是在握手阶段的Clienthello数据包进行解析，以提取出指纹特征，再将提取出的所有指纹特征按顺序拼接成字符串，并计算其哈希值作为用户指纹并存储到数据库中，其中，指纹特征包括TLSSSL协议版本，用户支持的加密算法、支持扩展列表、椭圆曲线和椭圆曲线格式，按顺序即指依次按TLSSSL协议版本，用户支持的加密算法、支持扩展列表、椭圆曲线和椭圆曲线格式拼接成字符串；流特征提取模块：按照五元组将流量采集模块采集的数据包划分成不同的流，然后以流为单元并结合会话id进行存储，存储后统计各数据流的流特征，并对统计得到的流特征进行预处理，得到数据格式一致、对应各数据流的特征向量，其中，流特征包括数据包平均大小、传输速率和数据包数量；聚类分析模块：判断各数据流是否属于之前已记录的用户连接，若是已记录的用户连接，用于优化聚类算法；否则，从数据库中检索该数据流的用户指纹，则基于优化后的聚类算法将该数据流的特征向量与同一用户指纹下的已记录的数据流的特征向量进行聚类分析根据聚类分析结果判断此数据流是否为新用户连接;所述流特征提取模块包括以下步骤：流数据存储：基于哈希数组的数据结构，将TLSSSL加密流量的数据包按照五元组划分成不同的数据流，将每个五元组字段拼接为字符串进行哈希计算，哈希值作该数据流的索引，对应该数据流的数据结构内容在内存空间的位置，其中，五元组为源IP地址、源端口号、目的IP地址、目的端口号、协议类型；数据统计：统计各数据流的特征数据，包括数据包个数、数据流传输大小和数据传输速率，同时记录对应各数据流的会话id到数据库中，会话id即数据包Cookie中的sessionid，用于判断是否为同一用户的连接；预处理及向量化：对数据统计得到的结果进行预处理及向量化处理得到特征向量，其中，预处理及向量化处理包括对数据统计后的数据样本缺失值进行填充，对于字符串或文字格式的特征，将其转化为聚类算法能够处理的向量形式，和将同一特征为不同规格的数据转换到同一规格；所述聚类分析模块的具体实现步骤为：从Nginx服务器中的预处理及向量化处理得到的结果中获得各数据流的会话id，并基于会话id是否已被数据库记录判断该数据流是否属于之前的连接，若是，则不进行聚类处理，并直接打上标签并对聚类算法进行评估，评估方法是通过计算轮廓系数来表示聚类效果的好坏；对于其中的一个样本点i：计算ai=averagei向量到所有它属于的簇中其它点的距离计算bi=mini向量到某一不包含它的簇内的所有点的平均距离那么样本点i的轮廓系数就为： 可见轮廓系数的值是介于[-1,1]，越趋近于1代表内聚度和分离度都相对较优，将所有点的轮廓系数求平均，得到该聚类结果总的轮廓系数；调整聚类算法的参数使得聚类算法的轮廓系数更加接近1，达到迭代次数调整完成，并向数据库中记录结果；否则，从数据库中检索该数据流所对应的用户指纹,然后将其特征向量与数据库中已记录的同一用户指纹得到的各特征向量进行相似性计算，并判断所有的相似度值是否超出给定阈值，若是，则判断数据流是对一个新的用户设备进行了访问请求，否则，合并两个最相似的簇，同时，将每一个特征向量相似性算结果存在相似度表，直至所有簇都不能与其他簇再进一步合并，其中，每个类别就是一个簇，即一个用户设备，没有数据就0簇，当第一个用户设备流量访问就变成1簇，第二个用户设备流量访问，即会判断这两个流量是否是相似的，依次类推。

全文数据：

权利要求：

百度查询： 电子科技大学 一种针对加密流量的动态IP设备标识系统及方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD