(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210969965.6 (22)申请日 2022.08.12 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 刘敖迪　杜学绘　王娜　吕震昊　 李连成　于建骁　王俊杰　王文娟　 李峰　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 周艳巧 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1097(2022.01) (54)发明名称 恶意加密网络流 量检测溯源方法及系统 (57)摘要 本发明属于网络空间安全技术领域， 特别涉 及一种恶意加密网络流量检测溯源 方法及系统， 针对原始网络数据流， 将网络数据流转化为可分 析的多维网络流统计特征并进行特征提取； 将提 取的多维网络流统计特征输入已训练的任务分 析模型， 利用任务分析模型来分析并识别网络流 是否加密、 加密网络流内容类型及加密网络流应 用类别； 同时， 将多维网络流统计特征输入已训 练的流量 感知模型， 利用流量 感知模型来识别网 络流是否为异常流量并输 出； 利用Fabric区块链 平台的智能合约来存储网络流的相关数据信息， 以通过向Fabric区块链发送访 问请求寻址来找 到所标记的网络恶意流量位置。 本发 明利用多种 机器学习算法来对恶意流量行为进行细粒度识 别， 提升网络空间安全， 便 于实际场景应用。 权利要求书2页 说明书12页 附图4页 CN 115426137 A 2022.12.02 CN 115426137 A 1.一种恶意加密网络流 量检测溯源方法， 其特 征在于， 包 含如下内容： 针对原始网络数据流， 将网络数据流转化为可分析的多维网络流统计特征并进行特征 提取， 其中， 统计特 征至少包 含字节数、 包间隔； 将提取的多维网络流统计特征输入已训练 的任务分析模型， 利用任务分析模型来分析 并识别网络流是否加密、 加密网络流内容类型及加密网络流应用类别； 同时， 将多维网络流 统计特征输入已训练的流量感知 模型， 利用流量感知 模型来识别网络流是否为异常流量并 输出； 利用Fabric区块链平台的智能合约来存储网络流的相关数据信息， 以通过向Fabric区 块链发送访问请求寻址来找到所标记的网络恶意流量位置， 其中， 网络流的相关数据信息 至少包含网络流的元 数据、 多维网络流统计特 征及转发信息 。 2.根据权利要求1所述的恶意加密网络流量检测溯源方法， 其特征在于， 提取网络流统 计特征时， 从pcap 文件中逐个读取数据包， 将 每个数据包添加到对应的网络数据流， 并利用 currentFlows存储当前未结束的所有TCP或UDP流， TCP流以FIN标志为当前网络数据流结 束， UDP以设置的fl owtimeout时间为限制、 超过时间就判为当前网络数据流结束。 3.根据权利要求2所述的恶意加密网络流量检测溯源方法， 其特征在于， 将每个数据包 添加到对应的网络数据流中时， 同时更新每个数据流的统计特征， 将统计特征写入csv文 件。 4.根据权利要求1或2所述的恶意加密网络流量检测溯源方法， 其特征在于， 以一个TCP 流或一个UDP流为单位， 并通过前后向统计来提取网络数据流中的统计特征， 其中， 由源地 址到目的地址为 正向， 目的地址 到源地址为反向。 5.根据权利要求1所述的恶意加密网络流量检测溯源方法， 其特征在于， 任务分析模型 采用支持向量机和决策树的组合模型来进行多任务识别， 其中， 利用支持向量机来识别网 络流是否加密的类型， 利用决策树 来识别加密网络流内容类型及加密网络流应用类别。 6.根据权利要求5所述的恶意加密网络流量检测溯源方法， 其特征在于， 支持向量机采 用径向基函数作为核函数， 利用支持向量机的训练过程来调整表征误差宽容度的惩罚因 子、 表征数据映射到新特征空间后所支持向量个数 的维度因子， 并在训练过程中使用网格 搜索方法来确定最佳的惩罚因子和维度因子取值。 7.根据权利要求5所述的恶意加密网络流量检测溯源方法， 其特征在于， 利用ISCX   VPN‑nonVPN公开数据集、 并通过设置标记标签来训练决策树， 以调整决策树深度及最小支 持实例数量。 8.根据权利要求1所述的恶意加密网络流量检测溯源方法， 其特征在于， 流量感知模型 采用KNN模型来感知识别网络流是正常网络流或异常网络流， 其中， KNN模型选用公开数据 集SCX‑IDS‑2012和CIC ‑IDS‑2017作为训练样本， 并利用KNN算法进行监督学习， 以确定KNN 模型超参数。 9.根据权利要求1所述的恶意加密网络流量检测溯源方法， 其特征在于， 区块链节点进 行网络流量存储时， 利用哈希加密算法对网络流量进 行加密， 将哈希值存储到区块链节点； 利用链下来存 储所采集的原 始网络流， 采用链上链下协同来进行网络流溯源取证。 10.一种恶意加密网络流量检测溯源系统， 其特征在于， 包含： 特征提取模块、 流量检测 模块和数据存 储模块， 其中，权　利　要　求　书 1/2 页 2 CN 115426137 A 2特征提取模块， 用于针对原始网络数据流， 将网络数据流转化为可分析的多维网络流 统计特征并进行 特征提取， 其中， 统计特 征至少包 含字节数、 包间隔； 流量检测模块， 用于将提取的多维网络流统计特征输入已训练的任务分析模型， 利用 任务分析模型来分析并识别网络流是否加密、 加密网络流内容类型及加密网络流应用类 别； 同时， 将多维网络流统计特征输入已训练的流量感知模型， 利用流量感知 模型来识别网 络流是否为异常流 量并输出； 数据存储模块， 用于利用Fabric区块链平台的智能合约来存储网络流的相关数据信 息， 以通过向Fabr ic区块链发送访问请求寻址来找到所标记的网络恶意流量位置， 其中， 网 络流的相关数据信息 至少包含网络流的元 数据、 多维网络流统计特 征及转发信息 。权　利　要　求　书 2/2 页 3 CN 115426137 A 3