(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111302660.1 (22)申请日 2021.11.05 (65)同一申请的已公布的文献号 申请公布号 CN 113743542 A (43)申请公布日 2021.12.0 3 (73)专利权人 北京广通优云科技股份有限公司 地址 100089 北京市海淀区紫竹院路69号 中国兵器大厦901室 专利权人 杭州优云软件 有限公司 (72)发明人 刘东海　徐育毅　庞辉富　 (74)专利代理 机构 杭州九洲专利事务所有限公 司 33101 代理人 陈继亮 (51)Int.Cl. H04L 47/2441(2022.01)H04L 47/2483(2022.01) G06F 16/215(2019.01) G06K 9/62(2022.01) G06N 20/00(2019.01) (56)对比文件 CN 10972676 3 A,2019.0 5.07 CN 112671757 A,2021.04.16 CN 105871832 A,2016.08.17 CN 110909224 A,2020.0 3.24 CN 110991509 A,2020.04.10 CN 113162908 A,2021.07.23 WO 2016010872 A1,2016.01.21 审查员 胡妮 (54)发明名称 一种基于加密流量的网络资产识别方法与 系统 (57)摘要 本发明提供了一种基于加密流量的网络资 产识别方法与系统， 首先获取 组织中历史网络资 产的信息， 接下来通过人工标注网络资产的属性 和必要信息， 接下来使用基于加密流量的网络资 产特征提取算法提取网络资产的加密流量指纹 特征， 接下来计算不同敏感数值下的特征准确 度， 最后确定模型的敏感数值， 反哺到机器学习 模型中， 完成模型的训练， 当网络资产需要更新、 迭代时， 使用已有模型对组织内新架构流量数据 进行测绘， 根据模型结果， 形成网络资产分类识 别结果。 本发明的有益效果为： 本发明基于加密 流量提取生成 网络资产指纹向量， 再通过机器学 习算法分类， 实现对网络资产的自动化识别， 使 得网络运维人员实时深入了解本组织内的网络 资产架构和动态， 更方便快捷的运维。 权利要求书2页 说明书6页 附图5页 CN 113743542 B 2022.03.01 CN 113743542 B 1.一种基于加密流量的网络资产识别方法， 其特征在于： 首先获取组织中历史网络资 产的信息， 接下来通过人工标注网络资产的属 性和必要信息， 接下来使用基于加密流量的 网络资产特征提取算法提取网络资产的加密流量指纹特征， 接下来计算不同敏感数值下的 特征准确度， 最后确定模型 的敏感数值， 反哺到机器学习模型中， 完成模型的训练， 当网络 资产需要更新、 迭代 时， 使用已有模型对组织内新架构流量数据进行测绘， 根据模型结果， 形成网络资产分类识别结果； 所述的基于加密流量的网络资产特征提取算法， 首先会收集组织网络 内各网络资产的 加密会话数据， 通过TLS握手原始字节的流量表 示和基于TLS记录长度序列的流量表 示两种 方法汇聚而成网络资产的指纹向量单一表示， 再通过一 维卷积、 池化操作后， 使用机器学习 算法分类， 实现对网络资产的自动化识别； 具体步骤如下： (1)、 基于TLS握手原始字节的流量表示： 保留TLS握手阶段的TLS记录的前N个字节， 首 先利用词嵌入操作将 每个原始字节映射到固定长度的特征向量， 然后使用一 维卷积网络架 构来对该向量进行处理， 获取每个字节与其先后字节直接的上下文关联、 每个字节在整段 字节向量中的映射关系； (2)、 基于TLS记录长度序列的流量表示： 选取加密会话的前M个TLS记录长度， 基于TLS 记录的长度 序列的流 量表示如公式(2): 其中 表示第i条加密网络流的第n个TLS记录长度， TLS记录数据流向信息用 的符号 表示： 上行流量为正， 下行流量为负； 对TLS记录的长度 序列进行z ‑score标准化； 其中， ln为标准化之后的TLS长度， sn与un为所有加密会话第n个TLS记录长度的标准差 与均值； (3)、 聚合TLS握手原始字节特征和TLS记录长度序列特征， 其 中Sig(i)为最后的流量特 征， RawBytes(i)为TLS握 手原始字节特 征， Sequence(i)为TLS记录 长度序列特征； Sig(i)＝RawBytes(i)+Sequence(i)                            (4)。 2.根据权利要求1所述的基于加密流量的网络资产识别方法， 其特征在于： 该方法具体 步骤如下： (1)、 在生成网络资产指纹之前， 首先应对组织机构内的流量数据进行数据清洗、 检测 单元划分、 归一化表示这些预处理操作； 网络数据 清洗需要对接初始网络流量设备， 在获取 初始流量流后， 选择在 双向流的粒度上处 理流量数据； (2)、 获取重组的加密流量数据流后， 对加密流量进行特征向量的提取与标识； 通过TLS 握手原始字节的流量表示和基于TLS记录长度序列的流量表示两种方法汇聚而成网络 资产 的指纹向量单一表示； (3)、 对比参数 敏感性， 包括TLS握 手的原始字节大小和TLS记录的长度选择； (4)、 整合全部的训练分类过程， 根据组织网络资产的标注和流量对应情况， 利用指纹 特征向量生成模块生成特征， 完成组织内部加密流量的训练； 在 网络资产发生变更时对加 密流量进行分类预测， 确定每一个加密流 量对应的网络资产类别。权　利　要　求　书 1/2 页 2 CN 113743542 B 23.根据权利要求2所述的基于加密流量的网络资产识别方法， 其特征在于： 所述的网络 数据清洗包括滤波、 拆分和重组三个步骤： (1)、 将所有未加密的会话过 滤， 同时也会过 滤那些没有成功建立连接的加密会话； (2)、 将捕获到的连续的流量分割成独立的检测单元， 每一个检测单元最终解析成一个 网络五元组信息， 网络五元组包括且仅包括源IP、 源端口、 目的IP、 目的端口和协议五个类 别， 最终每 个基本检测单 元被解析成网络五元组相同的双向流数据包； (3)、 在检测单元的基础上对加密流量进行重组操作， 单个TCP段可以包含多条TLS记 录， 同时一条TLS记录分别分布在 多个TCP段中； 在重组过程中， TCP会话和TLS记录将由离散 的TCP段重建， 当接收TCP报文时， 根据TCP报文中对应的序号和方向进行重组。 4.一种采用如权利要求1 ‑3任一项所述的基于加密流量的网络资产识别方法的网络资 产识别系统， 其特征在于： 主要包括四个模块， 流量数据 清洗模块、 指纹向量生成模块、 敏感 参数调优 模块、 系统分类展示模块； 其中， 流量数据清洗模块， 用于对组织机构内的流量数据进行数据清洗、 检测单元划分、 归一 化表示这些预处理操作； 指纹向量生成模块， 用于在获取重组的加密流量数据流后， 对加密流量进行特征向量 的提取与标识； 敏感参数调优模块， 用于对比参数敏感性， 包括TLS握手的原始字节大小和TLS记录的 长度选择； 系统分类展示模块， 用于整合全部的训练分类过程， 根据组织网络资产的标注和流量 对应情况， 利用指纹特征向量生成模块生成特征， 完成组织内部加密流量的训练； 在网络资 产发生变更时对加密流 量进行分类预测， 确定每一个加密流 量对应的网络资产类别。权　利　要　求　书 2/2 页 3 CN 113743542 B 3