(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111543768.X (22)申请日 2021.12.16 (71)申请人 内蒙古农业大 学 地址 010011 内蒙古自治区呼和浩特市鄂 尔多斯东街29号计算机学院 (72)发明人 李美安　仉晓东　薛利霞　孙艾霞　 高田　 (74)专利代理 机构 西安汇恩知识产权代理事务 所(普通合伙) 6124 4 代理人 张伟花 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 旁路部署针对TLS加密的恶意流量实时深度 包检测方法 (57)摘要 本发明提供一种旁路部署针对TLS加密的恶 意流量实时深度包检测方法， 包括： 通过在线旁 路镜像实时采集待测流量； 对待测流量进行自动 解密， 得到解密后的报文包； 对解密后的单帧报 文进行规范化， 然后提取特征， 并输入预设的SV M 分类器进行检测， 对判断为恶意流量的数据添加 标记后存储在相应位置， 并发送检测到恶意流量 的通知； 在预设的时间间隔结束后， 计算该时间 间隔内检测的准确性与实时性， 如果准确性与实 时性达到要求， 则继续检测， 否则更换用于检测 的SVM模型。 本发明所提供的方法， 对恶 意加密流 量的检测具有更高的准确性与实时反馈能力， 且 泛化能力较强， 既能检测加密流量， 又能检测非 加密流量， 且能实现数据的单帧检测， 对未知样 本的检测准确度F1值在9 9.44％以上。 权利要求书1页 说明书8页 附图3页 CN 114401112 A 2022.04.26 CN 114401112 A 1.一种旁路部署针对TLS加密的恶意流量实时深度包检测方法， 其特征在于， 包括以下 步骤： S1、 在线旁路镜像采集待测流 量， 得到加密流 量； S2、 对S1中得到的加密流量进行自动解密， 得到解密后的报文包， 所述解密后的报文包 包含多个解密后的单帧报文； S3、 对S2中的解密后的单帧报文进行规范化， 然后提取特征， 并输入预设的SVM分类器 进行检测， 对判断为恶意流量的数据添加标记后存储在相应位置， 并发送检测到恶意流量 的通知。 2.根据权利要求1所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法， 其特征在于， 还 包括： S4、 在预设的时间间隔结束后， 计算该时间间隔内检测的恶意流量的准确性与实时性， 如果准确性与实时性达到要求， 则继续检测， 否则更换预设的SVM 分类器后再次检测解密后 的报文包。 3.根据权利要求1所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法， 其特征在于， S3中提取的特征包括规范化后解密后的单帧报文的URL总字节数、 是否嵌套 URL、 非正常符号个数、 非字母数字下划线符号数、 预设恶意关键字个数、 含有函数个数、 是 否特殊结尾、 是否伪装文件名、 连续数字最长 长度和符号单词比率。 4.根据权利要求1所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法， 其特征在于， S2中加密流量进 行自动解密的具体过程为： 通过旁路提取并解析报文帧中TLS 握手信息和 加密数据， 通过解析握 手信息对报文 进行自动解密， 得到解密后的报文包。 5.根据权利要求4所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法， 其特征在于， 通过解析握 手信息对报文 进行自动解密包括以下步骤： 步骤301： 在线旁路提取参与 解密相关的参数有 “客户端随机数 ”、“服务端随机数 ”、“主 密钥”和对称加密算法加解密用到的 “块密钥”；“主密钥”是通过先提取握手信息中非对称 算法加密的预主密钥， 再经过服务器私钥解密和PRF伪随机数算法处理后得出； “块密钥”是 根据“主密钥”与两个“随机数”通过PRF伪随机数算法处 理后得出； 步骤302： 当通讯中的加密数据需要进行解密时， 使用所述对应的 “块密钥”进行分割得 到对应的对称加密算法的解密 密钥进行解密操作。 6.根据权利要求2所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法， 其特征在于， S 3中预设的SVM 分类器是通过以下方法取得： 通过事先搜集的大量含有 所述多 种攻击类型的恶意流量报文和正常流量报文直接提取生成特征向量， 对SVM分类器进行训 练； 根据所述SVM分类器输出的分类结果， 采用网格搜索法调整 所述SVM分类器的模 型参数， 找到所述SVM分类器的准确度的最大值， 得到最终目标SVM分类器模 型； 分析SVM 分类器模 型 准确性与实时性同所选特 征的关系， 获得多种准确性与实时性要求下的SVM分类 器。 7.根据权利要求6所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法， 其特征在于， 事先搜集的大量含有所述多种攻击类型的恶意流量报文和正常流量报文至少 包括HTTP CSIC 2010数据集。权　利　要　求　书 1/1 页 2 CN 114401112 A 2旁路部署针对TLS加密的恶 意流量实时深度包检测方 法 技术领域 [0001]本发明属于网络通信安全技术领域， 具体涉及一种旁路部署针对TLS  加密的恶意 流量实时深度包检测方法。 背景技术 [0002]2017年， 思科发布的 《加密流量分析》 白皮书中说明了对流量进行加  密的网站数 量已从2015年的21％上升到2 016年的超过40％。 据Gartner  预测， 到2019年， 80％的网站流 量都会被加密， 到2020年， 超 过60％的  企业将无法有效解密HTTPS流量。 说明了数据流量的 加密趋势的必然性。  加密可为封装的流量提供机密性传输， 但会削弱企业的纵深防御效 率， Jeremy D'Hoinne等人早在2013年便指出越来越多的安全威胁受到加密技  术的保护 而变的隐蔽， 使入侵检测技 术失效。 [0003]在实际网络环境中一个入侵检测系统检测响应的速度快慢和检测准  确度是网络 入侵检测系统要克服的重要技术难题。 对加密流量在不解密的  情况下进 行整体特征分析， 虽然处理速度较快但对恶意流量出现后的响应  速度较慢， 而且准确度与待分析数据量的 大小成正比， 少量的流量检测准  确性较低， 对单帧恶意报文没有检测能力。 针对加密流量 非解密的监督学  习检测方法， 只能满足加密流量的检测， 对未加密的流量检测反而不适 用。 恶意流量不只有恶意软件产生的家族化特征的恶意流量， 还有个人恶意攻  击产生的 单帧恶意流量威胁也不容小觑。 深度包检测技术是一种基于应用  层的流量检测技术。 早期 深度包检测采用特征库匹配方式， 但 为了提高检  测准确性， 特征库变的越来越 大而影响了 检测速度， 跟不上恶意攻击的发  展。 深度包检测方案虽然在处理过程中速度较慢， 但是响 应速度快于整体  分析的方案， 原因是面对单个网络数据帧时也能判断出是否包含恶意信   息， 且较其 他检测方法中， 深度包检测准确性 最高。 [0004]综上所述， 如何对加密流量进行快速甚至实时判断响应， 如何解决恶  意流量检测 技术检测准确性与实时性之间的矛盾， 是目前有 待解决的问  题。 发明内容 [0005]本发明所要解决的技术问题在于针对上述现有技术的不足， 提供了一  种旁路部 署针对TLS加密的恶意流量 实时深度包检测方法， 该检测方法在  不影响网络正常传输性能 的前提下， 解决面对多种恶意攻击产生的加密的  恶意流量检测的高准确 性和高效率检测 之间、 准确性与实时性之间的矛盾  问题。 [0006]为解决上述技术问题， 本发明采用的技术方案是： 一种旁路部署针对  TLS加密的 恶意流量实时深度包检测方法， 其特 征在于， 包括以下步骤： [0007]S1、 在线旁路镜像采集待测流 量， 得到加密流 量； [0008]S2、 对S1中得到的加密流量进行自动解密， 得到解密后的报文包，  所述解密后的 报文包包含多个解密后的单帧报文； [0009]S3、 对S2中的解密后的单帧报文进行规范化， 然后提取特征， 并输  入预设的SVM分说　明　书 1/8 页 3 CN 114401112 A 3