公开(公告)号：CN114401112B

公开(公告)日：2023-11-03

申请号：CN202111543768.X

申请日：2021-12-16

Applicant: 内蒙古农业大学

Inventor： 李美安 ,  仉晓东 ,  薛利霞 ,  孙艾霞 ,  高田

IPC: H04L9/40 ,  G06F18/2411

Abstract: 本发明提供一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，包括：通过在线旁路镜像实时采集待测流量；对待测流量进行自动解密，得到解密后的报文包；对解密后的单帧报文进行规范化，然后提取特征，并输入预设的SVM分类器进行检测，对判断为恶意流量的数据添加标记后存储在相应位置，并发送检测到恶意流量的通知；在预设的时间间隔结束后，计算该时间间隔内检测的准确性与实时性，如果准确性与实时性达到要求，则继续检测，否则更换用于检测的SVM模型。本发明所提供的方法，对恶意加密流量的检测具有更高的准确性与实时反馈能力，且泛化能力较强，既能检测加密流量，又能检测非加密流量，且能实现数据的单帧检测，对未知样本的检测准确度F1值在99.44％以上。

公开(公告)号：CN114401112A

公开(公告)日：2022-04-26

申请号：CN202111543768.X

申请日：2021-12-16

Applicant: 内蒙古农业大学

Inventor： 李美安 ,  仉晓东 ,  薛利霞 ,  孙艾霞 ,  高田

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明提供一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，包括：通过在线旁路镜像实时采集待测流量；对待测流量进行自动解密，得到解密后的报文包；对解密后的单帧报文进行规范化，然后提取特征，并输入预设的SVM分类器进行检测，对判断为恶意流量的数据添加标记后存储在相应位置，并发送检测到恶意流量的通知；在预设的时间间隔结束后，计算该时间间隔内检测的准确性与实时性，如果准确性与实时性达到要求，则继续检测，否则更换用于检测的SVM模型。本发明所提供的方法，对恶意加密流量的检测具有更高的准确性与实时反馈能力，且泛化能力较强，既能检测加密流量，又能检测非加密流量，且能实现数据的单帧检测，对未知样本的检测准确度F1值在99.44％以上。