(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210916554.0 (22)申请日 2022.08.01 (65)同一申请的已公布的文献号 申请公布号 CN 115051874 A (43)申请公布日 2022.09.13 (73)专利权人 杭州默安科技有限公司 地址 311100 浙江省杭州市余杭区仓前街 道余杭塘路2616号3号楼1楼 (72)发明人 王乐　 (74)专利代理 机构 杭州裕阳联合专利代理有限 公司 33289 专利代理师 何宇梁 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01)(56)对比文件 CN 114172748 A,202 2.03.11 US 202023 6131 A1,2020.07.23 审查员 张燕燕 (54)发明名称 一种多特征的CS恶意加密流量检测方法和 系统 (57)摘要 本发明公开了一种多特征的CS恶意加密流 量检测方法和系统， 所述方法包括： 构建交换机 镜像流量， 并采集交换机镜像加密流量数据， 采 集的加密流量数据包括正常加密流量和恶意加 密流量， 解析采集到的加密流量数据； 获取解析 后加密流量数据中的指纹特征数据和通信行为 特征数据； 将所述指纹特征数据和通信行为特征 数据进行数值转化和特征融合， 构建混合特征数 据； 将所述 混合特征数据输入到机器学习分类模 型中进行训练得到恶意加密流量检测模型； 根据 训练好的恶意加密流量检测模型检测到的恶意 流量提取CS服务器IP和端口， 并根据提取的CS服 务器IP和端口构造校验请求， 根据校验请求的响 应结果判断恶意 流量。 权利要求书2页 说明书6页 附图1页 CN 115051874 B 2022.12.09 CN 115051874 B 1.一种多特 征的CS恶意加密流 量检测方法， 其特 征在于， 所述方法包括： 构建交换机镜像流量， 并采集交换机镜像加密流量数据， 采集的加密流量数据包括正 常加密流 量和恶意加密流 量， 解析采集到的加密流 量数据； 获取解析后加密流 量数据中的指纹特 征数据和通信行为特 征数据； 将所述指纹特征数据和通信行为特征数据进行数值转化和特征拼接 融合， 构建混合特 征数据； 将所述混合特征数据输入到机器学习分类模型中进行训练得到恶意加密流量检测模 型； 根据训练好的恶意加密流量检测模型检测到的恶意流量提取CS服务器IP和端口， 并根 据提取的CS服 务器IP和端口构造校验请求， 根据校验请求的响应结果判断恶意 流量； 获取所述恶意加密流量数据和正常加密流量数据后， 提取对应的字符串类型特征数 据， 并将所述字符串类型数据根据字符串的类型和字符串长度进行赋值， 根据字母的长度 进行字符串的赋值， 赋值范围设置为0 ‑100， 对于非字母的字符串类型根据非字母的字 符串 类型在101 ‑200范围内赋值， 非字母字 符串类型赋值时通过加100的基础赋值的方式进行不 同字符串类型的分段 赋值； 数据拼接是基于单一维度的拼接方式， 若指纹特征F  = {f1,f2,……,fn},通信行为特 征 T = {t1,t2, ……,tn}， 则拼接之后的特征Feature  = F+T = {f1,f2, ……,fn,t1, t2,……,tn}， 其中+为拼接操作， Feature为拼接之后的数值类型特征， fn为指纹特征中的 任意一个特征元素， tn为通讯行为特 征中任意 一个特征元素。 2.根据权利要求1所述的一种 多特征的CS恶意加密流量检测方法， 其特征在于， 所述解 析采集到的加密流量数据方法包括： 获取加密流量数据后， 通过特征匹配的方式将所述流 量数据分类为有效流 量和无效流 量。 3.根据权利要求2所述的一种 多特征的CS恶意加密流量检测方法， 其特征在于， 在完成 所述加密流量数据分类后， 对有效的正常加密流量数据和恶意加密流量数据分别进行指纹 特征提取和通信行为特征提取， 其中所述指纹特征包括CS客户端指纹特征和CS服务器指纹 特征。 4.根据权利要求1所述的一种 多特征的CS恶意加密流量检测方法， 其特征在于， 所述通 信行为特征信息包括五元组信息， 其中所述五元组信息分别为源ip、 目的ip、 源端口、 目的 端口和通信协议类型。 5.根据权利要求1所述的一种 多特征的CS恶意加密流量检测方法， 其特征在于， 在获取 到指纹特征数据和通信行为特征数据后， 将所述指纹特征数据和通信行为特征数据中的字 符串类型 数据根据字符串类型和长度转 化为数值型 数据。 6.根据权利要求1所述的一种 多特征的CS恶意加密流量检测方法， 其特征在于， 所述混 合特征数据的构建方法包括： 获取所述指纹特征数据和通信行为特征数据中数值型数据以 及转化后的数值型数据， 将指纹特征数据所有的数值型数据和所述通信行为中的数值型数 据进行拼接， 得到拼接后的数值型 特征数据。 7.根据权利要求6所述的一种 多特征的CS恶意加密流量检测方法， 其特征在于， 获取拼 接后的数值型 特征数据， 将所述数值型 特征数据通过如下公式进行归一 化处理：权　利　要　求　书 1/2 页 2 CN 115051874 B 2其中Y为归一化处理的结果， x为拼接后数值型特征数据的任意一个元素， max为拼接后 数值型特征数据的最大值， mi n为拼接后数值型 特征数据的最小值。 8.根据权利要求1所述的一种 多特征的CS恶意加密流量检测方法， 其特征在于， 所述恶 意加密流量检测模型识别恶意加密流量后， 根据所述恶意加密流量的五元组获取CS服务器 IP和端口， 并生 成符合checksum8校验的字 符串， 将校验的字 符串作为访问地址构建校验请 求， 若满足校验， 构造特殊请求下 载cs服务器的加密配置文件， 并返回校验状态码。 9.一种多特征的CS恶意加密流量检测系统， 其特征在于， 所述系统执行权利要求1 ‑8中 任意一项所述的一种多特 征的CS恶意加密流 量检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序可被处理器执行权利要求1 ‑8中任意一项所述的一种多特征的CS恶意 加密流量检测方法。权　利　要　求　书 2/2 页 3 CN 115051874 B 3