1.一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，其特征在于，包括以下步骤： S1、在线旁路镜像采集待测流量，得到加密流量； S2、对S1中得到的加密流量进行自动解密，得到解密后的报文包，所述解密后的报文包包含多个解密后的单帧报文； S2中加密流量进行自动解密的具体过程为：通过旁路提取并解析报文帧中TLS握手信息和加密数据，通过解析握手信息对报文进行自动解密，得到解密后的报文包； S3、对S2中的解密后的单帧报文进行规范化，然后提取特征，并输入预设的SVM分类器进行检测，对判断为恶意流量的数据添加标记后存储在相应位置，并发送检测到恶意流量的通知。

2.根据权利要求1所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，其特征在于，还包括： S4、在预设的时间间隔结束后，计算该时间间隔内检测的恶意流量的准确性与实时性，如果准确性与实时性达到要求，则继续检测，否则更换预设的SVM分类器后再次检测解密后的报文包。

3.根据权利要求1所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，其特征在于，S3中提取的特征包括规范化后解密后的单帧报文的URL总字节数、是否嵌套URL、非正常符号个数、非字母数字下划线符号数、预设恶意关键字个数、含有函数个数、是否特殊结尾、是否伪装文件名、连续数字最长长度和符号单词比率。

4.根据权利要求1所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，其特征在于，通过解析握手信息对报文进行自动解密包括以下步骤： 步骤301：在线旁路提取参与解密相关的参数有“客户端随机数”、“服务端随机数”、“主密钥”和对称加密算法加解密用到的“块密钥”；“主密钥”是通过先提取握手信息中非对称算法加密的预主密钥，再经过服务器私钥解密和PRF伪随机数算法处理后得出；“块密钥”是根据“主密钥”与两个“随机数”通过PRF伪随机数算法处理后得出； 步骤302：当通讯中的加密数据需要进行解密时，使用所述“块密钥”进行分割得到对应的对称加密算法的解密密钥进行解密操作。

5.根据权利要求2所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，其特征在于，S3中预设的SVM分类器是通过以下方法取得：通过事先搜集的大量含有多种攻击类型的恶意流量报文和正常流量报文直接提取生成特征向量，对SVM分类器进行训练；根据所述SVM分类器输出的分类结果，采用网格搜索法调整所述SVM分类器的模型参数，找到所述SVM分类器的准确度的最大值，得到最终目标SVM分类器模型；分析SVM分类器模型准确性与实时性同所选特征的关系，获得多种准确性与实时性要求下的SVM分类器。

6.根据权利要求5所述的一种旁路部署针对TLS加密的恶意流量实时深度包检测方法，其特征在于，事先搜集的大量含有所述多种攻击类型的恶意流量报文和正常流量报文至少包括HTTP CSIC 2010数据集。

请联系平台

请联系平台