(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211112537.8 (22)申请日 2022.09.14 (71)申请人 南京怡晟安全技 术研究院有限公司 地址 211100 江苏省南京市江宁区科建 路 29号有志大厦6层L6 029 (72)发明人 李峰　顾亮　 (74)专利代理 机构 南京苏创专利代理事务所 (普通合伙) 32273 专利代理师 张学彪 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种针对加密流 量的安全检测方法 (57)摘要 本申请涉及一种针对加密流量的安全检测 方法， 包括以下步骤： 数据实时处理； 数据特征处 理： 对无法满足于算法需求的数据进行格式化处 理， 使数据以相同类型被算法读取； 数据分析和 分类： 对已处理的数据进行不同类别特征进行分 析， 并进行粗分类和细分类； 特征降维和特征分 析模型建立： 对细化分类后的数据特征进行主成 分分析， 并以分析结果筛选出优化的数据特征， 建立特征分析模型； 特征训练： 结合实时数据或 模拟数据， 通过不同种类算法对 特征分析模型进 行模拟和训练， 得到最终特征分析模型； 验证监 测结果： 对加密流量数据进行多方面的监测结果 评估。 本申请利用 构建特征模型的手段， 实现对 加密流量的安全防护， 并使加密流量的保护更加 高效。 权利要求书1页 说明书3页 附图1页 CN 115442148 A 2022.12.06 CN 115442148 A 1.一种针对加密流 量的安全检测方法， 其特 征在于， 包括以下步骤： 步骤一： 数据实时处 理： 实时收集加密流 量样本数据； 步骤二： 数据特征处理： 对无法满足于算法需求的数据进行格式化处理， 使数据以相同 类型被算法读取； 步骤三： 数据分析和分类： 对已处理的数据进行恶意样本功能、 加密机制、 通联方式以 及恶意攻击流量的攻击类型等不同类别特征进行分析， 并根据恶意加密流量的种类进 行粗 分类， 再根据各种加密流 量的源代码种类、 攻击类型以及流 量来源进行细分类； 步骤四： 特征降维和特征分析模型建立： 对细化分类后的数据 特征进行主成分分析， 并 以分析结果筛选出优化的数据特征， 建立特征分析模型， 用于将加密流量数据进行快速准 确的特征识别和对应； 步骤五： 特征训练： 结合实时数据或模拟数据， 通过CNN、 RNN等不同种类算法对特征分 析模型进行模拟和训练， 用于优化特 征识别和对应速度和准确性， 得到优化特 征分析模型； 步骤六： 验证监测结果： 根据步骤五得到的优化特征分析模型， 对加密流量数据进行威 胁类型、 威胁系数、 家族名、 攻击类型及应用类型等方面的监测结果评估， 返回步骤一。 2.根据权利要求1所述的安全检测方法， 其特征在于， 所述步骤一中收集的加密流量样 本数据来源于实际网络环境、 模拟测试数据以及跟踪恶意数据最新样本和最新攻击方式得 到的数据。 3.根据权利要求1所述的安全检测方法， 其特征在于， 所述步骤二中格式化处理运用归 一化、 标准化、 离散化、 二值化和哑编码其中的至少一种。 4.根据权利要求1所述的安全检测方法， 其特征在于， 所述步骤三中恶意加密流量的种 类包括恶意代码使用加密通信的流量类、 加密通道中的恶意攻击流量类以及恶意或非法加 密应用的通信流 量类其中的至少一种。 5.根据权利要求1所述的安全检测方法， 其特征在于， 所述步骤四中筛选出优化的数据 特征的筛选方法包括过 滤式、 包裹式或 嵌入式其中的至少一种。权　利　要　求　书 1/1 页 2 CN 115442148 A 2一种针对加密流量的安全检测方 法 技术领域 [0001]本申请涉及网络信息安全领域， 尤其涉及一种针对加密流 量的安全检测方法。 背景技术 [0002]全国互联 网走向全面加密时代已经是大势所趋， 但在加 密反问可保障通讯安全的 前提下， 绝对大多数网络安全设备对网络攻击、 恶意软件等加密流量的安全防护措施的力 度往往较低， 由于加密流量的攻击者往往通过SSL加密通道完成恶意软件载荷和漏洞利用 的投递和 转发， 包括受感染主机与命令和控制服务器间的通信也会受到相应的影响， 但由 于加密流量的来源广泛， 加密协议的种类多样等因素， 以现有的安全检测方法难以达到必 须的安全防护水平。 发明内容 [0003]为了解决上述技术问题， 本申请提供一种针对加密流量的安全检测方法， 包括以 下步骤： 步骤一： 数据实时处 理： 实时收集加密流 量样本数据； 步骤二： 数据特征处理： 对无法满足于算法需求的数据进行格式化处理， 使数据以 相同类型被算法读取； 步骤三： 数据分析和分类： 对已处理的数据进行恶意样本功能、 加密机制、 通联方 式以及恶意攻击流量的攻击类型等不同类别特征进行分析， 并根据恶意加密流量的种类进 行粗分类， 再根据各种加密流 量的源代码种类、 攻击类型以及流 量来源进行细分类； 步骤四： 特征降维和特征分析模型建立： 对细化分类后的数据特征进行主成分分 析， 并以分析结果筛选出优化的数据特征， 建立特征分析模型， 用于将加密流量数据进行快 速准确的特 征识别和对应； 步骤五： 特征训练： 结合实时数据或模拟数据， 通过CNN、 RNN等不同种类算法对特 征分析模型进行模拟和训练， 用于优化特征识别和对应速度和准确 性， 得到优化特征分析 模型； 步骤六： 得到监测结果： 根据步骤五得到的最终特征分析模型， 对加密流量数据进 行威胁类型、 威胁系数、 家族名、 攻击类型及应用类型等方面的监测结果评估。 [0004]进一步地， 所述步骤一中收集的加密流量样本数据来源于实际网络环境、 模拟测 试数据以及跟踪 恶意数据最 新样本和最 新攻击方式得到的数据。 、 所述步骤二中格式化处理运用归一化、 标准化、 离散化、 二值化和哑编码其中的至 少一种。 [0005]所述步骤三中恶意加密流量的种类包括恶意代码使用加 密通信的流量类、 加 密通 道中的恶意 攻击流量类以及恶意或非法加密应用的通信流 量类其中的至少一种。 [0006]所述步骤四中筛选出优化的数据特征的筛选方法包括过滤式、 包裹式或嵌入式其 中的至少一种。说　明　书 1/3 页 3 CN 115442148 A 3