【CN109831448A】针对特定加密网页访问行为的检测方法【专利】

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号 (43)申请公布日 (21)申请号 201910165406.8

(22)申请日 2019.03.05

(71)申请人 南京理工大学

地址 210094 江苏省南京市玄武区孝陵卫

200号

(72)发明人 华纯阳　曾昊　

(74)专利代理机构 南京理工大学专利中心

32203

代理人 马鲁晋

(51)Int.Cl.

H04L 29/06(2006.01)

H04L 29/08(2006.01)

H04L 29/12(2006.01)

H04L 12/24(2006.01)

(54)发明名称

针对特定加密网页访问行为的检测方法

(57)摘要

本发明提出了一种针对特定加密网页访问

行为的检测方法，首先对某特定网页建立指纹

库，然后在复杂流量环境中根据指纹库中的内容

对特定网页进行特征的匹配，最后根据匹配结

果，对本次识别进行建模并得到相似度系数，最

终确定流量环境中是否存在访问行为。本发明充

分利用了网页传输过程中的特点，具有较高的可

靠性以及稳定性。权利要求书2页 说明书7页 附图1页CN 109831448 A 2019.05.31

C N 109831448

A

1.一种针对特定加密网页访问行为的检测方法，其特征在于，包括以下流程：

步骤1、对目标网页X进行访问，抓取访问X网页的流量，所述流量包括HTTPS加密流以及HTTP明文流；

步骤2、从TCP层对步骤1中获得到的HTTPS加密流提取特征，并将其作为该网页的指纹库，所述特征包括DNS中的A记录名称、该流资源个数、该流资源长度序列；

步骤3、提取HTTP明文流特征，并将其作为该网页的指纹库，所述特征包括DNS中的A记录名称、最大资源TCP重组后的字节数、资源的MD5值；

步骤4、采集待检测流量，根据步骤2、步骤3中的DNS中的A记录名称，提取出待检测流量中DNS协议内容中的IP地址，根据IP地址将待检测流量中不包含这些IP地址的流量过滤；

步骤5、设置时间窗口，以匹配到主流的时间为开始时间，以这个开始时间+10s的时间为结束时间，将步骤4中经过IP地址过滤并且在这个时间内开始的流量提取出来，作为本次对目标网页识别的流量集合；

步骤6、在步骤5的流量集合中，分别选择HTTP明文流、HTTPS加密流与指纹库中的相应特征进行匹配比较，最终得到n条HTTP明文流命中结果以及m条HTTPS加密流命中结果，并且每个结果对应命中的流中资源个数；

步骤7、建立网页访问流量识别模型，具体为：

T ’＝M MR *AP coefficient *AE coefficient

式中，M MR 为匹配度系数的基准值，AP coefficient 为辅助明文流补偿系数，AE coefficient 为辅助密文流补偿系数，T ’采样相似度系数；

对采样相似度系数T ’作归一化，得到T记为相似度系数，其计算公式为：

T＝min(T ',1)

当得到的T大于等于0.9，则表示识别到对特定网页的访问行为。

2.根据权利要求1所述的针对特定加密网页访问行为的检测方法，其特征在于，从TCP 层对步骤1中获得到的HTTPS加密流提取特征，并将其作为该网页的指纹库的具体方法为：

提取每一条HTTPS加密流的长度序列，并按时间顺序对其进行排列，排序为第一个的称为主流，其余的称为辅助流，分别记录每条流对应的DNS中的A记录名称，最终对每条得到的HTTPS流得到特征值为：DNS中的A记录名称、该流资源个数、该流资源长度序列。

3.根据权利要求2所述的针对特定加密网页访问行为的检测方法，其特征在于，提取的

HTTPS加密流的长度序列为：式中，表示flow这条流对应的第i个资源的长度，

具体为：其中，是传输第i个资源的第j个数据包的长度。

4.根据权利要求1所述的针对特定加密网页访问行为的检测方法，其特征在于，步骤7网页访问流量识别模型中匹配度系数的基准值M MR 具体计算公式为：

M MR ＝Sim encrypt (num)

权　利　要　求　书1/2页2CN 109831448 A