一种基于流量载荷频繁项的内网违规外联检测方法

本发明公开了一种基于流量载荷频繁项的内网违规外联检测方法，包括离线训练和在线检测两个阶段，离线训练阶段中，采集并标注大量的公开加密协议流量样本与私有加密协议流量样本，并根据网络流量的五元组信息对数据包进行组流，形成数据流会话；接着，提取聚合流的载荷中的“频繁项”；然后，通过统计载荷中“频繁项”的出现次数、载荷长度、出现次数和载荷长度的比率等特征，构建成特征向量；最终，使用特定的机器学习方法进行训练，得到违规外联检测模型。在线检测阶段中，对实时网络流量进行组流与特征提取，将得到的特征向量输入到预先训练好的检测模型中，将预测结果为私有加密协议的流量标记为违规外联行为。通过本方法可以完成对内网环境下私有加密协议的识别，从而有效检测违规外联行为。