本发明属于网络流量分析领域,特别是一种socks5加密代理通道中的大语言模型使用行为检测方法及系统。
背景技术:
1、当前加密代理流量行为检测主要针对加密代理通道及其承载典型服务类型的鉴别,但是对于以chatgpt为代表的大语言模型这一新型强交互网络服务,目前尚缺乏针对此类流量经由加密代理后的有效鉴别方法。socks5代理的加密手段复杂多样,这给应用类型识别带来了更大困难,然而大语言模型应用的显著特征是持续且间断进行的交互式文本内容传输,这给基于表征提取和机器学习对其鉴别带来了可能性。当前尚无针对socks5这一主流加密代理中的大语言模型使用行为的公开检测方法。
技术实现思路
1、本发明的目的在于提供一种socks5加密代理通道中的大语言模型使用行为检测方法及系统,且具有良好适用性,适合于不同运行环境及不同大语言模型的socks5代理大语言模型会话流量检测。
2、实现本发明目的的技术解决方案为:一种socks5加密代理通道中的大语言模型使用行为检测方法,包括以下步骤:
3、步骤1、在网络流量采集点获取全流量样本,基于白名单ip库、白名单域名库反筛后,对经过包负载熵检测筛选的未知加密流量,基于协议类型、包方向序列分组二元熵均值、包长度序列分组多元熵均值从其中筛选出可疑流量集合;
4、步骤2、对可疑流量集合中基于五元组定义的每条流,提取总字节数、总包数、最大包长度、归一化字节分布矩阵、归一化频次转移矩阵、归一化包长转移矩阵,形成流量时空频特征库;
5、步骤3、在已标注的socks5代理和非代理流量样本基础上,利用流量时空频特征库和多层感知机进行软判决分类模型训练,该模型用于推理每条流的socks5代理检测软判决概率,构造代理通联概率图;
6、步骤4、计算代理通联概率图中每个节点汇聚的代理检测软判决概率的均值与方差,得到方差和均值联合判据,据此筛选高可疑代理节点;
7、步骤5、基于包间时延阈值对高可疑代理节点关联的每条流进行会话分割,提取会话间行为表征和会话内行为表征以构成综合行为表征,结合多层感知机识别出大语言模型会话流量。
8、一种socks5加密代理通道中的大语言模型使用行为检测系统,包括:
9、第一模块,用于在网络流量观测点采集全流量样本,基于白名单ip库、白名单域名库反筛后,再对包负载进行熵检测以过滤出未知加密流量,基于协议类型、包方向序列分组二元熵均值、包长度序列分组多元熵均值从其中筛选出可疑流量集合;
10、第二模块,用于对可疑流量集合中基于五元组定义的每条流,提取总字节数、总包数、最大包长度、归一化字节分布矩阵、归一化频次转移矩阵、归一化包长转移矩阵,形成流量时空频特征库;
11、第三模块,用于在已标注的socks5代理和非代理流量样本基础上,利用流量时空频特征库和多层感知机进行软判决分类模型训练,该模型用于推理每条流的socks5代理检测软判决概率,构造代理通联概率图;
12、第四模块,用于计算代理通联概率图中每个节点汇聚的代理检测软判决概率的均值与方差,得到方差和均值联合判据,据此筛选高可疑代理节点;
13、第五模块,基于包间时延阈值对高可疑代理节点关联的每条流进行会话分割,提取会话间行为表征和会话内行为表征以构成综合行为表征,结合多层感知机进行训练以构建检测模型,从而实现socks5加密代理中大语言模型流量与其他常见加密流量的鉴别。
14、本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的socks5加密代理通道中的大语言模型使用行为检测方法。
15、本发明提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的socks5加密代理通道中的大语言模型使用行为检测方法。
16、本发明提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述的socks5加密代理通道中的大语言模型使用行为检测方法。
17、本发明与现有技术相比,其显著优点为:1)通过将可疑流量的总字节数、总包数、最大包长度、字节分布矩阵、频次转移矩阵、包长转移矩阵结合,解决了基于机器学习的检测方法所面临的单一特征支撑预测不准的问题;2)以数据驱动方法为基础解决socks5加密代理中大语言模型流量检测问题,人工经验有效嵌入至判决方法和表征设计中,检测方法的适用性强。
18、下面结合附图对本发明作进一步详细描述。
1.一种socks5加密代理通道中的大语言模型使用行为检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的socks5加密代理通道中的大语言模型使用行为检测方法,其特征在于,步骤1中,针对网络流量采集点获取的全流量样本,基于白名单ip库、域名库反筛后,对经由包负载熵检测筛选的未知加密流量,利用协议类型、包方向序列分组二元熵均值、包长度序列分组多元熵均值从其中筛选出可疑流量集合,具体为:
3.根据权利要求2所述的socks5加密代理通道中的大语言模型使用行为检测方法,其特征在于,步骤2所述对可疑流量集合中基于五元组定义的每条流,提取总字节数、总包数、最大包长度、归一化字节分布矩阵、归一化频次转移矩阵、归一化包长转移矩阵,形成流量时空频特征库,具体为:
4.根据权利要求1所述的socks5加密代理通道中的大语言模型使用行为检测方法,其特征在于,步骤3所述在已标注的socks5代理和非代理流量样本基础上,利用流量时空频特征库和多层感知机进行软判决分类模型训练,该模型用于推理每条流的socks5代理检测软判决概率,构造代理通联概率图,具体为:
5.根据权利要求1所述的socks5加密代理通道中的大语言模型使用行为检测方法,其特征在于,步骤4所述计算代理通联概率图中每个节点汇聚的代理检测软判决概率的均值与方差,筛选高可疑代理节点,具体为:
6.根据权利要求1所述的socks5加密代理通道中的大语言模型使用行为检测方法,其特征在于,步骤5所述基于包间时延阈值对高可疑代理节点关联的每条流进行会话分割,提取会话间行为特征和会话内行为表征以构成综合行为表征,结合多层感知机识别出大语言模型会话流量,具体为:
7.一种socks5加密代理通道中的大语言模型使用行为检测系统,其特征在于,用于实现权利要求1-6任一所述的方法,系统包括:
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6中任一所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1-6中任一所述方法的步骤。
