淘先锋技术网

首页 1 2 3 4 5 6 7

摘  要:

随着加密流量的普遍应用,许多恶意软件开始隐藏在传输层安全协议(Transport Layer Security,TLS)流量中传输恶意消息,对通信安全造成严重威胁,因此对 TLS 恶意加密流量进行识别,对打击网络犯罪有着重要意义。通过对恶意和正常加密流量的会话和协议进行分析,在传统会话统计特征的基础上,提取出握手特征和证书特征,在单一特征和多特征条件下对恶意加密流量进行识别,证明了多特征的方法能显著提升识别效果。此外,为解决单一的机器学习方法泛化能力弱的问题,提出了一种基于 Stacking 的网络恶意加密流量识别方法,所提模型分类 ROC 曲线下方的面积(Area Under Curve,AUC)和召回率分别达到 99.7% 和 99.1%,在公开数据集上与XGBoost 等其他 4 种算法对比证明,所提算法性能有明显提升。

内容目录:

1  TLS 加密流量分析

1.1  TLS 协议分析

1.2  TLS 加密流量特征分析和提取

1.2.1  TLS 握手特征分析和提取

1.2.2  服务器证书特征分析和提取

1.2.3  会话的特征分析和提取

2  基于 Stacking 集成学习的加密恶意流量检测方法

2.1  Stacking 集成模型

2.2  Stacking 模型构建

3  实验结果及分析

3.1  实验环境与数据集

3.2  评价指标

3.3  特征性能对比

3.4  元分类器选择

3.5  算法性能对比

4  结  语

在安全和隐私保护需求