摘 要:
随着加密流量的普遍应用,许多恶意软件开始隐藏在传输层安全协议(Transport Layer Security,TLS)流量中传输恶意消息,对通信安全造成严重威胁,因此对 TLS 恶意加密流量进行识别,对打击网络犯罪有着重要意义。通过对恶意和正常加密流量的会话和协议进行分析,在传统会话统计特征的基础上,提取出握手特征和证书特征,在单一特征和多特征条件下对恶意加密流量进行识别,证明了多特征的方法能显著提升识别效果。此外,为解决单一的机器学习方法泛化能力弱的问题,提出了一种基于 Stacking 的网络恶意加密流量识别方法,所提模型分类 ROC 曲线下方的面积(Area Under Curve,AUC)和召回率分别达到 99.7% 和 99.1%,在公开数据集上与XGBoost 等其他 4 种算法对比证明,所提算法性能有明显提升。
内容目录:
1 TLS 加密流量分析
1.1 TLS 协议分析
1.2 TLS 加密流量特征分析和提取
1.2.1 TLS 握手特征分析和提取
1.2.2 服务器证书特征分析和提取
1.2.3 会话的特征分析和提取
2 基于 Stacking 集成学习的加密恶意流量检测方法
2.1 Stacking 集成模型
2.2 Stacking 模型构建
3 实验结果及分析
3.1 实验环境与数据集
3.2 评价指标
3.3 特征性能对比
3.4 元分类器选择
3.5 算法性能对比
4 结 语
在安全和隐私保护需求