结合报文负载与流指纹特征的恶意流量检测
发布时间:2021-10-22 21:01
SSL/TLS协议的恶意流量检测数据集来源单一,而传统检测方法通常将网络流量的五元组特征作为主要分类特征,但其在复杂网络环境下对于恶意流量的检测准确率较低。为此,提出一种改进的加密恶意流量检测方法。采用数据预处理方式将加密恶意流量划分为报文负载和流指纹两个特征维度,在规避五元组信息的情况下根据报文负载和流指纹特征描述网络流量的位置分布,并通过逻辑回归模型实现加密恶意流量检测。实验结果表明,在不依赖五元组特征的条件下,该方法对复杂网络环境下SSL/TLS协议加密恶意流量的检测准确率达到97.60%,相比使用五元组与报文负载特征的传统检测方法约提升36.05%。
【文章来源】:计算机工程. 2020,46(11)北大核心CSCD
【文章页数】:7 页
【部分图文】:
加密恶意流量检测流程
若按照传统方法选取流量的五元组特征和某一维度特征(报文负载特征或流指纹特征),且模型训练数据集由单一网络环境下采集的数据构成,其分类效果对于单一网络环境下采集的测试数据集具有较好的分类效果,主要原因为五元组特征非常重要,但对于不同网络环境下采集的测试数据集,分类效果会显著降低,其主要原因为五元组特征训练出的模型不适用于复杂网络环境,检测结果如表7、图4所示。可以看出,单一网络环境下包含五元组特征的逻辑回归模型只适用于测试单一网络环境下的数据集,若使用包含五元组特征的逻辑回归模型测试复杂网络环境下的多个数据集,则其检测准确率约平均降低35个百分点。本文将流量特征中的五元组特征模糊化,而将报文负载与流指纹的联合特征作为分类器模型的输入,检测结果如表8、图5所示。若将加密流量的报文负载特征与流指纹特征各自独立训练模型,则准确率仅分别为80.99%和78.82%[4]。本文将所有流量特征归类为报文负载特征和流指纹特征后,从两个维度对流量进行刻画,并使用这两个维度的特征训练逻辑回归模型,最终得到的结果在单一网络环境和复杂网络环境下均能够达到97%以上的检测准确率,相比复杂网络环境下使用五元组与报文负载特征的传统检测方法提升36.05%。
报文负载就是从报文内容层面对信息进行筛选和处理,从而得到这一维度的流量特征。SSL/TLS协议握手协商阶段流程如图1所示,启动TLS会话后,客户端向服务器发送ClientHello数据包,其生成方式取决于构建客户端应用程序所使用的软件包和方法。如果接收连接,则服务器将使用基于服务器端库和配置以及ClientHello消息中的详细信息创建ServerHello数据包进行响应,之后服务器端发送Certificate、ServerKeyExchange和ServerHelloDone完成ServerHello的消息发送。客户端收到消息后会利用Certificate中的Public Key进行ClientKeyExchange的Session Key交换,之后发送ChangeCipherSpec指示Server从现在开始发送的消息都需经过加密,最终以Finished结尾。服务器收到消息后发送同样性质的消息进行确认,之后便按照之前协商的SSL协议规范收发应用数据,其中握手协商阶段的报文内容为明文,应用数据传输阶段的内容为密文。传统方法采用中间人破解的方式审查SSL/TLS流量的密文内容,不仅时间耗费长,且违背了加密流量的初衷。但由于TLS协商是以明文的方式进行传输,因此可以从报文内容层面使用Hello数据包中的详细信息对客户端应用程序进行指纹识别。由于SSL协议在构建不同应用程序时使用的软件包和方法不同,因此其生成的ClientHello包中的元素也不同,但是这些元素在每个客户端会话之间保持静态,可构建指纹以识别后续会话中的特定客户端[18]。本文选取ClientHello和ServerHello报文中的Version、Cipher、Extension、EllipticCurvePointFormat、EllipticCurve元素作为报文负载的特征,如表4所示。这5种元素的组合数据不仅在任何特定客户端的静态识别方面具有较强的可靠性,且相比评估单个密码组件的方法提供了更细粒度的识别结果及差异更明显的SSL指纹[19]。将5种元素的组合数据归一化为专有的报文负载特征:
【参考文献】:
期刊论文
[1]网络加密流量识别研究进展及发展趋势[J]. 陈良臣,高曙,刘宝旭,卢志刚. 信息网络安全. 2019(03)
[2]基于堆栈式自动编码器的加密流量识别方法[J]. 王攀,陈雪娇. 计算机工程. 2018(11)
[3]关于工业控制系统网络安全审查工作的思考[J]. 陈清明,朱少辉. 信息安全与通信保密. 2018(06)
[4]网络加密流量识别研究综述及展望[J]. 潘吴斌,程光,郭晓军,黄顺翔. 通信学报. 2016(09)
[5]基于载荷特征的加密流量快速识别方法[J]. 陈伟,胡磊,杨龙. 计算机工程. 2012(12)
本文编号:3451832
【文章来源】:计算机工程. 2020,46(11)北大核心CSCD
【文章页数】:7 页
【部分图文】:
加密恶意流量检测流程
若按照传统方法选取流量的五元组特征和某一维度特征(报文负载特征或流指纹特征),且模型训练数据集由单一网络环境下采集的数据构成,其分类效果对于单一网络环境下采集的测试数据集具有较好的分类效果,主要原因为五元组特征非常重要,但对于不同网络环境下采集的测试数据集,分类效果会显著降低,其主要原因为五元组特征训练出的模型不适用于复杂网络环境,检测结果如表7、图4所示。可以看出,单一网络环境下包含五元组特征的逻辑回归模型只适用于测试单一网络环境下的数据集,若使用包含五元组特征的逻辑回归模型测试复杂网络环境下的多个数据集,则其检测准确率约平均降低35个百分点。本文将流量特征中的五元组特征模糊化,而将报文负载与流指纹的联合特征作为分类器模型的输入,检测结果如表8、图5所示。若将加密流量的报文负载特征与流指纹特征各自独立训练模型,则准确率仅分别为80.99%和78.82%[4]。本文将所有流量特征归类为报文负载特征和流指纹特征后,从两个维度对流量进行刻画,并使用这两个维度的特征训练逻辑回归模型,最终得到的结果在单一网络环境和复杂网络环境下均能够达到97%以上的检测准确率,相比复杂网络环境下使用五元组与报文负载特征的传统检测方法提升36.05%。
报文负载就是从报文内容层面对信息进行筛选和处理,从而得到这一维度的流量特征。SSL/TLS协议握手协商阶段流程如图1所示,启动TLS会话后,客户端向服务器发送ClientHello数据包,其生成方式取决于构建客户端应用程序所使用的软件包和方法。如果接收连接,则服务器将使用基于服务器端库和配置以及ClientHello消息中的详细信息创建ServerHello数据包进行响应,之后服务器端发送Certificate、ServerKeyExchange和ServerHelloDone完成ServerHello的消息发送。客户端收到消息后会利用Certificate中的Public Key进行ClientKeyExchange的Session Key交换,之后发送ChangeCipherSpec指示Server从现在开始发送的消息都需经过加密,最终以Finished结尾。服务器收到消息后发送同样性质的消息进行确认,之后便按照之前协商的SSL协议规范收发应用数据,其中握手协商阶段的报文内容为明文,应用数据传输阶段的内容为密文。传统方法采用中间人破解的方式审查SSL/TLS流量的密文内容,不仅时间耗费长,且违背了加密流量的初衷。但由于TLS协商是以明文的方式进行传输,因此可以从报文内容层面使用Hello数据包中的详细信息对客户端应用程序进行指纹识别。由于SSL协议在构建不同应用程序时使用的软件包和方法不同,因此其生成的ClientHello包中的元素也不同,但是这些元素在每个客户端会话之间保持静态,可构建指纹以识别后续会话中的特定客户端[18]。本文选取ClientHello和ServerHello报文中的Version、Cipher、Extension、EllipticCurvePointFormat、EllipticCurve元素作为报文负载的特征,如表4所示。这5种元素的组合数据不仅在任何特定客户端的静态识别方面具有较强的可靠性,且相比评估单个密码组件的方法提供了更细粒度的识别结果及差异更明显的SSL指纹[19]。将5种元素的组合数据归一化为专有的报文负载特征:
【参考文献】:
期刊论文
[1]网络加密流量识别研究进展及发展趋势[J]. 陈良臣,高曙,刘宝旭,卢志刚. 信息网络安全. 2019(03)
[2]基于堆栈式自动编码器的加密流量识别方法[J]. 王攀,陈雪娇. 计算机工程. 2018(11)
[3]关于工业控制系统网络安全审查工作的思考[J]. 陈清明,朱少辉. 信息安全与通信保密. 2018(06)
[4]网络加密流量识别研究综述及展望[J]. 潘吴斌,程光,郭晓军,黄顺翔. 通信学报. 2016(09)
[5]基于载荷特征的加密流量快速识别方法[J]. 陈伟,胡磊,杨龙. 计算机工程. 2012(12)
本文编号:3451832
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3451832.html
