基于指纹与统计特征的HTTPS隧道流量检测技术研究
发布时间:2022-12-07 22:42
随着信息化进程不断深入,大量设备、数据接入了互联网,给社会生活带来巨大便利的同时也引发了严峻的安全挑战。一方面,各类网络攻击层出不穷,大量数据泄露事件频现报端;另一方面,流量混淆工具的广泛使用使得一些网络流量审查机制疲于应对。网络攻击工具与流量混淆工具的使用目的虽然不同,二者在规避流量检测方面采用的技术却相似。随着加密技术的广泛应用,传统的基于深度包检测的方法逐渐失效。目前,网络安全防御者和流量审查者面临的共同挑战是:如何在不影响正常业务的同时从规模日益增长的网络流量中准确识别出攻击或混淆流量。目前规避流量检测的主要方法是混淆,即伪装成正常业务流量,具体分为随机化、拟态和隧道三种技术。如果一种混淆流量与正常业务流量足够相似,检测系统的误报率就会急剧升高,为了不影响正常业务,检测系统将不得不放弃对此类混淆流量的封锁。为增强隐蔽性,一些混淆工具选择目前使用广泛的HTTPS网络协议进行伪装。例如,Meterpreter是Metasploit渗透测试框架中一款高级动态攻击工具。为规避流量检测,该工具衍生出包括基于HTTPS协议的隧道在内的数个变种,但目前业界公开的对其流量进行识别的研究较少。又...
【文章页数】:111 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
符号对照表
缩略语对照表
第一章 绪论
1.1 研究背景与选题意义
1.2 混淆流量识别技术研究现状
1.2.1 网络流量混淆背景
1.2.2 网络流量混淆工具
1.2.3 隧道流量检测现状
1.3 本文工作内容与组织安排
1.4 本章小结
第二章 相关背景知识
2.1 隧道通信技术与HTTPS网络协议
2.1.1 隧道技术背景知识
2.1.2 HTTPS协议背景知识
2.2 基于HTTPS协议的隧道技术
2.2.1 HTTPS隧道原理简介
2.2.2 HTTPS隧道特点分析
2.2.3 HTTPS隧道典型工具
2.3 机器学习背景知识
2.3.1 基本原理和主要类别
2.3.2 监督学习和统计分类
2.3.3 统计分类的评价指标
2.4 本章小结
第三章 网络流量分类与隧道流量检测技术
3.1 网络流量分类相关概念
3.2 网络流量分类技术类别
3.2.1 基于端口信息的方法
3.2.2 基于有效负载的方法
3.2.3 基于主机行为的方法
3.2.4 基于统计特征的方法
3.3 隧道流量检测技术类别
3.3.1 隧道检测与流量分类的关系
3.3.2 基于深度包检测的隧道流量识别技术
3.3.3 基于机器学习的隧道流量识别技术
3.4 本章小结
第四章 基于指纹与统计特征的HTTPS隧道流量检测方案
4.1 HTTPS隧道流量检测方案概述
4.1.1 HTTPS隧道威胁模型
4.1.2 HTTPS隧道流量检测方案逻辑框架
4.2 HTTPS指纹特征设计
4.2.2 服务器合法性评估
4.2.3 客户端加密套件评估
4.2.4 客户端扩展支持评估
4.2.5 TLS会话标识评估
4.3 HTTPS统计特征设计
4.3.2 握手阶段的空间特征
4.3.3 业务阶段的空间特征
4.3.4 业务阶段的时间特征
4.4 隧道检测方案模块功能介绍
4.4.1 样本采集模块
4.4.2 特征提取模块
4.4.3 模型构建模块
4.5 本章小结
第五章 HTTPS隧道流量检测系统工程实现
5.1 HTTPS隧道流量检测系统概述
5.1.1 系统开发背景信息
5.1.2 系统开发总体架构
5.2 样本采集模块的工程实现
5.2.1 样本采集环境
5.2.2 TCP流提取过程
5.2.3 样本采集结果
5.3 特征提取模块的工程实现
5.3.1 原始特征提取
5.3.2 指纹和统计特征提取
5.3.3 特征提取结果
5.4 模型构建模块的工程实现
5.4.2 训练分类模型
5.4.3 评估模型效果
5.5 本章小结
第六章 HTTPS隧道流量检测系统效果评估
6.1 Meterpreter HTTPS隧道流量检测效果评估
6.1.1 分类算法检测效果对比
6.1.2 特征重要性分析
6.2 Shadowsocks Obfs隧道流量检测效果评估
6.2.1 分类算法检测效果对比
6.2.2 特征重要性分析
6.3 两种隧道流量检测效果及特征重要性对比
6.3.1 隧道流量检测效果对比
6.3.2 特征重要性对比
6.4 本章小结
第七章 总结与展望
7.1 论文工作总结
7.2 后续研究工作
参考文献
致谢
作者简介
【参考文献】:
期刊论文
[1]流量混淆技术及相应识别、追踪技术研究综述[J]. 姚忠将,葛敬国,张潇丹,郑宏波,邹壮,孙焜焜,许子豪. 软件学报. 2018(10)
[2]基于云流量混淆的Tor匿名通信识别方法[J]. 何永忠,李响,陈美玲,王伟. 工程科学与技术. 2017(02)
[3]基于改进聚类分析的网络流量异常检测方法[J]. 李洪成,吴晓平,姜洪海. 网络与信息安全学报. 2015(01)
[4]匿名通信系统不可观测性度量方法[J]. 谭庆丰,时金桥,方滨兴,郭莉,张文涛,王学宾,卫冰洁. 计算机研究与发展. 2015(10)
[5]网络流量分类研究进展与展望[J]. 熊刚,孟姣,曹自刚,王勇,郭莉,方滨兴. 集成技术. 2012(01)
[6]基于信息熵的流量识别方法[J]. 吴震,刘兴彬,童晓民. 计算机工程. 2009(20)
博士论文
[1]基于深度学习的网络流量分类及异常检测方法研究[D]. 王伟.中国科学技术大学 2018
[2]隐蔽式网络攻击检测关键问题研究[D]. 曹自刚.北京邮电大学 2015
硕士论文
[1]Obfs4匿名网络流量识别研究[D]. 高睿.北京交通大学 2018
本文编号:3713000
【文章页数】:111 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
符号对照表
缩略语对照表
第一章 绪论
1.1 研究背景与选题意义
1.2 混淆流量识别技术研究现状
1.2.1 网络流量混淆背景
1.2.2 网络流量混淆工具
1.2.3 隧道流量检测现状
1.3 本文工作内容与组织安排
1.4 本章小结
第二章 相关背景知识
2.1 隧道通信技术与HTTPS网络协议
2.1.1 隧道技术背景知识
2.1.2 HTTPS协议背景知识
2.2 基于HTTPS协议的隧道技术
2.2.1 HTTPS隧道原理简介
2.2.2 HTTPS隧道特点分析
2.2.3 HTTPS隧道典型工具
2.3 机器学习背景知识
2.3.1 基本原理和主要类别
2.3.2 监督学习和统计分类
2.3.3 统计分类的评价指标
2.4 本章小结
第三章 网络流量分类与隧道流量检测技术
3.1 网络流量分类相关概念
3.2 网络流量分类技术类别
3.2.1 基于端口信息的方法
3.2.2 基于有效负载的方法
3.2.3 基于主机行为的方法
3.2.4 基于统计特征的方法
3.3 隧道流量检测技术类别
3.3.1 隧道检测与流量分类的关系
3.3.2 基于深度包检测的隧道流量识别技术
3.3.3 基于机器学习的隧道流量识别技术
3.4 本章小结
第四章 基于指纹与统计特征的HTTPS隧道流量检测方案
4.1 HTTPS隧道流量检测方案概述
4.1.1 HTTPS隧道威胁模型
4.1.2 HTTPS隧道流量检测方案逻辑框架
4.2 HTTPS指纹特征设计
4.2.2 服务器合法性评估
4.2.3 客户端加密套件评估
4.2.4 客户端扩展支持评估
4.2.5 TLS会话标识评估
4.3 HTTPS统计特征设计
4.3.2 握手阶段的空间特征
4.3.3 业务阶段的空间特征
4.3.4 业务阶段的时间特征
4.4 隧道检测方案模块功能介绍
4.4.1 样本采集模块
4.4.2 特征提取模块
4.4.3 模型构建模块
4.5 本章小结
第五章 HTTPS隧道流量检测系统工程实现
5.1 HTTPS隧道流量检测系统概述
5.1.1 系统开发背景信息
5.1.2 系统开发总体架构
5.2 样本采集模块的工程实现
5.2.1 样本采集环境
5.2.2 TCP流提取过程
5.2.3 样本采集结果
5.3 特征提取模块的工程实现
5.3.1 原始特征提取
5.3.2 指纹和统计特征提取
5.3.3 特征提取结果
5.4 模型构建模块的工程实现
5.4.2 训练分类模型
5.4.3 评估模型效果
5.5 本章小结
第六章 HTTPS隧道流量检测系统效果评估
6.1 Meterpreter HTTPS隧道流量检测效果评估
6.1.1 分类算法检测效果对比
6.1.2 特征重要性分析
6.2 Shadowsocks Obfs隧道流量检测效果评估
6.2.1 分类算法检测效果对比
6.2.2 特征重要性分析
6.3 两种隧道流量检测效果及特征重要性对比
6.3.1 隧道流量检测效果对比
6.3.2 特征重要性对比
6.4 本章小结
第七章 总结与展望
7.1 论文工作总结
7.2 后续研究工作
参考文献
致谢
作者简介
【参考文献】:
期刊论文
[1]流量混淆技术及相应识别、追踪技术研究综述[J]. 姚忠将,葛敬国,张潇丹,郑宏波,邹壮,孙焜焜,许子豪. 软件学报. 2018(10)
[2]基于云流量混淆的Tor匿名通信识别方法[J]. 何永忠,李响,陈美玲,王伟. 工程科学与技术. 2017(02)
[3]基于改进聚类分析的网络流量异常检测方法[J]. 李洪成,吴晓平,姜洪海. 网络与信息安全学报. 2015(01)
[4]匿名通信系统不可观测性度量方法[J]. 谭庆丰,时金桥,方滨兴,郭莉,张文涛,王学宾,卫冰洁. 计算机研究与发展. 2015(10)
[5]网络流量分类研究进展与展望[J]. 熊刚,孟姣,曹自刚,王勇,郭莉,方滨兴. 集成技术. 2012(01)
[6]基于信息熵的流量识别方法[J]. 吴震,刘兴彬,童晓民. 计算机工程. 2009(20)
博士论文
[1]基于深度学习的网络流量分类及异常检测方法研究[D]. 王伟.中国科学技术大学 2018
[2]隐蔽式网络攻击检测关键问题研究[D]. 曹自刚.北京邮电大学 2015
硕士论文
[1]Obfs4匿名网络流量识别研究[D]. 高睿.北京交通大学 2018
本文编号:3713000
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/3713000.html