题名 结合多特征识别的恶意加密流量检测方法
被引量:11
1
作者
李慧慧 张士庚 宋虹 王伟平
机构
中南大学计算机学院 中国科学院信息工程研究所信息安全国家重点实验室
出处
《信息安全学报》
CSCD
2021年第2期129-142,共14页
基金
国家自然科学基金项目(No.61772559、No.61672543) 中南大学研究生科研创新项目(No.1053320183917)的资助。
文摘
随着加密流量的广泛使用,越来越多恶意软件也利用加密流量来传输恶意信息,由于其传输内容不可见,传统的基于深度包分析的检测方法带来精度下降和实时性不足等问题。本文通过分析恶意加密流量和正常流量的会话和协议,提出了一种结合多特征的恶意加密流量检测方法,该方法提取了加密流量会话的包长与时间马尔科夫链、包长与时间分布及包长与时间统计等方面的统计特征,结合握手阶段的TLS加密套件使用、证书及域名等协议特征,构建了863维的特征向量,利用机器学习方法对加密流量进行检测,从而发现恶意加密流量。测试结果表明,结合多特征的恶意加密流量检测方法能达到98%以上的分类准确性及99.8%以上召回率,且在保持相当的分类准确性基础上,具有更好的鲁棒性,适用性更广。
关键词
加密流量 恶意检测 tls 协议分析 鲁棒性
Keywords
encrypted traffic malicious detection tls protocol analysis robustness
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 基于Stacking的网络恶意加密流量识别方法
2
作者
王天棋 丁要军
机构
甘肃政法大学
出处
《通信技术》
2022年第7期935-942,共8页
文摘
随着加密流量的普遍应用,许多恶意软件开始隐藏在传输层安全协议(Transport Layer Security,TLS)流量中传输恶意消息,对通信安全造成严重威胁,因此对TLS恶意加密流量进行识别,对打击网络犯罪有着重要意义。通过对恶意和正常加密流量的会话和协议进行分析,在传统会话统计特征的基础上,提取出握手特征和证书特征,在单一特征和多特征条件下对恶意加密流量进行识别,证明了多特征的方法能显著提升识别效果。此外,为解决单一的机器学习方法泛化能力弱的问题,提出了一种基于Stacking的网络恶意加密流量识别方法,所提模型分类ROC曲线下方的面积(Area Under Curve,AUC)和召回率分别达到99.7%和99.1%,在公开数据集上与XGBoost等其他4种算法对比证明,所提算法性能有明显提升。
关键词
tls 流量协议分析 STACKING 恶意流量检测
Keywords
tls trafficprotocol analysis Stacking malicious traffic detection
分类号
TP389.1
[自动化与计算机技术—计算机系统结构]
题名 一种具有前向安全的TLS协议0-RTT握手方案
3
作者
蒲鹳雄 缪祥华 袁梅宇
机构
昆明理工大学信息工程与自动化学院 昆明理工大学云南省计算机技术应用重点实验室
出处
《化工自动化及仪表》
CAS
2023年第6期813-819,832,共8页
基金
云南省计算机技术应用重点实验室开放基金(批准号:2021207)资助的课题。
文摘
针对传输层安全(TLS)协议1.3版本在握手消息的第1个flight中传输应用数据的0-RTT握手方案,传输的早期数据由于不存在身份认证,容易遭受重放、伪造以及中间人的攻击,并且不满足前向安全的问题,提出一种具有前向安全的0-RTT优化握手方案,使用Tamarin安全协议形式化分析工具对改进前、后的协议进行形式化验证,结果表明:改进方案的早期数据在原方案之上具有了前向保密的安全性质。
关键词
传输层安全(tls ) 完美前向安全(PFS) 0-RTT优化握手方案 安全协议形式化分析 TAMARIN
Keywords
tls perfect forward secrecy 0-RTT handshake scheme security protocol formal analysis Tamarin
分类号
TP393
[自动化与计算机技术—计算机应用技术]
