SSL/TLS協(xié)議的惡意流量檢測數(shù)據(jù)集來源單一,而傳統(tǒng)檢測方法通常將網(wǎng)絡流量的五元組特征作為主要分類特征,但其在復雜網(wǎng)絡環(huán)境下對于惡意流量的檢測準確率較低。為此,提出一種改進的加密惡意流量檢測方法。采用數(shù)據(jù)預處理方式將加密惡意流量劃分為報文負載和流指紋兩個特征維度,在規(guī)避五元組信息的情況下根據(jù)報文負載和流指紋特征描述網(wǎng)絡流量的位置分布,并通過邏輯回歸模型實現(xiàn)加密惡意流量檢測。實驗結果表明,在不依賴五元組特征的條件下,該方法對復雜網(wǎng)絡環(huán)境下SSL/TLS協(xié)議加密惡意流量的檢測準確率達到97.60%,相比使用五元組與報文負載特征的傳統(tǒng)檢測方法約提升36.05%。 

【文章來源】：計算機工程. 2020,46(11)北大核心CSCD

【文章頁數(shù)】：7 頁

【部分圖文】：

加密惡意流量檢測流程

若按照傳統(tǒng)方法選取流量的五元組特征和某一維度特征(報文負載特征或流指紋特征),且模型訓練數(shù)據(jù)集由單一網(wǎng)絡環(huán)境下采集的數(shù)據(jù)構成,其分類效果對于單一網(wǎng)絡環(huán)境下采集的測試數(shù)據(jù)集具有較好的分類效果,主要原因為五元組特征非常重要,但對于不同網(wǎng)絡環(huán)境下采集的測試數(shù)據(jù)集,分類效果會顯著降低,其主要原因為五元組特征訓練出的模型不適用于復雜網(wǎng)絡環(huán)境,檢測結果如表7、圖4所示�？梢钥闯�,單一網(wǎng)絡環(huán)境下包含五元組特征的邏輯回歸模型只適用于測試單一網(wǎng)絡環(huán)境下的數(shù)據(jù)集,若使用包含五元組特征的邏輯回歸模型測試復雜網(wǎng)絡環(huán)境下的多個數(shù)據(jù)集,則其檢測準確率約平均降低35個百分點。本文將流量特征中的五元組特征模糊化,而將報文負載與流指紋的聯(lián)合特征作為分類器模型的輸入,檢測結果如表8、圖5所示。若將加密流量的報文負載特征與流指紋特征各自獨立訓練模型,則準確率僅分別為80.99%和78.82%[4]。本文將所有流量特征歸類為報文負載特征和流指紋特征后,從兩個維度對流量進行刻畫,并使用這兩個維度的特征訓練邏輯回歸模型,最終得到的結果在單一網(wǎng)絡環(huán)境和復雜網(wǎng)絡環(huán)境下均能夠達到97%以上的檢測準確率,相比復雜網(wǎng)絡環(huán)境下使用五元組與報文負載特征的傳統(tǒng)檢測方法提升36.05%。

報文負載就是從報文內(nèi)容層面對信息進行篩選和處理,從而得到這一維度的流量特征。SSL/TLS協(xié)議握手協(xié)商階段流程如圖1所示,啟動TLS會話后,客戶端向服務器發(fā)送ClientHello數(shù)據(jù)包,其生成方式取決于構建客戶端應用程序所使用的軟件包和方法。如果接收連接,則服務器將使用基于服務器端庫和配置以及ClientHello消息中的詳細信息創(chuàng)建ServerHello數(shù)據(jù)包進行響應,之后服務器端發(fā)送Certificate、ServerKeyExchange和ServerHelloDone完成ServerHello的消息發(fā)送。客戶端收到消息后會利用Certificate中的Public Key進行ClientKeyExchange的Session Key交換,之后發(fā)送ChangeCipherSpec指示Server從現(xiàn)在開始發(fā)送的消息都需經(jīng)過加密,最終以Finished結尾。服務器收到消息后發(fā)送同樣性質(zhì)的消息進行確認,之后便按照之前協(xié)商的SSL協(xié)議規(guī)范收發(fā)應用數(shù)據(jù),其中握手協(xié)商階段的報文內(nèi)容為明文,應用數(shù)據(jù)傳輸階段的內(nèi)容為密文。傳統(tǒng)方法采用中間人破解的方式審查SSL/TLS流量的密文內(nèi)容,不僅時間耗費長,且違背了加密流量的初衷。但由于TLS協(xié)商是以明文的方式進行傳輸,因此可以從報文內(nèi)容層面使用Hello數(shù)據(jù)包中的詳細信息對客戶端應用程序進行指紋識別。由于SSL協(xié)議在構建不同應用程序時使用的軟件包和方法不同,因此其生成的ClientHello包中的元素也不同,但是這些元素在每個客戶端會話之間保持靜態(tài),可構建指紋以識別后續(xù)會話中的特定客戶端[18]。本文選取ClientHello和ServerHello報文中的Version、Cipher、Extension、EllipticCurvePointFormat、EllipticCurve元素作為報文負載的特征,如表4所示。這5種元素的組合數(shù)據(jù)不僅在任何特定客戶端的靜態(tài)識別方面具有較強的可靠性,且相比評估單個密碼組件的方法提供了更細粒度的識別結果及差異更明顯的SSL指紋[19]。將5種元素的組合數(shù)據(jù)歸一化為專有的報文負載特征:

【參考文獻】：
期刊論文
[1]網(wǎng)絡加密流量識別研究進展及發(fā)展趨勢[J]. 陳良臣,高曙,劉寶旭,盧志剛.  信息網(wǎng)絡安全. 2019(03)
[2]基于堆棧式自動編碼器的加密流量識別方法[J]. 王攀,陳雪嬌.  計算機工程. 2018(11)
[3]關于工業(yè)控制系統(tǒng)網(wǎng)絡安全審查工作的思考[J]. 陳清明,朱少輝.  信息安全與通信保密. 2018(06)
[4]網(wǎng)絡加密流量識別研究綜述及展望[J]. 潘吳斌,程光,郭曉軍,黃順翔.  通信學報. 2016(09)
[5]基于載荷特征的加密流量快速識別方法[J]. 陳偉,胡磊,楊龍.  計算機工程. 2012(12)



本文編號：3451832