SSL/TLS協(xié)議的惡意流量檢測數(shù)據(jù)集來源單一,而傳統(tǒng)檢測方法通常將網(wǎng)絡(luò)流量的五元組特征作為主要分類特征,但其在復(fù)雜網(wǎng)絡(luò)環(huán)境下對于惡意流量的檢測準(zhǔn)確率較低。為此,提出一種改進(jìn)的加密惡意流量檢測方法。采用數(shù)據(jù)預(yù)處理方式將加密惡意流量劃分為報文負(fù)載和流指紋兩個特征維度,在規(guī)避五元組信息的情況下根據(jù)報文負(fù)載和流指紋特征描述網(wǎng)絡(luò)流量的位置分布,并通過邏輯回歸模型實(shí)現(xiàn)加密惡意流量檢測。實(shí)驗(yàn)結(jié)果表明,在不依賴五元組特征的條件下,該方法對復(fù)雜網(wǎng)絡(luò)環(huán)境下SSL/TLS協(xié)議加密惡意流量的檢測準(zhǔn)確率達(dá)到97.60%,相比使用五元組與報文負(fù)載特征的傳統(tǒng)檢測方法約提升36.05%。 

【文章來源】：計算機(jī)工程. 2020,46(11)北大核心CSCD

【文章頁數(shù)】：7 頁

【部分圖文】：

加密惡意流量檢測流程

若按照傳統(tǒng)方法選取流量的五元組特征和某一維度特征(報文負(fù)載特征或流指紋特征),且模型訓(xùn)練數(shù)據(jù)集由單一網(wǎng)絡(luò)環(huán)境下采集的數(shù)據(jù)構(gòu)成,其分類效果對于單一網(wǎng)絡(luò)環(huán)境下采集的測試數(shù)據(jù)集具有較好的分類效果,主要原因?yàn)槲逶M特征非常重要,但對于不同網(wǎng)絡(luò)環(huán)境下采集的測試數(shù)據(jù)集,分類效果會顯著降低,其主要原因?yàn)槲逶M特征訓(xùn)練出的模型不適用于復(fù)雜網(wǎng)絡(luò)環(huán)境,檢測結(jié)果如表7、圖4所示�？梢钥闯�,單一網(wǎng)絡(luò)環(huán)境下包含五元組特征的邏輯回歸模型只適用于測試單一網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)集,若使用包含五元組特征的邏輯回歸模型測試復(fù)雜網(wǎng)絡(luò)環(huán)境下的多個數(shù)據(jù)集,則其檢測準(zhǔn)確率約平均降低35個百分點(diǎn)。本文將流量特征中的五元組特征模糊化,而將報文負(fù)載與流指紋的聯(lián)合特征作為分類器模型的輸入,檢測結(jié)果如表8、圖5所示。若將加密流量的報文負(fù)載特征與流指紋特征各自獨(dú)立訓(xùn)練模型,則準(zhǔn)確率僅分別為80.99%和78.82%[4]。本文將所有流量特征歸類為報文負(fù)載特征和流指紋特征后,從兩個維度對流量進(jìn)行刻畫,并使用這兩個維度的特征訓(xùn)練邏輯回歸模型,最終得到的結(jié)果在單一網(wǎng)絡(luò)環(huán)境和復(fù)雜網(wǎng)絡(luò)環(huán)境下均能夠達(dá)到97%以上的檢測準(zhǔn)確率,相比復(fù)雜網(wǎng)絡(luò)環(huán)境下使用五元組與報文負(fù)載特征的傳統(tǒng)檢測方法提升36.05%。

報文負(fù)載就是從報文內(nèi)容層面對信息進(jìn)行篩選和處理,從而得到這一維度的流量特征。SSL/TLS協(xié)議握手協(xié)商階段流程如圖1所示,啟動TLS會話后,客戶端向服務(wù)器發(fā)送ClientHello數(shù)據(jù)包,其生成方式取決于構(gòu)建客戶端應(yīng)用程序所使用的軟件包和方法。如果接收連接,則服務(wù)器將使用基于服務(wù)器端庫和配置以及ClientHello消息中的詳細(xì)信息創(chuàng)建ServerHello數(shù)據(jù)包進(jìn)行響應(yīng),之后服務(wù)器端發(fā)送Certificate、ServerKeyExchange和ServerHelloDone完成ServerHello的消息發(fā)送�？蛻舳耸盏较⒑髸肅ertificate中的Public Key進(jìn)行ClientKeyExchange的Session Key交換,之后發(fā)送ChangeCipherSpec指示Server從現(xiàn)在開始發(fā)送的消息都需經(jīng)過加密,最終以Finished結(jié)尾。服務(wù)器收到消息后發(fā)送同樣性質(zhì)的消息進(jìn)行確認(rèn),之后便按照之前協(xié)商的SSL協(xié)議規(guī)范收發(fā)應(yīng)用數(shù)據(jù),其中握手協(xié)商階段的報文內(nèi)容為明文,應(yīng)用數(shù)據(jù)傳輸階段的內(nèi)容為密文。傳統(tǒng)方法采用中間人破解的方式審查SSL/TLS流量的密文內(nèi)容,不僅時間耗費(fèi)長,且違背了加密流量的初衷。但由于TLS協(xié)商是以明文的方式進(jìn)行傳輸,因此可以從報文內(nèi)容層面使用Hello數(shù)據(jù)包中的詳細(xì)信息對客戶端應(yīng)用程序進(jìn)行指紋識別。由于SSL協(xié)議在構(gòu)建不同應(yīng)用程序時使用的軟件包和方法不同,因此其生成的ClientHello包中的元素也不同,但是這些元素在每個客戶端會話之間保持靜態(tài),可構(gòu)建指紋以識別后續(xù)會話中的特定客戶端[18]。本文選取ClientHello和ServerHello報文中的Version、Cipher、Extension、EllipticCurvePointFormat、EllipticCurve元素作為報文負(fù)載的特征,如表4所示。這5種元素的組合數(shù)據(jù)不僅在任何特定客戶端的靜態(tài)識別方面具有較強(qiáng)的可靠性,且相比評估單個密碼組件的方法提供了更細(xì)粒度的識別結(jié)果及差異更明顯的SSL指紋[19]。將5種元素的組合數(shù)據(jù)歸一化為專有的報文負(fù)載特征:

【參考文獻(xiàn)】：
期刊論文
[1]網(wǎng)絡(luò)加密流量識別研究進(jìn)展及發(fā)展趨勢[J]. 陳良臣,高曙,劉寶旭,盧志剛.  信息網(wǎng)絡(luò)安全. 2019(03)
[2]基于堆棧式自動編碼器的加密流量識別方法[J]. 王攀,陳雪嬌.  計算機(jī)工程. 2018(11)
[3]關(guān)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全審查工作的思考[J]. 陳清明,朱少輝.  信息安全與通信保密. 2018(06)
[4]網(wǎng)絡(luò)加密流量識別研究綜述及展望[J]. 潘吳斌,程光,郭曉軍,黃順翔.  通信學(xué)報. 2016(09)
[5]基于載荷特征的加密流量快速識別方法[J]. 陳偉,胡磊,楊龍.  計算機(jī)工程. 2012(12)



本文編號：3451832