【研究型论文】基于 stacking 和多特征融合的加密恶意流量检测研究(中文论文)

已于 2023-03-03 12:11:05 修改
阅读量1.7k 收藏 10
点赞数 5
分类专栏: 文献阅读 文章标签: 人工智能 机器学习 计算机视觉
于 2022-10-12 10:04:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dajian1040556534/article/details/127275638
版权

文章目录

基于 stacking 和多特征融合的加密恶意流量检测研究

摘要

加密技术保护网络通信安全的同时,大量恶意软件也采用加密协议来隐藏其恶意行为,传统的基于
有效负载和深度包检测的方法已经不再适用。针对已有基于机器学习 TLS 加密恶意流量检测存在单模型检测算法对多粒度特征适用性差和混合流量检测误报率高的问题,提出了基于 stacking 策略和多特征融合的非解密 TLS 加密恶意流量检测方法

分析了加密恶意流量特征多粒度的特点,提取流量的流特征连接特征TLS 握手特征。对所提取的特征利用特征工程进行规约处理,进而减少计算开销。对规约处理后的 3类特征分别建立随机森林、XGBoost 和高斯朴素贝叶斯分类器模型学习隐藏在流量内部的规律。

使用流指纹融合处理后的多维特征,通过 stacking 策略组合 3 个分类器,构成 DMMFC 检测模型来识别网络中的TLS 加密恶意流量。

利用 CTU-13 公开数据集对构建的模型进行性能评估。实验结果表明,该方法在二分类实验上识别召回率高达 99.90%,恶意流量检测的误报率低于 0.10%,能够有效的检测非解密的 TLS 加密恶意流量。

解决的问题

  1. 单模型检测算法对多粒度特征适用性差
  2. 加密与非加密混合流量检测误报率高

1. 特征提取

(1)获取三种类型的流量特征

  1. 流特征:流特征是通过分析 OSI 协议第 3 层和第 4 层之间的网络流量。收集了100维度。
  2. 连接特征:连接特征子集由 DNS 响应、HTTP 和 TLS 握手特征构成。收集了21维度。
  3. 证书特征:证书特征子集包括括‘issuer’,‘subject’和‘ciphersuites’。

(2)特征降维

  1. 使用随机森林获取流特征重要性权重,当最低阈值为0.01时,随机森林F1值效果最好,此时流特征维度降为28维。
    在这里插入图片描述

  2. 连接特征进行PCA降维,当累计特征贡献率为0.9时,XGBoost的F1值效果最好,特征降为4维度,与TLS表示特征拼接,构成7维特征。
    在这里插入图片描述

  3. 证书特征进行PCA降维,当累计特征贡献率为0.8时,GNB的F1值效果最好,特征降为28维度。
    在这里插入图片描述

2. 模型框架DMMFC

DMMFC框架是一个stacking集成架构。第一层的三个基学习器为随机森林,XGBoost和GNB,第二层的基学习器为单层逻辑回归模型。

DMMFC检测模型采用五折交叉验证的方式进行训练
在这里插入图片描述

3. 整体流程

在这里插入图片描述

4. 结论

在这里插入图片描述

总结

论文优点

  1. 该方法达到了 99.13%的召回率和 0.05%的误报率,TLS 加密流量检测检出率接近 100%。
  2. 所提取的特征克服了深度学习自动挑选的特征不具备普适性的缺点
  3. DMMFC 检测模型性能优于单一机器学习模型,抗数据敏感性更强

论文缺点

  1. 数据集CTU-13是2011年的公开数据集,时间较早。所提的检测模型不一定能检测现在的恶意流量
  2. 该研究中使用的数据集正常流量与恶意流量在同一数量级上,但是实际场景中通常正常流量要远远多于异常流量,在这种情况下,该模型的泛化能力没有在论文中提到。

用到的工具和数据集

工具:Zeek:对流量包做预处理并进行特征提取
数据集:CTU-13 公开数据集

过动猿
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于XGBoost与Stacking融合模型的恶意程序多分类检测方法.docx
06-17
基于XGBoost与Stacking融合模型的恶意程序多分类检测方法.docx
CTU-13数据集
爱学习的大白菜的博客
05-18 6308
CTU-13数据集源网址:https://mcfp.weebly.com/the-ctu-13-dataset-a-labeled-dataset-with-botnet-normal-and-background-traffic.html CTU-13数据集。一个含有僵尸网络流量、正常流量和背景流量的且已标记的数据集。 CTU-13是2011年位于捷克共和国的捷克理工大学(CTU)捕获的僵尸网络流量数据集。数据集的目标是对混杂正常流量和背景流量的真实的僵尸网络流量进行大规模捕获。CTU-13数据集包含
基于深度学习的恶意流量分类复现-part2
qq_43226213的博客
12-07 3743
基于深度学习的恶意流量分类复现 第二部分-对原始数据集处理 1.从原始流量中提取flow和session 一共准备了10个流量数据集,目标是对上述流量进行进行分类。 运行工具集中的第一个脚本文件,得到处理后的流量包,实验中提取的是原始流量包的flow foreach($f in gci 1_Pcap\Malware *.pcap) #遍历文件 { 0_Tool\SplitCap_2-1\SplitCap -p 50000 -b 50000 -r $f.FullName -o 2_Session\
僵尸网络检测数据集CTU-13介绍及使用
liuhongyue的博客
06-02 1686
由于要做僵尸网络检测的工作,但是没有相关数据,需要搜集相关数据集进行算法的验证,通过调研,发现CTU-13数据集开源,且进行了处理分析,减少了数据处理的一些工作,比如对流数据进行了聚合,生成双向流数据文件,也就是后面要用到的文件。这个语句直接到相应的网址去下载数据,并且是dataframe格式化的,很好,这就是我想要的。scenario_1是第一个僵尸网络场景的数据,数据量和数据集描述中一致。对CTU-13数据集的描述的翻译,这使得后面对这份数据集的理解更加容易。具体的也可以看下不同类型数据的占比。
利用机器学习方法检测识别TLS加密恶意流量
永远在奔跑的学习者
10-29 7603
摘要:本文总结提出了一种主流的机器学习加密流量分析的方法 如何在不侵犯个人隐私的前提下,在加密流量检测恶意攻击行为,为了找到一种切实可行的“在加密流量检测恶意攻击行为”的方法,Infosec团队借鉴了Cisco公司高级安全研究小组(Cisco Advanced Security Research)的一个研究项目:基于NetFlows的恶意行为检测技术。研究人员用了两年的时间找到了问题的解决方...
Botnet-detection:使用机器学习识别僵尸网络
05-19
基于机器学习的僵尸网络检测 基于机器学习的僵尸网络检测是一种根据网络流量将网络流量归为僵尸网络入侵或不入侵的工具。 它涉及各种机器学习分类器,包括神经网络,决策树,朴素贝叶斯,逻辑回归,k最近邻。 客观的 该项目使用各种基于机器学习的分类器实现了一种新颖的方法来检测基于僵尸网络的网络入侵。 与传统的基于数据包分析的方法不准确且费时不同,此方法既稳健又高度准确。 该项目涉及以下机器学习分类器: 神经网络 决策树 逻辑回归 支持向量机 高斯朴素贝叶斯 K最近的邻居。 使用的数据集 该项目使用CTU-13数据集,其中涉及13种带有正常流量和僵尸网络流量的网络流量数据的场景。 该项目使用场景1来训练和测试各种模型。 依存关系 此项目需要以下python模块的集合: 科学的 麻木 茶野 scikit学习 凯拉斯 测试模型 要测试模型,请使用以下命令在Machine-Learning-Bas
研究型论文】结合多特征识别恶意加密流量检测方法(中文论文_信息安全学报)
一个努力生活的人的博客
09-27 3038
信息安全学报_结合多特征识别恶意加密流量检测方法(中文论文
基于深度学习的加密恶意流量检测
最新发布
qq_51580006的博客
09-15 1765
摘录自:Mingfang ZHAI,Xingming ZHANG,Bo ZHAO. Survey of encrypted malicious traffic detection based on deep learning[J]. Chinese Journal of Network and Information Security, 2020, 6(3): 66-77.
恶意流量分析(一)
weixin_41487541的博客
11-26 2184
在分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量的分析也是不可避免的。
基于stacking集成学习的金线莲质量鉴别方法研究人工智能与医疗的结合与发展
qq_45756171的博客
05-07 302
目前国内外对金线莲的品质鉴定通常依赖于化学分析方法,其中一种是分离成分鉴定法于2008年由曹扬远提出,将金线莲黄酮类成分和甾醇类成分的分离,测定金线莲中三种黄酮醇类物质的含量,可以作为衡量该药材质量的一个指标,以控制金线莲及其制剂的质量[5]。另一种化学分析方法即高效液相色谱法在2017年由邹舒鹏提出:利用金线莲HPLC测定法,主峰在供试品溶液中的保留时间与金线莲苷对照品峰应该相同,制订了金线莲苷HPLC鉴别法。最终采用薄层、高效液相色谱的鉴别[6]。 随着我国科技实力不断增强,生产力水平日益提高,除了化学
论文研究-基于Stacking方法的多策略本体映射.pdf
07-22
将概念相似度的计算问题看做分类问题,提出一种基于Stacking方法的多策略本体映射框架;利用Stacking方法组合多种概念相似度算法,进而提出基于Widrow-Hoff理论的元数据分类算法LMSMC。该框架中,第0层分类器使用...
论文研究-序列信息融合与两阶段特征选择的膜蛋白预测.pdf
09-12
抽取膜蛋白序列信息中的伪氨基酸组成、二肽组成和位置特异性分数矩阵等特征融合后作为特征参数,并在融合过程中提出一种改进的ReliefF算法(FReliefF)得到更有效的特征分数。基于Stacking集成学习框架,两次使用...
基于Stacking的Android恶意检测方法研究.pdf
09-21
基于Stacking的Android恶意检测方法研究.pdf
【CV】CSPNet:通过分层特征融合机制增强 CNN 学习能力的骨干网络
stay hungry, stay foolish.
05-12 3220
论文年份:2019,论文被引:882(2022/05/12)
加密流量分析-5.加密与非加密流量识别
bingokunkun的博客
11-29 6802
加密与非加密流量识别1. 加密流量性质2. 加密流量识别方法2.1 多元组熵2.2 累加和检验2.3 C4.5决策树算法2.4 加密流量识别流程与算法 1. 加密流量性质 由于加密后的流量数据呈现均匀随机分布的特点,大多研究人员都是采用基于负载随机性检测识别方法。 2. 加密流量识别方法 通常在明文传输的网络流量中,流量数据的分布会根据应用类型而符合相应的规律。而流量数据在加密后,其内容相关的统计特征将会被消除。本节从加密流量的多元组熵、累加和检验值特征等方面进行分析,并简要介绍C4.5决策树模型。 2.
毕业设计-基于深度学习的加密及异常网络流量检测系统
Hai_Lang_IT的博客
03-24 1424
毕业设计-基于深度学习的加密及异常网络流量检测系统:网络流量是网络信息传递的载体,通过分析流量,可以获取业务类型、感知异常行为、 检测恶意攻击、预测链路带宽等,因此,流量检测分析是网络领域中最重要的任务之一,是 实现网络流量工程,网络空间安全管理、服务质量等的重要前提。如何通过流量分析,感知 网络的势态,检测网络异常,进而高效管理网络资源,增强网络应急响应能力,抵御网络攻 击,成为了网络领域热门的研究话题,长期以来,吸引了众多来自学术和工业界的研究者的 注意。 然而,随着人们在安全性和隐私性方面的需求越来越
安全AI关键技术解析与实践
H3C的博客
03-15 1106
根据世界经济论坛发布的《2020年全球威胁分析报告》,数据欺诈和窃取、网络攻击已经成为影响全球的两大威胁因素。在享受信息化基础设施和信息化服务带来社会进步的同时,我们也面临着前所未有的信息安全挑战。 网络安全防护的新问题与新挑战 我们生活在物理世界不断向数字化转变的时代,网络带来社会经济生活繁荣和便捷,同时也见证了网络诈骗、数据盗窃、勒索攻击、基础设施故障带来的巨大损失和风险。基于以下原因,我们的网络安全防护在未来将面临着更多新问题和新挑战。 1. 网络攻击向商业化、专业化转变 2019年网络犯罪.
加密流量专栏总览
一个努力生活的人的博客
02-25 1269
wu
stacking模型融合
05-13
Stacking是一种模型融合的技术,它可以将多个不同的模型进行组合,从而提高模型的预测能力和准确率。具体来说,Stacking将多个不同的模型的预测结果作为新的特征,然后再训练一个新的模型,用这些特征来进行预测。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值