【论文阅读】Automatic Detection of Various Malicious Traffic Using Side Channel Features on TCP Packets

最新推荐文章于 2022-09-21 20:40:45 发布
最新推荐文章于 2022-09-21 20:40:45 发布
阅读量1.7k 收藏 3
点赞数 4
分类专栏: paper 流量分类 机器学习 文章标签: tcp/ip 网络 web安全 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/airenKKK/article/details/124528715
版权
机器学习 同时被 3 个专栏收录
16 篇文章 4 订阅
订阅专栏
流量分类
13 篇文章 16 订阅
订阅专栏
paper
9 篇文章 2 订阅
订阅专栏

原文标题:Automatic Detection of Various Malicious Traffic Using Side Channel Features on TCP Packets
原文作者:George Stergiopoulos, Alexander Talavari, Evangelos Bitsikas & Dimitris Gritzalis
发表会议:ESORICS 2018: Computer Security
原文链接:https://link.springer.com/chapter/10.1007/978-3-319-99073-6_17#Tab1
中文标题:使用侧信道特征在TCP包中自动检测各种恶意流量

1 Motivation

背景:保护当今 IT 网络安全的最严重的开放问题之一是当前解决方案(即入侵检测和预防系统 (IDPS)、防病毒等)无法检测高级且通常精心定制的持续恶意攻击。此类攻击通常是针对特定受害者量身定制的,并且使用了安全社区目前不知道的复杂代码。安全公司需要不断更新其安全解决方案,但往往无法检测到“0-day”恶意软件和针对所有向量的自定义攻击,从向网站注入命令到检测加密的恶意软件流量。此外,某些攻击(例如 Web 应用程序破坏)利用无法有效检测到的恶意数据的自定义字符串和十六进制编码。

本文提出的动机:当前的解决方案利用软件、用户和服务的复杂模式匹配或行为分析来将正在进行的网络事件归类为可疑事件。尽管如此,误报和误报仍然困扰着基于签名的安全软件。另一方面,基于行为的模型具有更好的检测率,但需要很长时间才能有效地监控用户和系统和描述多个场景的大数据集才能准确检测恶意流量,通常是不切实际的大量数据和时间。除此之外,现代恶意软件使用加密流量或将自身注入白名单应用程序(例如浏览器)与 C&C 服务器通信并泄露数据,这使得行为分析和模式匹配在网络流量上的成功率更低。

2 论文主要工作

提出了一个网络流量监控系统,该系统通过网络捕获实现机器学习,以区分正常和多种类型的恶意 TCP/IP 流量。主要内容如下:

  • 同时检测多种类型的恶意流量(未加密和加密的恶意软件流量或 shellcode 连接、网站破坏攻击、勒索软件下载的密码锁攻击等),使用 TCP 数据包的一些侧信道特征而不是复杂的特征或深度数据包检查。
  • 使用较少特征(例如,无 TLS、认证功能或深度数据包检查)的同时,使用类似的检测系统实现了相同或更好的总体检测率。
  • 由于其特征集较小,系统在离线训练和测试期间提供比其他检测系统更快的训练和分类

3 数据集

利用来自各种来源的恶意和正常流量的数据集来构建我们的数据库。选择有用且平衡的数据集对于确保实现的检测率与实际能力相对应至关重要。数据集是公开的,包含真实恶意软件的流量破坏攻击反向 shell软件利用攻击以及正常流量。用于训练和测试系统的数据集如下:

  • FIRST 2015:为满足网络取证动手实验室的需求而创建的数据集。它是 4.4 GB pcap 文件的集合,其中包含正常流量和恶意流量。流量由 Reverse Shell shellcode
    连接、网站破坏攻击、勒索软件下载攻击密码锁和通过 SSL 接管受害者机器的命令和征服漏洞攻击 (C2) 组成。
  • Milicenso:包含 Ponmocup 恶意软件的正常和恶意软件流量的数据集。它包含来自在僵尸网络上连接受害者 PC 的恶意软件/木马的恶意流量。
  • CTU13-1:包含 Neris 僵尸网络的僵尸网络流量的数据集。所有流量大多是加密的僵尸网络流量,因为同时捕获的正常流量是不公开的。

数据集流量包含在包含捕获数据包的 pcap 和 pcapng 文件中。 FIRST 2015 的数据包是使用 Snort捕获的 pcap 文件,而 Milicenso 和 CTU13-1 数据集是使用 WireShark、Snort或原始 TCP 转储等方法捕获流量。

4 检测方法

4.1 问题定义

给定 TCP/IP 网络流量,系统旨在对每个连接进行采样并将其分类为恶意(即由 Web 攻击或恶意软件等恶意事件产生)或正常连接。本质上,该系统由两部分组成:流量侧信道特征选择网络流量分类

  • 侧信道特征选择:第一个任务是选择正确的、描述性的 TCP
    流量特征,这些特征不是指数据包的内容,而是指物理特征,例如数据包发送之间的时间比、有效负载的大小等。
  • 流量分类:第二个任务是使用选定的特征将新的流量分类为恶意或正常(二分类),不区分恶意流量的类型。
4.2 特征选择

论文中提出了5个侧信道特征用于恶意流量的检测和分类:

  • 数据包大小 (Ps):每个连接都由发送方和接收方之间交换的数据包定义。众所周知,数据包大小对于预测连接类型和使用的协议都有好处。出于这个原因,选取数据包大小作为一个基本特征。
  • 有效载荷大小 (PA):有效负载是任何恶意流量的核心。在 TCP 中,有效负载包含在 TCP 数据段中。研究表明,有效载荷大小的侧信道分析可以用作信息泄漏的特征。
  • 净荷比(Pr):指净荷大小与总包大小之比。恶意流量在内容比率方面可能表现出类似的模式,因此选择将其作为基本特征。公式如下所示,其中 PAs 是指负载大小,Ps 是指数据包大小。
    在这里插入图片描述
  • 与前一个数据包的比率 (Rpp):我们注意到,当恶意流量在网络内流动时,数据包是连续的,并且通常呈现出特定的大小趋势。这可用于对恶意流量进行指纹识别。通过比较属于同一会话的连续两个数据包,我们可以得到与前一个数据包的比率。对于会话的第一个数据包,该值默认为
    0。公式如下所示。其中,Pp 指​​的是当前数据包大小,PPs 指的是同一会话中的前一个数据包大小。
    在这里插入图片描述
    时间差 (Td):一个数据包与会话的前一个数据包之间的时间差可用于识别恶意流量。对于会话的第一个数据包,该值默认为 0。公式如下。其中,Pt 指数据包时间,PPt 指前一个数据包时间。这两个时间都是指交付数据包所需的时间。
    在这里插入图片描述
4.3 流量分类

论文所提出的是一个离线的二分类系统,即只将流量分为正常流量和恶意流量。总体结构如下:
在这里插入图片描述
文章选取的机器学习算法为以下七种:
在这里插入图片描述

5 实验结果

实验 1:具有随机混合流量的整个数据集(所有类型的恶意流量)

在第一个实验中,我们使用了来自所有数据集的所有流量。分类使用来自整个流量数据库的随机样本;恶意流量和正常流量。用于测试分类的数据包数量见表 3。在 CSV 导出时,使用 MariaDB 统一随机选择各种类型的恶意流量(旨在消除数据选择中的任何偏差)。数据集被拆分为 7:3,并且使用了所有约 8 GB 的数据集流量。从每个数据包中提取侧信道特征并导入 MariaDB。这包括 FIRST 2015、Milisenco 和 CTU-13 数据集,以及来自每个网络会话的所有数据包。这样做是为了使用我们的特征提取来测试非同质网络流量行为。本实验使用了所有类型的恶意流量。
在这里插入图片描述
机器学习和分类结果如表 4 和表 5 所示。通过查看真阳性 (TP)、真阴性 (TN)、假阳性 (FP) 和假阴性 (FN) 的命中图,很明显 CART 和 KNN算法在使用数据包的侧信道特征检测恶意流量方面具有明显的优势。在 20 万个网络流量会话样本中,CART 的检测率为 94.5%,FP 为 4.4%,FN 为 6.8%,而 KNN 的检测率为 94%,FP 约为 5%,FN 为 7.7%。我们选择不包括 SVC,因为该算法的扩展性似乎不如其他机器学习模型。总体而言,CART 和 KNN 是性能最好的模型,它们将在以下实验中使用。
在这里插入图片描述
在这里插入图片描述

实验 2:用于功能测试的 20 K 限制数据包样本(所有类型的恶意流量)

我们检测到在经过训练的分类器上使用较小的网络流数据来检测恶意流量似乎会提高真阳性检测率。因此,在第二个实验中,我们故意只使用来自 FIRST 2015 数据集的 20K 个恶意数据包(以及因此相同数量的干净、正常流量)来测试我们的分类器。该实验提供了在数据有限的情况下对每种算法的性能的洞察。
同样,MariaDB 在 CSV 导出时统一执行随机选择,以消除任何偏差。数据包的数量故意很小,因为我们想在项目的特征选择阶段确​​认我们的假设(即即使在数据稀缺的情况下,所选择的侧信道特征也非常适合对恶意流量进行分类)。同样,样本与同等大小的正常流量一起被分割(7:3),用于更新分类器和测试恶意流量检测。本实验使用了所有类型的恶意流量。
在我们的数据集上运行 ml.py 模块后,我们得到下表的结果。通过查看真阳性 (TP)、真阴性 (TN)、假阳性 (FP) 和假阴性 (FN) 的命中图,可以明显看出某些算法比其他算法具有明显的优势。具体来说,CART 和 KNN 显示出良好的潜力,对任何给定的混合恶意流量样本的检测率约为 89%,误报率和误报率低(约 10%)。离线训练的执行时间只需几分钟,验证时间不到 2 分钟。这证明,即使使用随机会话、有限的数据量来训练分类器,所选特征在非常短的时间范围内也能提供非常好的结果(见表 8 和表 9)。
在这里插入图片描述
在这里插入图片描述
一个有趣的发现是,当使用较小的数据集进行训练和分类时,SVC 的性能会显着提高。这表明 SVC 容易出现偏差,因为随着我们增加训练样本,它的检测率下降得最快。 KNN 和 CART 仍然保持着最好的结果百分比,而它们的检测率下降是可以预料的;尽管考虑到数据的差异,但非常小。

实验 3:加密恶意软件流量检测

许多公司(例如 CISCO)正在发布有关新入侵检测系统(IDS)的技术报告,这些系统利用类似的功能,但只检测加密的恶意流量。据我们所知,没有工具能够将这种能力推广到多种类型的恶意流量,从破坏 SQLi 攻击到加密流量、僵尸网络和像我们这样的注入。
对于这个实验,我们的训练程序从所有数据集中的所有不同加密恶意流量会话中选择样本;无论是僵尸网络、反向外壳、恶意软件数据传输等。为了消除偏差,实验执行了三次,使用

  • 来自所有数据集和加密流量类型的均匀随机样本(例如,参见上面的表 2)
  • 有偏差(更多僵尸网络流量(80%–20%)
  • 数据集被分成 7:3 用于训练和分类。

表 10 和表 11 描述了真阳性 (TP)、真阴性 (TN)、假阳性 (FP) 和假阴性 (FN) 的命中图(三次执行的平均值)。
在这里插入图片描述
在这里插入图片描述

6 总结

论文提出了一种只使用5个侧信道特征的恶意流量二分类系统,并在三个数据集、7种机器学习算法的验证下取得了较好的实验结果。

迷人的派大星
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-An Algorithm for Detection of Malicious Messages on CAN Buses.pdf
08-15
一种CAN总线恶意帧检测方法,凌从礼,冯冬芹,控制系统正在面临着越来越多的安全威胁,CAN作为常用的控制系统总线容易遭到恶意帧的破坏.为了提高CAN控制系统的安全,本文提出了��
僵尸网络及DDoS数据集
Gavia
04-11 1万+
ISCX-2016-SlowDos 名称 类型 slowbody2 slowread ddossim DoS GET goldeneye DoS improved GET slowheaders rudy slow send body hulk DoS GET slowloris slow-send headers Slowhttptest s...
论文阅读】Realtime Robust Malicious Traffic Detection via Frequency DomainAnalysis
最新发布
m0_46629911的博客
09-21 1272
恶意流量检测
Novel and efficient near-infrared quantum anti-jamming detection scheme based on statistical theory against malicious attack
02-06
Novel and efficient near-infrared quantum anti-jamming detection scheme based on statistical theory against malicious attack
An Image Texture and BP neural network basec Malicious Files Detection Technique for Cloud Storage Systems
02-07
An Image Texture and BP neural network basec Malicious Files Detection Technique for Cloud Storage Systems
On the security of warning message dissemination in vehicular Ad hoc networks
01-20
Information security is an important issue in vehicular networks as the accuracy and integrity of information is a prerequisite to the satisfactory performance of virtually all vehicular network ...
tensorflow Could not load dynamic library ‘cudnn64_8.dll‘
热门推荐
airen的博客
09-13 1万+
安装完tensorflow和cuda后,运行检测GPU代码: import tensorflow as tf print('GPU',tf.config.list_physical_devices('GPU')) a = tf.constant(2.) b = tf.constant(3.) print(a*b) 出现报错: 解决办法 将 cudnn64_8.dll 文件手动放入 C:\Windows\System 路径下即可; 再次运行以上代码: ...
入侵检测系统(IDS)分类
airen的博客
05-15 7969
入侵可以定义为任何类型的对信息系统造成损害的未经授权的活动。这意味着任何可能对信息机密性、完整性或可用性构成威胁的攻击都将被视为入侵。例如,使计算机服务对合法用户无响应的活动被视为入侵。 IDS 是一种软件或硬件系统,用于识别计算机系统上的恶意行为,以便维护系统安全。 IDS 的目标是识别传统防火墙无法识别的不同类型的恶意网络流量和计算机使用情况。这对于实现对损害计算机系统可用性、完整性或机密性的行为的高度保护至关重要。 总体上来说,IDS 系统可以大致分为两类:基于签名的入侵检测系统 (SIDS) 和基于
加密流量分类任务的深度学习方法(一般框架总结)
airen的博客
05-01 3779
凭借出色的自动特征学习能力,深度学习(DL)成为加密流量分类任务中的一种非常理想的方法,下面介绍目前大多数相关工作中应对加密流量分类任务的一般化框架。总体结构图如下所示: A 分类任务定义 显式定义分类任务是设计流量分类器之前的首要步骤。分类任务主要由目标、粒度和性能要求三部分组成。 A1 分类目标 一般而言,流量分类的目标总是包括网络管理、安全和个性化推荐三个部分。在网络管理相关场景中有网络资源调度、QoS 提供和基于内容的计费。入侵检测、恶意软件检测和僵尸网络检测是网络安全的典型场景。此外,网络服务提
论文阅读】Deep Learning for Encrypted Traffic Classification: An Overview(深度学习方法进行加密流量分类综述)
airen的博客
04-11 2147
原文:Deep Learning for Encrypted Traffic Classification: An Overview Abstract 在abstract中,作者指出之前的基于端口号、DPI和经典的ML的流量分类方法在面对当下网络流量大面积加密的情况下准确率不高,接着介绍了本文的主要贡献:总结最近的DL模型在加密流量分类上的工作。最后,作者提出了几个目前在加密流量分类问题上面临的挑战。 1 INTRODUCTION 作者首先简要回顾流量分类问题上的各种方法: 基于端口:应用广泛,但准确率在
论文阅读】An LSTM-Based Deep Learning Approach for Classifying Malicious Traffic at the Packet Level
airen的博客
05-04 1747
原文标题:An LSTM-Based Deep Learning Approach for Classifying Malicious Traffic at the Packet Level 原文作者:Ren-Hung Hwang * , Min-Chun Peng, Van-Linh Nguyen and Yu-Lun Chang 发表会议:IEEE ICASI 2019 原文链接:https://www.mdpi.com/2076-3417/9/16/3414 中文标题:一种基于LSTM的包级恶意流量.
论文阅读】New Directions in Automated Traffic Analysis
airen的博客
05-09 1165
原文标题:New Directions in Automated Traffic Analysis 原文作者:Jordan Holland; Paul Schmitt; Nick Feamster; Prateek Mittal 发表会议:CCS 2021 原文链接:https://dl.acm.org/doi/abs/10.1145/3460120.3484758 中文标题:自动化流量分析的新方向 1 Motivation 为了让目前在网络流量分析领域的:特征选择和表示、模型选择和参数调整工作自动化,.
octave入门教程(一)
airen的博客
03-01 1139
序:最近在看吴恩达老师的机器学习入门教程,由于老师的力荐,因此决定学习octave作为练习语言,在此作为入门教程帮助同样在学习octave语言的初学者,同时也作为备忘录供自己复习。 安装完octave后,会有一个类似于cmd的命令行窗口,我们可以在此练习octave基础语法。 基础语法 加减乘除 逻辑运算 % 为注释 变量赋值与显示 矩阵、行向量、列向量、单位矩阵生成 随机数、初始化矩阵 简单绘图展示数据 ...
论文阅读】Detecting Abnormal Traffic in Large-Scale Networks
airen的博客
05-06 1129
原文标题:Detecting Abnormal Traffic in Large-Scale Networks 原文作者:Mahmoud Said Elsayed; Nhien-An Le-Khac; Soumyabrata Dev; Anca Delia Jurcut 发表会议:ISNCC 2020 原文链接:https://ieeexplore.ieee.org/abstract/document/9297358 中文标题:检测大规模网络中的异常流量 1 Motivation 网络服务和应用程序的动.
论文阅读】A Review on Feature Selection and Ensemble Techniques for Intrusion Detection System
airen的博客
05-14 878
原文标题:A Review on Feature Selection and Ensemble Techniques for Intrusion Detection System 原文作者:Majid Torabi1*, Nur Izura Udzir 2*, Mohd Taufik Abdullah3, Razali Yaakob4 发表:IJACSA 2021 原文链接:https://pdfs.semanticscholar.org/06b7/2a8cc22b4f9fecfd8fcf396a693.
octave入门教程(二)
airen的博客
03-01 433
size、length函数 size可用来返回矩阵行列数(也可指定参数单独显示行或列数),length返回矩阵行列中较大值 pwd、ls、cd 这几个命令均来自于unix,熟悉linux系统的同学应该不会陌生 pwd:显示当前所处路径 ls:显示当前目录下内容 cd:切换路径,后面跟所要切入的路径 load、save、whos、clear load:加载本地文件到octave环境中 whos:显示当前内存中保存的变量 save:将octave中的变量写入磁盘 clear:指定名称时在内存删除指定变量,.
论文阅读】A communication-channel-based method for detecting deeply camouflaged malicious traffic
airen的博客
05-18 334
原文标题:A communication-channel-based method for detecting deeply camouflaged malicious traffic 作者:Yong Fang,Kai Li,Rong feng Zheng,Shan Liao,Yue Wang 发表:Computer Networks 2021 原文链接:https://www.sciencedirect.com/science/article/pii/S138912862100311X 中文标题:一种基.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值