【论文阅读】A communication-channel-based method for detecting deeply camouflaged malicious traffic

于 2022-05-18 23:23:19 发布
阅读量334 收藏 8
点赞数 2
分类专栏: 流量分类 机器学习 paper 文章标签: 机器学习 安全 paper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/airenKKK/article/details/124852730
版权
机器学习 同时被 3 个专栏收录
16 篇文章 4 订阅
订阅专栏
流量分类
13 篇文章 16 订阅
订阅专栏
paper
9 篇文章 2 订阅
订阅专栏

原文标题:A communication-channel-based method for detecting deeply camouflaged
malicious traffic
作者:Yong Fang,Kai Li,Rong feng Zheng,Shan Liao,Yue Wang
发表:Computer Networks 2021
原文链接:https://www.sciencedirect.com/science/article/pii/S138912862100311X
中文标题:一种基于通信通道的深度伪装恶意流量检测方法

1 Motivation

作者提出了一种 在通信信道级(不同于大家普遍采用的包级或流级,在后面会详细介绍文中对通信信道的定义) 对恶意 TLS 流量进行检测的新方法。对比实验结果表明,与其他最先进的分类方法相比,该方法在不同数据集上具有更稳定的检测效果,准确率为 97.65%,F1-score 更高。

2 主要工作

  • 与传统的基于数据包和基于流的检测方法相比,本文提出了一种基于通信通道的新型恶意软件TLS流量检测方法,该方法在不同数据集上显示出更高的稳定性。
  • 提出了一种结合遗传算法(GA)的特征选择方法,将特征维数降低了64%,准确率提高了1.5%,FPR降低了1.3%。
  • 对深度伪装的恶意软件TLS流量数据集的综合比较实验结果表明,该方法的准确率比基于深度学习的对比方法的准确率高0.9%。此外,所提出的方法将 FPR 降低了 8.11%。

与相关研究的对比:
在这里插入图片描述
Notes:其中TO代表流量对象,E代表是否支持加密流量,FS代表是否进行特征选择。 ×和√代表对应栏是否满足条件。类别栏中的五种方法分别是统计分析(SA)方法、基于统计特征(SF)的方法、基于握手特征(HF)的方法、基于深度学习(DL)的方法和本文提出的方法。

3 数据集

在这里插入图片描述
作者使用的恶意软件 TLS 流量来自三个公共数据集:恶意软件流量 (MT)加拿大网络安全研究所 (CIC) 恶意软件数据库Stratosphere 入侵防御系统 (SIPS) 恶意软件数据库。需要强调的是,作者在取其他数据集的恶意流量时,只取了目的端口为443的HTTPS流量(作者主要关注TLS)。

良性流量数据集来自于作者实验室网络环境中收集 TLS 流量。

最后,总共获得了 1004843 个 TLS 流和 10835 个良性 TLS 通信通道。

MT 和 SIPS 数据集包含各种恶意软件系列,包括:Dridex、Emotet、Hancitor、Trickbot、Kazy 和 Zeus。 CIC 数据集收集了多个 Android 恶意软件类别,例如后门、勒索软件、木马银行家和木马间谍。详细信息可在这些数据集的官方网站上找到。此外,MT 和 SIPS 中的流量主要产生于桌面系统,主要是 Windows 操作系统,而 CIC 中的流量主要产生于移动系统,主要是 Android 系统。两种流量最大的区别在于TLS握手信息。

4 方法论

4.1 模型总体结构:

在这里插入图片描述

4.2 “通信通道”的定义

这是本文的核心概念,如图所示:
在这里插入图片描述
与传统的流的区别是,通道可以有多个流,只要它们的目的地址相同(目的端口都是443,前文已解释)。 至于为什么要采用通道,作者的解释如下(感觉挺有道理):

在本研究中,我们假设单个流可能无法暴露恶意行为,因此,我们通过流聚合获得足够的上下文信息。聚合的通信通道可以看作是同一应用程序产生的流量。由于通信通道弱化了单个流的特性,如果大部分流都是恶意的,那么应该检测到通信通道是恶意的。因为恶意软件倾向于减少不必要的网络行为以确保它不被检测到,所以恶意软件通信通道中的大部分流应该是恶意的。对于良性信道,所有方法都不可避免地会引发误报。当一个良性流被基于流的方法识别为恶意时,由于通道中的大部分流都是良性的,基于通道的方法有能力避免这种误报。

4.3 “深度伪装恶意流量”定义

下图展示了来自一般恶意流量(MT 和 SIPS )、良性流量和 CIC 的流样本的 TLS 握手包中五个字段的值,每种类型有 1000 个样本。图中所示的五个握手字段是客户端问候长度(CHL)、客户端密码套件号(CCSN)、客户端扩展号(CEN)、服务器扩展号(SEN)和证书号(CN)。横坐标代表各个字段的不同取值,纵坐标代表取值在相应类型的流量样本中所占的比例。可以看出,一般恶意流量与良性流量存在显着差异,但CIC中的流量样本与良性流量具有较高的相似度,符合我们对深度伪装恶意流量的定义。因此,在我们的实验中,我们将 CIC 数据集视为经过深度伪装的 TLS 恶意流量。
在这里插入图片描述

4.4 特征选择

特征集共三类 564 个特征:DFs、TLS 握手字段的 CFs 和用于恶意软件 TLS 流量检测的 SFs

  • DFs示例:该特征用来描述通信信道内TLS流的有效载荷分布。例如:在这里插入图片描述
  • CFs示例:在这里插入图片描述
  • SFs示例:在这里插入图片描述
4.5 特征降维(改进的遗传算法GA)

原GA算法:在这里插入图片描述
本文改进:在这里插入图片描述

5 实验 & 评估

5.1 实验平台配置

在这里插入图片描述

5.2 所有对比实验

作者设计了一组变量对比实验,参数如下:
在这里插入图片描述
SVM、kNN、RF、MLP算法的实验对比结果如下图。作者还测试了如不同核函数下的SVM,KNN的不同k取值等,这里不详细介绍。
在这里插入图片描述
不同特征的组合下的ACC、FPR、F1指标:
在这里插入图片描述
值得一提的是,作者还测试了通道内TLS流数量对模型性能的影响,如下图所示:
在这里插入图片描述
与一些相关工作结果对比如下图。因为先前的工作没有基于通道的,所以在其他实验上,只要通道内有一个流为恶意流,作者就将其判断为恶意。
在这里插入图片描述

6 总结

作者认为单个数据包或流中包含的有限信息不能彻底反映加密流量的恶意行为,所以本文提出了“通道”的概念,在更长的时间窗口内提取特征来检测恶意流量,经过实验也取得了比较好的结果。但是也存在着一些不足,比如实时性不够,特征集不一定是全局最优子集以及不能检测0-day攻击等。

迷人的派大星
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
A global structure-based algorithm for detecting the principal graph from complex data
02-20
A global structure-based algorithm for detecting the principal graph from complex data
基于深度学习的恶意流量分类复现-part2
qq_43226213的博客
12-07 3854
基于深度学习的恶意流量分类复现 第二部分-对原始数据集处理 1.从原始流量中提取flow和session 一共准备了10个流量数据集,目标是对上述流量进行进行分类。 运行工具集中的第一个脚本文件,得到处理后的流量包,实验中提取的是原始流量包的flow foreach($f in gci 1_Pcap\Malware *.pcap) #遍历文件 { 0_Tool\SplitCap_2-1\SplitCap -p 50000 -b 50000 -r $f.FullName -o 2_Session\
香农代码的matlab-A-novel-method-for-detecting-R-peaks-in-electrocardiogram-s
05-26
香农代码的matlab Manikandan,M。Sabarimalai和KP Soman。 “一种检测心电图(ECG)信号...A main function for loading the MIT-BIH database is required. The performance on MIT-BIH Arrythmia Database: TP: 10
A new approach for detecting sudden hypotension in hemodialysis by using dual-channel optical system
02-22
The aim of this study was to construct optical system to monitor blood pressure (BP) continuously and without cuff in hemodialysis based on pulse transit time (PTT) method. To measure the BP changes,...
Point-by-Point Scanning Piezoelectric Phased Array for detecting damage for SHM
01-28
Point-by-Point Scanning Piezoelectric Phased Array for detecting damage for SHM ,李新刚,Wang Zhenqing ,The aim of the present work is to develop a system of smart devices that could be permanently ...
tensorflow Could not load dynamic library ‘cudnn64_8.dll‘
热门推荐
airen的博客
09-13 1万+
安装完tensorflow和cuda后,运行检测GPU代码: import tensorflow as tf print('GPU',tf.config.list_physical_devices('GPU')) a = tf.constant(2.) b = tf.constant(3.) print(a*b) 出现报错: 解决办法 将 cudnn64_8.dll 文件手动放入 C:\Windows\System 路径下即可; 再次运行以上代码: ...
入侵检测系统(IDS)分类
airen的博客
05-15 7970
入侵可以定义为任何类型的对信息系统造成损害的未经授权的活动。这意味着任何可能对信息机密性、完整性或可用性构成威胁的攻击都将被视为入侵。例如,使计算机服务对合法用户无响应的活动被视为入侵。 IDS 是一种软件或硬件系统,用于识别计算机系统上的恶意行为,以便维护系统安全。 IDS 的目标是识别传统防火墙无法识别的不同类型的恶意网络流量和计算机使用情况。这对于实现对损害计算机系统可用性、完整性或机密性的行为的高度保护至关重要。 总体上来说,IDS 系统可以大致分为两类:基于签名的入侵检测系统 (SIDS) 和基于
加密流量分类任务的深度学习方法(一般框架总结)
airen的博客
05-01 3779
凭借出色的自动特征学习能力,深度学习(DL)成为加密流量分类任务中的一种非常理想的方法,下面介绍目前大多数相关工作中应对加密流量分类任务的一般化框架。总体结构图如下所示: A 分类任务定义 显式定义分类任务是设计流量分类器之前的首要步骤。分类任务主要由目标、粒度和性能要求三部分组成。 A1 分类目标 一般而言,流量分类的目标总是包括网络管理、安全和个性化推荐三个部分。在网络管理相关场景中有网络资源调度、QoS 提供和基于内容的计费。入侵检测、恶意软件检测和僵尸网络检测是网络安全的典型场景。此外,网络服务提
论文阅读Deep Learning for Encrypted Traffic Classification: An Overview(深度学习方法进行加密流量分类综述)
airen的博客
04-11 2147
原文:Deep Learning for Encrypted Traffic Classification: An Overview Abstract 在abstract中,作者指出之前的基于端口号、DPI和经典的ML的流量分类方法在面对当下网络流量大面积加密的情况下准确率不高,接着介绍了本文的主要贡献:总结最近的DL模型在加密流量分类上的工作。最后,作者提出了几个目前在加密流量分类问题上面临的挑战。 1 INTRODUCTION 作者首先简要回顾流量分类问题上的各种方法: 基于端口:应用广泛,但准确率在
论文阅读】An LSTM-Based Deep Learning Approach for Classifying Malicious Traffic at the Packet Level
airen的博客
05-04 1747
原文标题:An LSTM-Based Deep Learning Approach for Classifying Malicious Traffic at the Packet Level 原文作者:Ren-Hung Hwang * , Min-Chun Peng, Van-Linh Nguyen and Yu-Lun Chang 发表会议:IEEE ICASI 2019 原文链接:https://www.mdpi.com/2076-3417/9/16/3414 中文标题:一种基于LSTM的包级恶意流量.
论文阅读】Automatic Detection of Various Malicious Traffic Using Side Channel Features on TCP Packets
airen的博客
05-01 1713
原文标题:Automatic Detection of Various Malicious Traffic Using Side Channel Features on TCP Packets 原文作者:George Stergiopoulos, Alexander Talavari, Evangelos Bitsikas & Dimitris Gritzalis 发表会议:ESORICS 2018: Computer Security 原文链接:https://link.springer.com.
论文阅读】New Directions in Automated Traffic Analysis
airen的博客
05-09 1165
原文标题:New Directions in Automated Traffic Analysis 原文作者:Jordan Holland; Paul Schmitt; Nick Feamster; Prateek Mittal 发表会议:CCS 2021 原文链接:https://dl.acm.org/doi/abs/10.1145/3460120.3484758 中文标题:自动化流量分析的新方向 1 Motivation 为了让目前在网络流量分析领域的:特征选择和表示、模型选择和参数调整工作自动化,.
octave入门教程(一)
airen的博客
03-01 1139
序:最近在看吴恩达老师的机器学习入门教程,由于老师的力荐,因此决定学习octave作为练习语言,在此作为入门教程帮助同样在学习octave语言的初学者,同时也作为备忘录供自己复习。 安装完octave后,会有一个类似于cmd的命令行窗口,我们可以在此练习octave基础语法。 基础语法 加减乘除 逻辑运算 % 为注释 变量赋值与显示 矩阵、行向量、列向量、单位矩阵生成 随机数、初始化矩阵 简单绘图展示数据 ...
论文阅读Detecting Abnormal Traffic in Large-Scale Networks
airen的博客
05-06 1129
原文标题:Detecting Abnormal Traffic in Large-Scale Networks 原文作者:Mahmoud Said Elsayed; Nhien-An Le-Khac; Soumyabrata Dev; Anca Delia Jurcut 发表会议:ISNCC 2020 原文链接:https://ieeexplore.ieee.org/abstract/document/9297358 中文标题:检测大规模网络中的异常流量 1 Motivation 网络服务和应用程序的动.
论文阅读】A Review on Feature Selection and Ensemble Techniques for Intrusion Detection System
airen的博客
05-14 878
原文标题:A Review on Feature Selection and Ensemble Techniques for Intrusion Detection System 原文作者:Majid Torabi1*, Nur Izura Udzir 2*, Mohd Taufik Abdullah3, Razali Yaakob4 发表:IJACSA 2021 原文链接:https://pdfs.semanticscholar.org/06b7/2a8cc22b4f9fecfd8fcf396a693.
octave入门教程(二)
airen的博客
03-01 433
size、length函数 size可用来返回矩阵行列数(也可指定参数单独显示行或列数),length返回矩阵行列中较大值 pwd、ls、cd 这几个命令均来自于unix,熟悉linux系统的同学应该不会陌生 pwd:显示当前所处路径 ls:显示当前目录下内容 cd:切换路径,后面跟所要切入的路径 load、save、whos、clear load:加载本地文件到octave环境中 whos:显示当前内存中保存的变量 save:将octave中的变量写入磁盘 clear:指定名称时在内存删除指定变量,.
感知机算法(统计学习方法)之三
airen的博客
06-04 332
感知机学习算法是对以下最优化问题的算法。给定一个训练数据集 T={(x1,y1),(x2,y2),...,(xN,yN)}T = \{(x_1,y_1), (x_2,y_2),...,(x_N,y_N)\}T={(x1​,y1​),(x2​,y2​),...,(xN​,yN​)}其中,xi∈X=Rn,yi∈Y={+1,−1},i=1,2,⋯ ,Nx_{i} \in \mathcal{X}=\mathbf{R}^{n}, \quad y_{i} \in \mathcal{Y}=\{+1,-1\}, \quad
msft-yolo: improved yolov5 based on transformer for detecting defects of ste
最新发布
09-18
MSFT-YOLO是基于Transformer模型改进的Yolov5用于检测SE(电子元器件)缺陷的方法。 Transformer是一种先进的神经网络架构,主要用于自然语言处理任务,但在计算机视觉领域也得到了广泛应用。Yolov5则是一种经典的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值