加密流量分析-1.研究现状

最新推荐文章于 2024-03-12 09:41:55 发布
最新推荐文章于 2024-03-12 09:41:55 发布
阅读量9.1k 收藏 36
点赞数 5
分类专栏: 加密流量 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingokunkun/article/details/121531240
版权

加密流量研究现状

于2021.11.25新开的专栏,深度学习专栏也会继续更新,主要是作为自己的学习笔记,不喜勿喷哈哈

1.研究背景

随着互联网的发展,全球IP流量早已超过了ZB阈值,与此同时,人们的隐私意识也正在提高,因此现如今的大部分流量都是加密流量。
加密流量其实是一把双刃剑,保护了隐私的同时,也为隐藏恶意流量提供了温床。

2.研究意义

2.1流量识别问题

流量识别过程中,加密流量识别与非加密流量识别存在不少差异,主要表现为:

  • 部分非加密算法很难适用于加密流量,如DPI算法
  • 加密协议常伴随着流量伪装技术,把流量特征伪装成常见应用的流量特征
  • 加密协议的加密方式不同导致特点不同,需要特事特办,最后采用多种方法集成
  • 当前的加密流量识别主要集中在特定应用,比较粗糙
  • 而已流量常采用加密技术来隐藏,给网络安全带来巨大挑战
    • 流量分析和网络管理需要精细化分类加密流量。如公司不允许上班摸鱼,需要知道员工的流量是否在看视频。
    • 加密流量识别需要时效性。
    • 加密通道严重威胁信息安全。

2.2加密流量识别问题的主要挑战

  • 精细化分类是一个艰巨的任务。

  • 数据多样导致模型对新数据的识别精度下降。

3.评价指标

3.1不同维度

  1. 实时性
  2. 准确性
  3. 计算复杂性
  4. 方向性
  5. 兼容性
  6. 稳健性

3.2常见机器学习的评价维度

  1. 精确度(判定为正样本的样本为正的概率)
    p r e c i s i o n = T P i / ( T P i + F P i ) precision = TP_i/(TP_i+FP_i) precision=TPi/(TPi+FPi)
  2. 召回率(正样本标记正确率)
    r e c a l l = T P i / ( T P i + F N i ) recall = TP_i/(TP_i+FN_i) recall=TPi/(TPi+FNi)
  3. 准确率(所有样本标对的比率)
    a c c = ∑ i = 1 m ( T P i + T N i ) / ∑ i = 1 m ( T P i + T N i + F P i + F N i ) acc = \sum^m_{i=1}{(TP_i+TN_i)}/\sum_{i=1}^m{(TP_i+TN_i+FP_i+FN_i)} acc=i=1m(TPi+TNi)/i=1m(TPi+TNi+FPi+FNi)
  4. F-measure
    F = 2 ∗ p r e c i s i o n ∗ r e c a l l p r e c i s i o n + r e c a l l F = \frac{2*precision*recall}{precision+recall} F=precision+recall2precisionrecall
  5. 完整性
    c o m p l e t e n e s s = r e c a l l p r e c i s i o n completeness = \frac{recall}{precision} completeness=precisionrecall
  6. 未识别率(已知流量占比)
    U = t o t a l − k n o w n t o t a l U = \frac{total-known}{total} U=totaltotalknown

4.相关研究目标与内容

4.1 加密协议分析

通过对已有加密协议的分析和学习,能更好地提高网络信息传输的安全性。
网络安全加密协议按照网络层次划分,可分为链路层安全协议网络层安全协议传输层安全协议应用层安全协议

  • IPSec是网络层隧道加密协议,由IETF(互联网工程任务组)制定,应用在IP层之上网络数据安全的一整套体系结构,它包括报文首部认证协议AH,封装安全载荷协议ESP,互联网间密钥交换协议IKE和一些用于网络认证及加密的算法等。
  • TLS是建立在传输层TCP协议之上的加密协议,前身是SSL,实现了将应用层报文进行加密后再交由TCP进行传输的功能。
  • HTTPS安全超文本传输协议是位于应用层的安全加密协议,使用TLS或SSL进行加密,因此又被称为HTTP over TLS/SSL。
  • QUIC是Google制定的一种基于UDP的低时延的传输层加密协议,融合了TCP、TLS、HTTP/2.0等协议的特性,时延低且能多路复用。

不同的加密协议封装格式和报文交换流程有很大差别,单都包含了身份认证、密钥协商、握手连接等基本的加密协议操作过程。

4.2 加密与非加密流量识别

由于网络加密流量的比例不断提升,传统分类方法如基于端口、基于payload(有效负载)、基于主机行为等方法对网络流量分类的适用性大大降低。
由于加密流量几乎不包含任何内容可识别的模式特征,因此分类的第一步便是区分加密与非加密。

如今的主要思路是从信息熵来考虑,由于加密后的流量负载的随机性较强,信息熵大,可以将两者分开。

4.3 加密网络特征选择

好的特征选取方法能令机器学习算法如虎添翼,但如何选取是一个难题。

  • 网络流变化使得特征选择结果很难保持稳定,特征属性及其数目随之改变。
  • 不同的特征选择方法缺少统一的评价指标。

因此,通过多种度量来综合选取高泛化能力的特征子集不失为一个有效的解决途径。
另外,在网络流量的特征提取方面,时间维度是一个比较重要的因素。

4.4 加密流量自适应分类方法

由于网络流随着时间、地域而不断变化,已经学习好的分类器对于新样本的泛化能力会比较差,但频繁更新分类器又是费时费力的,因此需要建立起一个自适应分类器,能不断检测网络流变化,并有效更新分类器。

然而收集无标签的数据非常容易,有标签的数据则是代价昂贵,因此考虑集成学习的方式,使用多种分类器增强泛化能力。

4.5 SSL/TLS加密应用的精细化识别

很多web应用为了保障通信安全都是用SSL/TLS协议对应用数据进行加密。

针对SSL/TLS加密流可用信息有限的问题,可以使用SSL/TLS流本身特征(如支持的加密算法)、上下文特征(如DNS、HTTP流量)和流统计特征实现加密流量识别。

4.6 HTTPS加密流量识别

为了解决HTTP协议的传输安全问题,HTTPS现已成为网络中应用最多的web安全协议之一。

已有的方法是使用网络数据流的行为特征、协议相关的交互特征等进行推测和识别,另一方面也有研究者针对目前防护软件对HTTPS的拦截问题进行了相关研究。

4.7 加密视频QoE参数识别

随着视频业务越来越广泛,视频体验质量评估对ISP(互联网服务提供商)提高QoS具有重要意义。

非加密场景下基于DPI技术可以获取视频大小、可播放时长、码率等信息。
加密场景下,急需DFI解决业务识别、关联、视频码率和清晰度获取问题。

4.8 加密恶意流量识别

加密协议确实能保护隐私,单也让恶意软件能够躲避安全软件的检测。

有研究者针对加密流量提取连接记录、数据包的有效载荷、流行为等组成的高维特征来使用深度学习算法区分。
也有针对TLS/SSL流量,利用协议的握手过程中的铭文特征对恶意流量在协议参数的特征上进行分析。
或是对与加密流量相关联的明文协议同时进行分析。

5.未来研究方向

  • 1基于大数据的加密流量精细化识别
  • 2基于深度学习的层叠加加密流量识别
  • 3基于增量集成学习的协议变化自适应分类
  • 4基于区块链的伪装流量识别
小坤兽
关注
  • 5
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密流量测量和分析
weixin_44275663的博客
01-11 3038
加密流量测量和分析》读书笔记: 第一章加密流量研究现状 1.4 相关研究目标和内容 1.4.1 加密协议分析: 网络安全加密协议按照网络层次中的划分,分为链路层安全协议、网络层安全协议、传输层安全协议、应用层安全协议。 协议名称 类别 简介 IPSec 网络层隧道加密协议 包括报文首部认证协议AH、ESP、IKE和一些用于网络认证及加密的算法。 TLS 传输层加密协议 前身是...
加密流量分析.pdf
02-23
迅猛增长的加密流量正不断改变着威胁形势。随着越来越多的企业实现全数字化,大量的服务和应 用都采用加密技术作为确保信息安全的首要方法。更具体地说,加密流量同比增长已超过 90%,对 流量进行加密的网站数量已从 2015 年的 21% 上升到 2016 年的超过 40%。据 Gartner 预测,到 2019 年, 80% 的网站流量都会被加密。 对于使用互联网通信并在线处理业务交易的企业而言,加密技术可以为其提供更强的隐私性和安全 性。移动应用、云应用和 Web 应用依赖合理实施的加密机制,使用密钥和证书来确保安全性并建 立信任。然而,企业并不是加密技术的唯一受益者。威胁发起者也在利用这项技术躲避检测,确保 他们恶意活动能够得逞。图 1 显示了此类攻击带来的经济影响。
加密流量分析
weixin_30663391的博客
01-13 2196
1.背景 现在很多高级的攻击的目的都是为了获取数据,部分是为了损人不利己的破坏。对于前者,主要是把获取的机密信息加密绕过DLP系统传输到外面,这也是很多安全事件的源头。不解密,技术人员无法检测此类恶意软件,这就意味着他们面临在安全和隐私之间需要做出权衡。 2.简述 用于保护在线数据的加密技术给恶意软件提供了藏身之地。如何检测出加密流量中的威胁一直是行业面临的一个难题……现在,这一难题...
CBS:一种具有混合时空和统计特征的加密流量分类的深度学习方法
最新发布
weixin_46711536的博客
03-12 1317
随着互联网和在线应用的快速发展,流量分类已成为计算机网络中越来越重要的话题。管理网络资源、提高服务质量和增强网络安全至关重要。由于流量加密技术,传统的流量分类方法变得无效且不准确。因此,科学界认为深度学习是一种对加密流量进行分类的高性能方法。该文提出了一种基于深度学习技术的加密流量分类方法CBS。CBS 可以使用 1D-CNN、基于注意力的 Bi-LSTM 和 SAE 深度网络模型在两个级别对加密流量进行分类。所提出的模型根据一组全面的会话和数据包级特征对流量类型和应用进行分类。
加密流量分析-4.加密协议分析
bingokunkun的博客
11-29 1507
加密协议分析(上)1.IPSec安全协议1.1 相关概念1.1.1 数据流1.1.2 安全联盟SA1.2 报文首部认证协议AH1.3 封装安全载荷协议ESP1.4 互联网间密钥交换协议IKE1.5 协议实例分析1.6 流量特征分析2.TLS安全协议2.1 handshake协议2.2 Record协议2.3 TLS相关子协议2.4 TLS1.3与TLS1.2的区别2.5 协议实例分析2.6 流量特征分析 本章介绍几种典型的网络加密协议,由于篇幅较长分为两篇博客。上篇介绍IPSec和TLS,下篇介绍HTTP
【datacon】加密流量
一个努力生活的人的博客
02-08 2548
datacon流量分析
加密流量分析的过程
weixin_45891757的博客
01-08 969
加密流量分析的过程
sqlite-jdbc-3.31.1.zip
08-11
Java JDBC 方式访问 加密后的 sqlite 数据库,支持window、 linux、mac多个平台
crypto-js.4.0.0
01-15
此资源为构建好的crypto-js.4.0.0版本,下载后可直接使用Script标签引入所需加密算法。支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法
main.cpython-36.opt-1.pyc
08-05
文件通文件加解密工具2.0版(转载请先向作者申请),使用了新一代加密算法,更加安全,支持大部分文件类型的加密,可以使用密码!新版本为了保护源代码发布的是pyo格式文件,请使用命令python source.cpython-36.opt...
加密网络流量测量和分析.pdf
08-08
流量加密是目前互联网流量的主流方式,本报告分为三个方面讨论流量加密的问题: (1) 由于加密流量算法本身造成流量的随机性,因而直接针对加密流量的分类方法将失效;(2) 加密协议本身交互过程,导致非加密流量参与...
论文研究-基于趋势感知协议指纹的Skype加密流量识别算法.pdf
07-22
P2P技术极大地方便了互联网上的资源共享,在网络流量中比例最大且多以加密形式出现,但存在带宽消耗大、分享内容缺乏监管等弊端。准确快速识别基于P2P架构的Skype加密流量,对于提高网络服务质量、优化网络带宽分配、加强安全管控有着重要意义。在分析Skype信令交互和内容传输阶段流量统计特征的基础上,提出一种基于趋势感知协议指纹的Skype加密流量识别算法。通过定义趋势感知加权函数,真实反映了流量特征的变化趋势;利用异常相似度,对Skype加密流量进行实时检测。实验结果表明,该方法的精确度和实时性均优于经典的协议指纹算法和C4.5等最新的加密流量识别方法。
基于卷积神经网络的复杂网络加密流量识别.pdf
04-10
通信中的流量识别工作将直接影响网络管理整体效率. 针对复杂网络中的加密流量识别问题,结合网络流 量与文本结构相似性,提出一种基于卷积神经网络的优化识别模型. 综合考虑数据包的多样性,对原始网络数据进 行预处理,以保证算法输入数据结构的一致性. 同时,算法增加卷积操作,以提高模型特征提取效率. 仿真结果表 明,提出的卷积神经网络模型在复杂网络环境中,加密流量的服务识别与应用识别都有较高准确率. 关键词:流量识别;复杂网络;加密;卷积神经网络;预处理;特征提取
基于DPI和机器学习的加密流量类型识别研究.pdf
04-10
基于DPI和机器学习的加密流量类型识别研究 ,随着互联网全站加密流量不断飙升,如何通过有效技术手段,识别互联网中各种业务流量,区分不同服务提供差异 化保障,成为了运营商面临的新挑战。针 对 D P I深层数据包检测技术能够识别出具体应用,但无法识别加密流量,提出 了一种基于D PI技术和机器学刁结合的加密流量识别方法,通 过 D P I技术识别大多数已知特征的网络流量,减少机器 学习的计算量,再通过机器学习分析未知特征加密流量,并通过实验验证该方法能够弥补DPI技术的缺陷,提高识别率
crypto-js.min.js
01-14
aes加密解密用js,CryptoJS (crypto.js) 为 JavaScript 提供了各种各样的加密算法,CryptoJS是一个纯javascript写的加密类库,我们使用它只需要加入相关的引用即可。
加密流量分析-3.数学理论方法
bingokunkun的博客
11-25 2393
数学理论方法1.信息熵2.随机性测度3. 决策树4.深度学习网络4.1 CNN4.2 自编码器 1.信息熵 加密后的流量呈现均匀分布的特点,因此计算信息上可以很好地判断流量是否被加密。 信息上的定义如下 H(X)=−∑i=1Np(xi)log2p(xi)H(X)=-\sum^N_{i=1}p(x_i)log_2p(x_i)H(X)=−i=1∑N​p(xi​)log2​p(xi​) 当X中所有元素出现次数相同时,及服从均匀分布时,熵的值最大。 为了能更好的比较熵的大小,定义标准熵为 HN(X)=−∑i=1Np
加密流量分析 思科全新方法对战恶意软件
weixin_34261415的博客
09-04 367
本文讲的是 加密流量分析 思科全新方法对战恶意软件,6月20日,思科公司发布全新智能网络系统。通过机器学习,网络的“加密流量分析”( Encrypted Traffic Analytics )软件可梳理网络数据,查找恶意软件的警示迹象。 该服务是为在加密流量里检测恶意软件而特别设计的,思科称其有99%的准确率。 网络与安全副总裁大卫·苟科勒在旧金山的媒...
攻防对抗中的加密恶意流量分析技术
罗伯特技术屋
01-04 202
摘要:随着网络的不断发展,安全需求的不断提升,加密技术成为保障流量安全的首选,但同时也带来了加密恶意流量的激增,面对复杂多变的网络环境,如何在不解密条件下快速识别其中的恶意流量对提升网络安全防护能力具有重要的意义。以恶意流量分类为研究基础,梳理目前比较流行的加密恶意流量分析识别技术,聚焦基于单维特征和多维特征的流量识别方法,探讨前沿技术在加密恶意流量分析领域的应用研究,为后续研究指出了方向。内容目录:1 研究现状2 恶意流量分类3 关键识别技术3.1 基于单维特征流量分析3.1.1 证书特征3.1.2 数据
加密流量研究方向
一个努力生活的人的博客
09-18 2400
两篇学位论文
github 基于机器学习的加密流量识别
01-09
GitHub的机器学习加密流量识别能力是指通过应用机器学习算法对网络流量进行分析,以识别加密流量的技术。传统的网络流量分析技术难以直接检测和分析经过加密的网络流量,而GitHub的机器学习加密流量识别技术通过训练模型,能够自动学习和识别不同类型的加密流量。 为了实现这一功能,GitHub首先收集并准备了大量的网络流量数据集,包括明文流量加密流量。然后,利用这些数据集对机器学习模型进行训练。训练的过程中,机器学习算法会自动识别并提取出不同流量特征,并将这些特征与对应的流量类型进行关联。 一旦模型训练完成,就可以将其应用于实际的流量识别任务中。当新的网络流量进入系统时,机器学习模型会根据之前学到的知识和特征,对该流量进行分析和判别。如果流量加密,模型会通过检测和分析加密算法的特征来识别它。 GitHub这种基于机器学习的加密流量识别技术具有以下几个优点。首先,它能够自动识别加密流量,无需手动配置规则或进行人工干预。其次,通过不断的模型更新和训练,它能够适应不断变化的加密算法和网络环境。最后,相对于传统的基于特征规则的方法,机器学习技术在准确性和效率上都有明显的提升。 总体而言,GitHub的基于机器学习的加密流量识别技术为网络安全提供了一种高效而智能的解决方案,能够有效应对现代网络通信中普遍存在的加密流量问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值