识别TLS加密恶意流量

最新推荐文章于 2023-04-09 22:21:10 发布
最新推荐文章于 2023-04-09 22:21:10 发布
阅读量1.6k 收藏 15
点赞数 1
文章标签: 运维 人工智能 python
原文链接:http://www.cnblogs.com/bonelee/p/9604530.html
版权

利用背景流量数据(contexual flow data)识别TLS加密恶意流量

识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等。来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“data omnia”),不需要对加密的恶意流量进行解密,就能检测到采用TLS连接的恶意程序,本文就该检测方法进行简要描述,主要参照思科在AISec’16发表的文章《Identifying Encrypted Malware Traffic with Contextual Flow Data》[1][2][3]。

屏幕快照 2017-03-21 下午5.42.05

图1 TLS加密恶意流量检测流程

首先,分析百万级的正常流量和恶意流量中TLS流、DNS流和HTTP流的不同之处,具体包括未加密的TLS握手信息、TLS流中与目的IP地址相关的DNS响应信息(如图2)、相同源IP地址5min窗口内HTTP流的头部信息;然后,选取具有明显区分度的特征集作为分类器(有监督机器学习)的输入来训练检测模型,从而识别加密的恶意流量。本方法区别于已有研究方法的地方就是利用TLS流相关背景流量信息(包括DNS响应、HTTP头部等)辅助加密恶意流量检测。

图片2

图2 TLS流和背景DNS流量

(红色数据用于链接TLS流和DNS流、绿色数据表示背景信息、未标记颜色的数据表示TLS未加密的头部信息)

 

思科研究人员自己写了一款基于libpcap的通用工具,用于分析并提取捕获到的数据流(恶意流量和正常流量)的数据特征,包含clientHello, serverHello, certificate和clien-tKeyExchange等信息。

1. 恶意流量

采集环境:Thre

最低0.47元/天 解锁文章
djph26741
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
SoulCat
05-31 1万+
TLS/SSl攻击漏洞及检测大全 曾以为爱可以排除万难,可万难过后,又有万难。 漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 TLS/SSL主要漏洞介绍: 1、 OpenSSL C...
华为智简园区加密通信分析(ECA)技术白皮书.pdf
02-19
TLS恶意加密流量检测,不需要解码数据。 Gartner 认为,2019 年将有一半的恶意软件活动采用某种加密技术来掩盖恶意软件传 送命令和控制活动或数据泄露。ECA(Encrypted Communication Analytics)加密通信检测 技术应运而生,此技术不需要解密加密流量,基于加密流量之前的握手信息,加密流 量的统计信息,以及加密流量的背景流量信息,利用机器学习算法训练模型,对正常 加密流量恶意加密流量进行分类和识别。本文详细介绍 ECA 检测的基本工作原理和 典型应用
【研究型论文】结合多特征识别恶意加密流量检测方法(中文论文_信息安全学报)
一个努力生活的人的博客
09-27 3194
信息安全学报_结合多特征识别恶意加密流量检测方法(中文论文)
针对TLS 协议恶意加密流量识别研究综述的笔记
qq_40982287的博客
03-10 7922
针对TLS 协议恶意加密流量识别研究综述的笔记 收获: 1.了解到TLS是目前加密流量的主要研究点之一 2.在恶意加密流量的检测中,获得一个可用的数据集意义最大 3.获取了一些拓展的思路,比如胶囊神经和利用GAN,尤其是GAN可以用来生成数据集使用 4.获取了TLS中一些数据提取的特征类别 1 .适用于写选题背景的部分 互联网研究趋势报告显示: 大部分web流量都是加密的,超过70%的恶意活动是通过加密的方式来传输恶意软件的。 目前大多数网络应用程序和服务都只支持传输层安全(TSL)封装的通信协议 2.TL
使用机器学习检测TLS 恶意加密流——业界调研***有开源的数据集,包括恶意证书的,以及恶意tls pcap报文***...
djph26741的博客
12-24 1253
2018 年的文章,Using deep neural networks to hunt malicious TLS certificatesfrom:https://techxplore.com/news/2018-10-deep-neural-networks-malicious-tls.html 使用LSTM对恶意证书进行分类,准确率94% 下面是介绍。 Moreover, ...
加密流量分类-论文4Endtoend Encrypted Traffic Classification with One-dimensional Convolution Neural Networks
qq_45125356的博客
09-18 5214
此篇方法是第一个将端到端的方法应用到加密流量分类领域,使用数据集ISCX-VPN-NonVPN-2016数据集进行研究。依据ISO/OSI层的不同,加密技术可以分为应用层加密:应用程序在应用层实现自己的协议以实现数据的安全传输(如BitTorrent或Skype),在一些论文中也称为常规加密。表示层加密网络层加密:如IPSec加密协议学习一下流量数据的预处理套路第一个端到端的基于神经网络的分类模型?1D-CNN结果简单,分类效果好,基于深度学习的方法在流量分类中有巨大潜力。
基于机器学习的TLS恶意加密流量检测方案
01-20
首先介绍了安全传输层(TLS,transport ...进而从 TLS 特征、数据元特征、上下文数据特征3个方面分析了恶意加密流量的特征;最后,通过实验对几种常见机器学习算法的性能进行对比,实现了对恶意加密流量的高效检测。
使用机器学习的恶意加密流量识别系统.zip
最新发布
05-08
尽管机器学习在加密流量识别中展现出巨大潜力,但仍面临挑战,如数据不平衡(恶意流量相对较少)、加密流量的隐私保护、模型解释性差等。未来的研究可能聚焦于利用半监督或无监督学习、强化学习等技术,以及开发更...
基于混合神经网络的恶意TLS流量识别研究.pdf
09-25
首先,文章对 TLS 流量识别的重要性进行了讨论,指出 TLS 流量加密率增长了近 91%,60%以上的互联网流量都是加密的。然后,提出了 HNNIM 模型来进行识别与分类,模型由两层组成:第一层用于提取特征,第二层用于...
基于机器学习的恶意加密流量监测平台.zip
02-15
通过训练模型来识别正常流量恶意流量之间的差异,平台可以更准确地预测和检测潜在的攻击。 在构建恶意加密流量监测平台时,关键步骤包括数据预处理、特征工程、模型选择和评估。数据预处理涉及清洗、归一化和转换...
加密流量专栏总览
一个努力生活的人的博客
02-25 1469
wu
【综述类论文】Machine Learning for Encrypted Malicious Traffic Detection(重要)
一个努力生活的人的博客
11-16 2198
一篇有关加密流量检测的综述
加密流量研究方向
一个努力生活的人的博客
09-18 2467
两篇学位论文
【研究型论文】【GNN+加密流量】MAppGraph: Mobile-App Classification on Encrypted Network Traffic using Deep GNN
一个努力生活的人的博客
04-09 1186
MAppGraph: Mobile-App Classification on Encrypted Network Traffic using Deep GNN
网络加密流量的相关研究
北国觅梦
10-28 5200
目录 简介 方向关键词 网络加密流量相关研究 加密流量识别类型 加密流量识别方法 加密流量识别使用的数据集 VPN-nonVPN dataset (ISCXVPN2016) Tor-nonTor dataset (ISCXTor2016) 相关文献 综述文献 数据集的文献 关于VPN数据集的参考文献 关于Tor数据集的参考文献 参考链接:https://mathpretty.com/11401.html 简介 这一篇会对网络加密流量检测的相关研究做一个综述. 将各个方面进行简
加密流量分类-论文3:FS-Net: A Flow Sequence Network For Encrypted Traffic Classification
qq_45125356的博客
09-04 4878
FS-Net是一个端到端的分类模型,它从原始流中学习代表性特征,然后在一个统一的框架中对它们进行分类。采用多层编码器-解码器结构,可以深入挖掘流的潜在序列特征,并引入重构机制,提高特征的有效性。FS-Net是基于网络流量的应用分类,即应用识别
利用机器学习方法检测识别TLS加密恶意流量
永远在奔跑的学习者
10-29 7726
摘要:本文总结提出了一种主流的机器学习加密流量分析的方法 如何在不侵犯个人隐私的前提下,在加密流量中检测恶意攻击行为,为了找到一种切实可行的“在加密流量中检测恶意攻击行为”的方法,Infosec团队借鉴了Cisco公司高级安全研究小组(Cisco Advanced Security Research)的一个研究项目:基于NetFlows的恶意行为检测技术。研究人员用了两年的时间找到了问题的解决方...
【研究型论文】基于数据包特征的加密流量分类(中文论文)
一个努力生活的人的博客
10-13 1332
基于数据包特征的加密流量分类
buutcf 9.3.3 tls流量分析
01-03
总之,Buutcf 9.3.3 TLS流量分析是一项重要的网络安全技术,帮助网络管理员了解和识别通过TLS协议传输的数据,并用于监测恶意活动和评估网络安全性。它提供了深入的数据细节和见解,以加强网络安全和保护敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值