Deciphering Malware‘s use of TLS (without Decryption)阅读笔记

最新推荐文章于 2023-03-07 14:13:08 发布
最新推荐文章于 2023-03-07 14:13:08 发布
阅读量544 收藏
点赞数 1
分类专栏: 恶意加密流量检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40628208/article/details/119061618
版权

文章目录

前言

本文是关于个人阅读Deciphering Malware’s use of TLS (without Decryption)时的个人阅读笔记,原文点击此处

一、简介

Deciphering Malware’s use of TLS (without Decryption)是Anderson等人于2016年发表的关于采用机器学习进行恶意加密流量检测的论文,该论文以特征提取和特征设计为主要内容,最后将提取的特征分为四个特征子集,然后采用逻辑斯蒂二分类模型和多分类模型进行训练,得到可用于区分恶意加密流量和正常加密流量的二分类器及用于进一步找出恶意加密流量所属恶意软件家族的多分类器。该论文通过对不同特征子集训练所得的分类器进行验证,得出特征设计对于采用机器学习的方法进行恶意加密流量检测的重要性。

二、数据集

数据集包括恶意加密流量和正常加密流量,恶意加密流量是通过沙箱运行恶意软件采集的通过TLS协议加密流量,共含18种恶意软件家族,详见图1。正常加密流量是通过截获公司内部流量所得。由于进行沙箱模拟的操作系统中也有可能额外发出一些加密流量,所以对通过沙箱模拟的恶意流量安装其TLS握手包中采用的密码套件列表是否与操作系统提供的密码套件列表进行进行了筛选。
图1 文章中使用到的18类恶意软件家族

三、特征提取

图2-a 恶意TLS流量(红)与正常TLS流量(蓝)客户端提供的密码套件对比
图2-b 恶意TLS流量(红)与正常TLS流量(蓝)客户端公钥长度对比
图2-c 恶意TLS流量(红)与正常TLS流量(蓝)采用的客户端对比
图2-d 恶意TLS流量(红)与正常TLS流量(蓝)客户端提供的TLS扩展件对比
图2 恶意TLS流量与正常TLS流量客户端提供的密码套件、公钥长度、TLS扩展件、采用的客户端共四种特征数据对比图,其中红色代表恶意加密流量,蓝色代表正常加密流量,且为方便展示已对各密码

图3-a 恶意TLS流量(红)与正常TLS流量(蓝)服务器端选择的密码套件对比
图3-b 恶意TLS流量(红)与正常TLS流量(蓝)证书有效时长对比
图3-c 恶意TLS流量(红)与正常TLS流量(蓝)SAN证书数量对比
图3-d 恶意TLS流量(红)与正常TLS流量(蓝)服务器端采用的TLS扩展件对比
图3 恶意TLS流量与正常TLS流量服务器端采用的密码套件、证书有效时长、SAN证书数量、服务器端选择的TLS扩展件四种特征数据对比图,其中红色代表恶意加密流量,蓝色代表正常加密流量,且为方便展示已对各密码套件和TLS扩展件进行编号
图4 不同恶意软件家族所用的TLS客户端、提供的密码套件、TLS扩展项和客户端公钥长度
图4 不同恶意软件家族所用的TLS客户端、提供的密码套件、TLS扩展项和客户端公钥长度
图5 不同恶意软件家族服务器端特有IP地址、自签证书数量、选择的密码套件及证书类别对比图5 不同恶意软件家族服务器端特有IP地址、自签证书数量、选择的密码套件及证书类别对比

该论文对恶意加密流量与正常加密流量之间及不同恶意软件家族产生的恶意加密流量之间的各方面数据进行了分析,分析结果如图2、3、4、5。最后根据分析结果提取了五种特征,包括Metadata、SPLT、BD、Unencrypted TLS Header Information、SS

Metadata:即加密流量元数据,包括输入数据长度、输出数据长度、输入包数量、输出包数量、源端口、目的端口、流量传播的时长。
SPLT:Sequence of Packet Lengths and Times,即数据包差昂达度和到达间隔时长序列。
BD:Byte distribution,即字节分布,是用于记录字节分布情况且长度为256的数组。
Unencrypted TLS Header Information:即处于握手阶段还未进行加密的TLS协议的头部信息,包括客户端提供的密码套件列表和TLS扩展项、服务端选择的密码套件和TLS扩展项、签名证书、客户端公钥长度、记录的长度和时间和类型序列。
SS:Self-Signed,即TLS协议中使用的证书是否为自签证书(采用SS代表该特征)。

该论文将以上五种特征划分了四个特征子集,特征子集1仅包括Meta、SPLT、BD三种特征,特征子集2仅包括Unencrypted TLS Header Information这一种特征,特征子集3包括Meta、SPLT、BD、Unencrypted TLS Header Information四种特征,特征子集4包括Meta、SPLT、BD、Unencrypted TLS Header Information、SS五种特征。再采用逻辑斯蒂二分类模型和多分类模型分别对以上四个特征子集进行了训练,共获得八个分类器,包括四个二分类器和四个多分类器。二分类器用于区分恶意加密流量和正常加密流量,多分类器用于找出恶意加密流量所属的恶意软件家族。

四、实验结果

实验结果如图6、7,可见包括Meta、SPLT、BD、Unencrypted TLS Header Information、SS五种特征的特征子集4所训练的分类器效果最佳。由五种特征共同训练所得二分类器准确率可达99.6%,多分类器准确率对于多数恶意软件家族可达100%,其余恶意软件家族准确率均在96%以上。同时,仅采用TLS协议中的参数作为特征时,对恶意加密流量与正常加密流量分类的准确率为98.2%,且恶意软件家族Deshacop的分类准确率仅63.6%,由此可见特征设计对于该类方法的重要性。
图6 采用不同特征子集训练二分类器的准确率,All Data指恶意加密流量中含由底层操作系统发出的TLS流量,No SChannel指不含由底层操作系统发出的TLS流量
图6 采用不同特征子集训练二分类器的准确率,All Data指恶意加密流量中含由底层操作系统发出的TLS流量,No SChannel指不含由底层操作系统发出的TLS流量
图7 采用不同特征子集训练多分类器的准确率
图7 采用不同特征子集训练多分类器的准确率

Robis123
关注
专栏目录
用好ChatGPT之准确分配角色
herosunly的博客
04-06 15万+
本文介绍核心内容为用好ChatGPT之准确分配角色,希望对学习和使用ChatGPT的同学们有所帮助。为了兼顾质量和速度,本专栏的更新频率为一周一到两更。 文章目录 1. 前言 2. 基本概念讲解 3. 实战案例 3.1 案例展示 3.2 范式表示 4. 附录 4. 附录
Deciphering Malware’s use of TLS (without Decryption)阅读笔记
最新发布
abtgu的博客
03-28 272
Deciphering Malware's use of TLS阅读笔记
不解密数据竟也能识别TLS加密的恶意流量?
weixin_33910460的博客
07-10 272
加密一直都是保护用户通讯隐私的重要特性,可如果恶意程序在传播过程中也加密的话,对这样的流量做拦截感觉就麻烦了很多。谈到加密,TLS(Transport Layer Security Protocol,传输层安全协议)就是当前使用非常广泛的协议:国外部分研究机构的数据显示,已有至多60%的网络流量采用TLS,当然也包括一些恶意程序(虽然大约只有10%)。 ...
使用机器学习检测TLS 恶意加密流——业界调研***有开源的数据集,包括恶意证书的,以及恶意tls pcap报文***...
djph26741的博客
12-24 1297
2018 年的文章,Using deep neural networks to hunt malicious TLS certificatesfrom:https://techxplore.com/news/2018-10-deep-neural-networks-malicious-tls.html 使用LSTM对恶意证书进行分类,准确率94% 下面是介绍。 Moreover, ...
前瞻洞察|DoH,隐蔽隧道又添利器,强盾在何方?
山石网科的博客
03-07 1121
本文从DNS的隐私与安全问题出发讲述DoH的诞生、利弊、如何应对,4075字,讲透DoH的前世今生。
阅读笔记】FLOWGAN:Unbalanced network encrypted traffic identification method based on GAN
coderge's CSDN Blog.
05-27 640
CCF C Wang Z X , Wang P , X Zhou, et al. FLOWGAN:Unbalanced Network Encrypted Traffic Identification Method Based on GAN[C]// 2019 IEEE Intl Conf on Parallel & Distributed Processing with Applications, Big Data & Cloud Computing, Sustainable Co.
k-threshold system of deciphering N:k-threshold system of deciphering N-matlab开发
06-01
该程序是整数中国剩余定理的应用 - 用于获得“共享秘密的 k 阈值系统”的解决方案。 该概念在第 1 章 Prob 24 / P27 的“Neal Koblitz 的数论和密码学课程”一书中进行了解释,并在 P205 中给出了解决方案。...
Polysemy Deciphering Network for Human-Object Interaction Detection论文阅读笔记
qq_46805191的博客
04-09 465
笔记 这篇文章作者提出现有的模型没有考虑一词多义的情况,即认为同一个动词的视觉特征差不多,然而实际情况下同一个动词的视觉特征可能会有特别大的变化,本文作者基于此提出了一系列策略和PD-Net模型,来克服这种现象。 图2是将同一个图片的视觉特征提取出来之后,本来是做多标签分类任务,但是这里作者将其转化为多个二分类任务,而且还加入了language特征。 图3就是整个网络的概述,给定一个image,先通过faster-rcnn提取proposal,每一个human和object两两配对,作为动词分类的候选
Deciphering China’s AI Dream 2018
05-07
Deciphering China’s AI Dream The context, components, capabilities, and consequences of China’s strategy to lead the world in AI Jeffrey Ding* Governance of AI Program, Future of Humanity Institute,...
Aes.zip_AES_AES 128 CBC_AES S盒_AES 动态_S盒
09-21
128位AES加/解密函数Enciphering/Deciphering;CBC工作模式下的AES加/解密函数CBCEncrypt/CBCDecrypt。本密码算法的实现不仅是经典AES算法的实现,还采用动态S盒技术对其作出了改进,使其安全性更高,改进之处参考了...
基于机器学习和背景流量数据的加密恶意流量检测
Yuan's Blog
07-28 7615
基于机器学习技术,无需对加密的恶意流量进行解密,通过分析加密流量中的未加密信息、上下文数据等特征,借助常见的机器学习算法实现对加密流量的分类检测,发现加密恶意流量中潜藏的安全威胁。
【研究型论文】结合多特征识别的恶意加密流量检测方法(中文论文_信息安全学报)
一个努力生活的人的博客
09-27 3478
信息安全学报_结合多特征识别的恶意加密流量检测方法(中文论文)
【datacon】加密流量
一个努力生活的人的博客
02-08 2839
datacon流量分析
【综述类论文】Machine Learning for Encrypted Malicious Traffic Detection(重要)
一个努力生活的人的博客
11-16 2390
一篇有关加密流量检测的综述
加密恶意流量检测思路分析
Yuan's Blog
08-09 1万+
通过使用机器学习针对加密流量中潜藏的安全威胁,不需要对加密的恶意流量进行解密,通过分析其明文参数信息以及背景流量数据等特征,借助几种常见的机器学习算法实现对恶意加密流量的检测。
【期末复习】网络安全技术(双语)
热门推荐
不忘初心,护天下安全!
06-27 2万+
如需原版文档,请联系我 《网络安全技术(双语)》 第一章 网络安全的本质 Network Security Essentials 1.Terminology 术语 2.Key Security Concepts/关键的安全概念 3.Computer Security Challenges 4.OSI Security Architecture/OSI安全体系结构 5.Passive ...
针对TLS 协议恶意加密流量识别研究综述的笔记
qq_40982287的博客
03-10 8167
针对TLS 协议恶意加密流量识别研究综述的笔记 收获: 1.了解到TLS是目前加密流量的主要研究点之一 2.在恶意加密流量的检测中,获得一个可用的数据集意义最大 3.获取了一些拓展的思路,比如胶囊神经和利用GAN,尤其是GAN可以用来生成数据集使用 4.获取了TLS中一些数据提取的特征类别 1 .适用于写选题背景的部分 互联网研究趋势报告显示: 大部分web流量都是加密的,超过70%的恶意活动是通过加密的方式来传输恶意软件的。 目前大多数网络应用程序和服务都只支持传输层安全(TSL)封装的通信协议 2.TL
TLS包抓取后如何解密,手把手带你!
厚德博学,自强不息
07-09 1万+
TLS包抓取后如何解密第一步第二步第三步第四步 ###工作中经常遇到FAE抓取了需要分析的网格包,而包被TLS加密无法查看的情况,于是有了写一篇文章记录一下对于一般情况开发人员应该如何解密的想法。 这里记录一般情况,对于开发人员是一个向导。在具体的项目中可以自己调整。 第一步 下载openssl源码包 $git clone -b OpenSSL_1_1_1c https://github.com/...
基于机器学习的恶意软件加密流量检测研究分享
Yuan's Blog
09-28 5155
1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 ...
现代密码学:安全计算与版权保护
- 加密(Enciphering/Encryption)和解密(Deciphering/Decryption)是加密过程的两个阶段,是保护数据安全的关键步骤。 - 密码学系统或密码(Cryptographic System/Cipher)是实现加密和解密的具体算法。 这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值