针对TLS 协议恶意加密流量识别研究综述的笔记

最新推荐文章于 2024-06-07 21:46:27 发布
最新推荐文章于 2024-06-07 21:46:27 发布
阅读量7.9k 收藏 39
点赞数 7
分类专栏: 论文笔记 文章标签: python 人工智能 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40982287/article/details/123410399
版权

针对TLS 协议恶意加密流量识别研究综述的笔记

收获:

1.了解到TLS是目前加密流量的主要研究点之一

2.在恶意加密流量的检测中,获得一个可用的数据集意义最大

3.获取了一些拓展的思路,比如胶囊神经和利用GAN,尤其是GAN可以用来生成数据集使用

4.获取了TLS中一些数据提取的特征类别

1 .适用于写选题背景的部分

互联网研究趋势报告显示:

大部分web流量都是加密的,超过70%的恶意活动是通过加密的方式来传输恶意软件的。

目前大多数网络应用程序和服务都只支持传输层安全(TSL)封装的通信协议

2.TLS协议加密网络流量识别技术

早期的一些检测技术的问题

具体长处和短板详见论文,此处不是关注重点,故省略

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8TQVHM5P-1646914870507)(%E7%AC%94%E8%AE%B0TLS%E5%8D%8F%E8%AE%AE%E6%81%B6%E6%84%8F%E5%8A%A0%E5%AF%86%E6%B5%81%E9%87%8F%E8%AF%86%E5%88%AB%E7%A0%94%E7%A9%B6.assets/image-20220309212312520.png)]

近几年TLS加密流量检测的检测方法

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T1X2r0AH-1646914870508)(%E7%AC%94%E8%AE%B0TLS%E5%8D%8F%E8%AE%AE%E6%81%B6%E6%84%8F%E5%8A%A0%E5%AF%86%E6%B5%81%E9%87%8F%E8%AF%86%E5%88%AB%E7%A0%94%E7%A9%B6.assets/image-20220309212319881.png)]

2.1 基于机器学习 or DL的方法

数据集的获取:

​ TLS虽然在通信过程中对大部分内容进行了加密,但是仍然可以得到一部分非加密内容数据作为训练数据铺货捕获一些恶意特征,从而构建一个恶意特征数据集。

通过模型调用步骤(以后补充):

在这里插入图片描述

实验各项参数评估(明天补充):

翟明芳, 张兴明, 赵博. 基于深度学习的加密恶意流量检测研究[J]. 网络与信息安全学报

机器学习详细过程:在这里插入图片描述

曾勇, 吴正远, 董丽华, 刘志宏, 马建峰, 李赞. 加密流量中的恶意流量识别技术[J]. 西安电子科技大
学报, 2021:1-18.

数据特征提取参考:在这里插入图片描述

目前关于机器学习对TLS加密流量最新研究方法总结:

请添加图片描述

请添加图片描述

3.遇到的问题

  • 基于TLS的识别主要集中于二分类和少数集中特定攻击识别上,实现加密恶意流量精细化识别目前还做不到
  • 不同类型的流量有不同类型的数据包,选取更适合的字节数需要进一步研究
  • 目前公开的数据集不够丰富,种类不够齐全;个人数据集方面,又数据不够均衡,因此如何获取到一个公开且种类丰富,数据量庞大的数据集就显得格外关键(这个重要性优先级比较高

4.拓展思路的展望

首要考虑解决数据集的问题

利用一些相对成熟的深度学习模型 ➕ 加密流量检测

eg: 语音识别,情景分析,文本/图像处理等领域

考虑:

1.如何将TLS加密流量转换成图像,自然语言处理文本or语音进行处理。

比较有参考价值的模型:

胶囊神经:

可以将获取到的TLS数据集转换为图像特征,然后将这些图像输入模型进行训练

GAN网络:

可以利用GAN网络的生成器,初步解决因为恶意流量少而导致的数据不平衡的问题,并利用判别器来迭代优化数据,从而有效提高学习特征的可解释性和检测效率

针对数据集相关:

提供了良好数据集的评估框架。并对公开数据集做出了归纳总结

An evaluation framework for intrusion detection dataset.  2016 International Conference on Information Science and Security

TLS加密识别需要的数据集要求:开源,有正确标签,在恶意流量中有详细分类,并有持续更新的数据集,同时在训练和测试集中恶意流量分布要符合现实、

(太难了)

看哈这篇

Eliminating Experimental Bias in Malware Classification across Space and Time

5 参考文献中不错的文章

张兴隆, 程庆丰, 马建峰. TLS 1.3 协议研究进展[J]. 武汉大学学报(理学版), 2018, 64(6):471-484

曾勇, 吴正远, 董丽华, 刘志宏, 马建峰, 李赞. 加密流量中的恶意流量识别技术[J]. 西安电子科技大学报, 2021:1-18

李慧慧, 张士庚, 宋虹, 王伟平. 结合多特征识别的恶意加密流量检测方法[J]. 信息安全学报, 2021,6(2): 129-142

骆子铭, 许书彬, 刘晓东. 基于机器学习的 TLS 恶意加密流量检测方案[J]. 网络与信息安全学报,2020, 6(1):77-83.

韦佶宏, 郑荣锋, 刘嘉勇. 基于混合神经网络的恶意 TLS 流量识别研究[J]. 计算机工程与应用, 2021, 57(07):107-114.
```![请添加图片描述](https://img-blog.csdnimg.cn/118cfd879f39447cb5d39b3c38025692.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAdHNsMTE1,size_20,color_FFFFFF,t_70,g_se,x_16)






# 6.从中获取到的数据集

CTU13 



VPN-non-VPN





# 概念补充与学习

### 1.TLS



### 2.SHA256是么子
请添加图片描述
tsl115
关注
  • 7
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
观成科技:基于深度学习技术的APT加密流量检测与分类检测方案
GCKJ_0824的博客
06-11 884
由于加密流量的实际载荷已被加密,故采用原始的流量检测方法,如深度包检测等方法,对于加密流量而言基本无效。常用的池化方式有最大池化和平均池化两种。针对传统的检测方式无法检测APT中的加密流量的问题,利用深度学习框架,提取加密流量本身的高级特征,分别完成对于APT加密流量识别以及APT组织分类的任务,目前来看取得了不错的效果。这里采用无监督学习仅对掌握的APT加密流量进行训练,学习到APT加密流量的特有模式,然后用于流量检测,能够有效的利用现有APT流量识别现网中的APT流量,同时规避白流量的选择问题。
识别TLS加密恶意流量
djph26741的博客
09-07 1651
利用背景流量数据(contexual flow data)识别TLS加密恶意流量 识别加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等。来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“data omnia”),不需要对加密恶意流量进行解密,就能检测到采用TLS连接的恶意程序,本文就该检测方法进行简要描述...
加密恶意流量检测
m0_52979514的博客
06-07 302
机器学习分类检测任务,关注于加密恶意流量检测,同时研究特征的轻量化
综述类论文】TLS协议恶意加密流量识别研究综述(中文论文)
一个努力生活的人的博客
10-10 1055
TLS协议恶意加密流量识别研究综述
基于机器学习的恶意软件加密流量检测研究分享
Yuan's Blog
09-28 4937
1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 ...
使用机器学习检测TLS 恶意加密流——业界调研***有开源的数据集,包括恶意证书的,以及恶意tls pcap报文***...
djph26741的博客
12-24 1253
2018 年的文章,Using deep neural networks to hunt malicious TLS certificatesfrom:https://techxplore.com/news/2018-10-deep-neural-networks-malicious-tls.html 使用LSTM对恶意证书进行分类,准确率94% 下面是介绍。 Moreover, ...
研究型论文】结合多特征识别恶意加密流量检测方法(中文论文_信息安全学报)
一个努力生活的人的博客
09-27 3192
信息安全学报_结合多特征识别恶意加密流量检测方法(中文论文)
利用机器学习方法检测识别TLS加密恶意流量
永远在奔跑的学习者
10-29 7726
摘要:本文总结提出了一种主流的机器学习加密流量分析的方法 如何在不侵犯个人隐私的前提下,在加密流量中检测恶意攻击行为,为了找到一种切实可行的“在加密流量中检测恶意攻击行为”的方法,Infosec团队借鉴了Cisco公司高级安全研究小组(Cisco Advanced Security Research)的一个研究项目:基于NetFlows的恶意行为检测技术。研究人员用了两年的时间找到了问题的解决方...
基于机器学习的TLS恶意加密流量检测方案
01-20
首先介绍了安全传输层(TLS,transport layer security)协议的特点、流量识别方法;然后给出了一种基于机器学习的分布式自动化的恶意加密流量检测体系;进而从 TLS 特征、数据元特征、上下文数据特征3个方面分析了...
ICC 2017 恶意加密流量数据集 附说明
最新发布
07-03
数据集的流量使用了加密协议(如SSL/TLS)进行传输,以模拟真实的网络环境。 数据收集方法 1. 环境设置:数据是在一个受控的网络环境中收集的,模拟了企业网络的典型使用情况。 2. 流量生成:通过多种工具和方法...
基于混合神经网络的恶意TLS流量识别研究.pdf
09-25
本文研究基于混合神经网络的恶意TLS流量识别方法,提出了一种混合神经网络识别模型(HNNIM),旨在解决传统机器学习方法识别恶意TLS流量受到专家经验的影响较大、识别与分类效果不理想的问题。 首先,文章对 TLS ...
Tor网络流量数据集
09-21
流量内容 •Web Browsing: Firefox and Chrome •Email: SMPTS, POP3S and IMAPS •Chat: ICQ, AIM, Skype, Facebook and Hangouts •Streaming: Vimeo and Youtube •File Transfer: Skype, FTP over SSH (SFTP) and FTP over SSL (FTPS) using Filezilla and an external service •VoIP: Facebook, Skype and Hangouts voice calls •P2P: uTorrent and Transmission (Bittorrent) 使用该流量做实验,请注明出处,加拿大一个网络空间实验室的,详细的可以私信我。
使用机器学习的恶意加密流量识别系统.zip
05-08
尽管机器学习在加密流量识别中展现出巨大潜力,但仍面临挑战,如数据不平衡(恶意流量相对较少)、加密流量的隐私保护、模型解释性差等。未来的研究可能聚焦于利用半监督或无监督学习、强化学习等技术,以及开发更...
基于机器学习的TLS恶意加密流量检测方案.docx
05-29
基于机器学习的TLS恶意加密流量检测方案.docx
机器学习之KNN检测恶意流量
m0_60571990的博客
11-11 1857
机器学习之KNN检测恶意流量
综述类论文】Machine Learning for Encrypted Malicious Traffic Detection(重要)
一个努力生活的人的博客
11-16 2197
一篇有关加密流量检测的综述
tls 流量画像——直接使用图像处理的思路探索,待进一步观察
djph26741的博客
11-11 164
代码,示意了一个tls的数据内容: import numpy as np import matplotlib.pyplot as pyplot # !!! If on the server, use following, comment show and you can just save figure !!! # pyplot.switch_backend('agg') ...
借助SSL/TLS和NGINX进行Web流量加密教程
高性价比服务器就选:蓝易云
12-12 65
通过以上步骤,您就可以使用SSL/TLS和NGINX来加密Web流量。这将确保在客户端和服务器之间传输的数据得到加密保护,提高数据安全性。
基于 Stacking 的网络恶意加密流量识别方法
罗伯特技术屋
08-21 539
摘  要:随着加密流量的普遍应用,许多恶意软件开始隐藏在传输层安全协议(Transport Layer Security,TLS流量中传输恶意消息,对通信安全造成严重威胁,因此对 TLS 恶意加密流量进行识别,对打击网络犯罪有着重要意义。通过对恶意和正常加密流量的会话和协议进行分析,在传统会话统计特征的基础上,提取出握手特征和证书特征,在单一特征和多特征条件下对恶意加密流量进行识别,证明了多特征的方法能显著提升识别效果。此外,为解决单一的机器学习方法泛化能力弱的问题,提出了一种基于 Stacking 的网
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值