基于K-means聚类模型的加密流量识别方法

摘  要

通信流量的加密有助于实现网络数据的安全传输和隐私数据的有效防护，因此近年来加密流量在网络流量中的比例不断攀升，在保障安全的同时也给攻击者提供了绕过传统安全防护设备的途径。因此提出一种基于K-means聚类模型的加密流量识别方法，基于网络流数据特征的离散程度和整体随机程度，判断未知流量是否属于加密流量。此外对加密流量识别面临的主要挑战和未来的研究方向进行了分析，为后续的相关研究提供借鉴和参考。

引  言     

近年来，随着网络攻击事件数量上升，攻击手段也变得更加隐蔽，攻击者更多采用加密的通信传输方式进行信息交互，这些加密攻击流量混杂在正常业务数据中，发现难度较大。攻击者利用现有流量检测系统的不足以及防火墙、入侵检测设备等安全策略的缺陷，将恶意病毒、蠕虫、木马等恶意软件通过加密的方式传输，从而执行各种恶意行为来达到攻击目的。因此，及时准确地识别和分析加密恶意流量对提升网络安全韧性和净化网络环境非常重要。

加密流量识别是网络安全产业的一个重要研究方向，也是安全产业的一大难点。为了避免对加密流量解密引起的信息泄漏问题，目前主流的研究方向均是直接对加密流量数据包进行特征分析，通常的策略是基于流量数据包特征、会话特征、流特征等，建立已知的恶意加密流量特征库，同检测对象进行对比，或者基于机器学习等人工智能模型进行大数据分析。

例如康鹏等总结了针对TLS加密流量基于特征的机器学习模型和深度学习模型的最新研究成果进展情况；蒋彤彤等研发出一套基于多头注意力模型和层次时空特征的恶意加密端到端流量判断模型，模型采用流量层次的结构，基于长短时记忆网络和Text CNN来综合考虑加密流量的多维度局部特征和双层的全局特征，并引入多头注意力机制来提高区分关键特征的能力。郭宇斌等基于