基于流谱理论的SSL/TLS协议攻击检测方法

摘要

网络攻击检测在网络安全中扮演着重要角色。网络攻击检测的对象主要为僵尸网络、SQL 注入等攻击行为。随着安全套接层/安全传输层（SSL/TLS）加密协议的广泛使用，针对 SSL/TLS 协议本身发起的SSL/TLS攻击日益增多，因此通过搭建网络流采集环境，构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集。针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题，提出流谱理论，将网络空间中的威胁行为通过“势变”过程从原始时空域空间映射到变换域空间，具象为“势变谱”，形成可分离、可观测的特征表示集合，实现对网络流的高效分析。流谱理论在实际网络空间威胁行为检测中的应用关键是在给定变换算子的情况下，针对特定威胁网络流找到势变基底矩阵。由于 SSL/TLS 协议在握手阶段存在着强时序关系与状态转移过程，同时部分 SSL/TLS 攻击间存在相似性，因此对于 SSL/TLS攻击的检测不仅需要考虑时序上下文信息，还需要考虑对 SSL/TLS 网络流的高分离度的表示。基于流谱理论，采用威胁模板思想提取势变基底矩阵，使用基于长短时记忆单元的势变基底映射，将 SSL/TLS 攻击网络流映射到流谱域空间。在自建SSL/TLS攻击网络流数据集上，通过分类性能对比、势变谱降维可视化、威胁行为特征权重评估、威胁行为谱系划分评估、势变基底矩阵热力图可视化等手段，验证了流谱理论的有效性。

关键词： 安全套接层/安全传输层攻击 ; 网络流检测 ; 流谱理论 ; 长短时记忆

0 引言

当今互联网中90%以上的网络流数据已采用安全套接层/安全传输层（SSL/TLS）协议加密[1]。与此同时，针对SSL/TLS协议的攻击行为层出不穷[2