24、基于机器学习的TLS恶意流量识别方法

基于机器学习的TLS恶意流量识别方法

1. 引言

SSL（安全套接层）及其继任者TLS（传输层安全）由Netscape开发，用于保障互联网数据传输的安全。近年来，TLS协议广泛普及，越来越多的网络流量采用TLS协议加密，以确保通信安全和隐私。然而，恶意软件也开始利用TLS协议保护其通信，恶意加密流量与正常加密流量在外观上并无明显差异，这给安全分析师带来了挑战。同时，网络基础设施安全对检测准确性和误报率提出了更高要求，且恶意软件攻击具有量大、形式多样的特点，需要网络安全管理员快速检测。因此，设计一种能高精度快速检测TLS恶意流量的方法至关重要。

目前，基于机器学习的恶意加密流量识别成为研究热点，但当前研究主要集中在加密流量特征分析和机器学习算法选择上，相对忽视了原始数据流处理和特征关联问题。本文设计了一种高效的TLS加密流量检测方法，实现数据的模块化处理和高精度识别TLS恶意加密流量的目标。主要贡献如下：
1. 实现了一种具有结构相关性的高效特征提取方法。
2. 对原始数据流采用不同的划分方法，确定最优划分方法。
3. 识别率高达99.38%，实现了一种高精度的TLS恶意流量识别方法。
4. 在真实环境中验证了所提方法的可靠性。

2. 相关工作

传统的恶意加密流量识别方法主要包括深度包检测方法、基于机器学习的方法和基于多策略融合的方法。基于深度包检测的加密流量识别技术特征提取过程复杂，消耗大量时间和空间成本，且缺乏特征提取过程信息，难以追溯恶意攻击流量，在分析加密流量时难以克服关键字匹配的困难。不同网络环境下收集的数据时序特征差异大，恶意软件与C&C服务器通信的加密流量与正常加密流量高度相似，仅依靠深度包检测、