加密恶意流量检测思路分析_一种基于机器学习的tls恶意流量检测方案 骆子铭许书彬

背景及现状

为了确保通信安全和隐私以及应对各种窃听和中间人攻击，HTTPS逐渐全面普及，越来越多的网络流量也被加密，然而，攻击者也可以通过这种方式来隐藏自己的信息和行踪，通过给恶意软件穿上一层名为TLS/SSL的马甲来将其伪装成正常流量进行攻击感染，逃避检测。
近年来，针对加密恶意流量的检测一直是网络安全领域关注的焦点，目前主流的攻击检测手段有两种：解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为，但这种解方法会消耗大量的资源，成本很高，同时也违反了加密的初衷，解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量，不解密进行流量检测的方法逐渐被业界研究人员关注起来，这种方案通常仅被允许观测网络出口的加密通信流量（443端口），但无需对其进行解密，通过利用已经掌握的数据资源，对加密流量进行判别。

加密恶意流量特征分析

特征类别

加密恶意流量特征可以通过解析HTTPS数据包头部信息来获取，而包含这些信息的TLS握手协议在网络中通过明文传输，因此可以使用wireshark等工具捕获网络数据包生成pcap文件，再进行进一步的特征提取。需要关注的加密恶意流量特征可分为以下3类：

• 数据元统计特征：数据包大小、到达时间序列和字节分布。
• TLS特征：客户端提供的加密套件和TLS扩展、客户端公钥长度、服务器选择的加密套件、证书信息（是否为非CA自签名、在SAN X.509扩展中的数目、有效期等）。
• 上下文数据特征：可细分为DNS数据流和HTTP数据流特征。其中࿰