基于图表示的恶意TLS流量检测方法

信息安全研究 ›› 2024, Vol. 10 ›› Issue (3): 209-.

基于图表示的恶意TLS流量检测方法

赵荻1,2尹志超3崔苏苏1,2曹中华3卢志刚1,2

1(中国科学院信息工程研究所北京100085)
2(中国科学院大学网络空间安全学院北京100049)
3(北京华境安技术有限公司北京100085)

出版日期:2024-03-23 发布日期:2024-03-08
通讯作者: 崔苏苏博士研究生.主要研究方向为加密流量分析、入侵检测. cuisusu@iie.ac.cn
作者简介:赵荻博士研究生.主要研究方向为加密流量分析. zhaodi@iie.ac.cn 尹志超硕士.主要研究方向为Linux内核、协议分析与还原. yinzhichao@realmsec.cn 崔苏苏博士研究生.主要研究方向为加密流量分析、入侵检测. cuisusu@iie.ac.cn 曹中华工程师.主要研究方向为网络协议分析、网络安全. zhonghua0221@126.com 卢志刚博士，教授.主要研究方向为网络攻防、网络安全态势感知、网络攻击发现. luzhigang@iie.ac.cn

Malicious TLS Traffic Detection Based on Graph Representation#br#
#br#

Zhao Di1,2, Yin Zhichao3, Cui Susu1,2, Cao Zhonghua3, and Lu Zhigang1,2#br#

#br#

1(Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100085)
2(School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049)
3(Beijing China Realm Security Incorporated Company, Beijing 100085)

Online:2024-03-23 Published:2024-03-08

摘要/Abstract

摘要： 出于隐私保护的需要，加密服务日益普及，然而这也为恶意流量提供了隐藏自身的渠道.因此，加密恶意流量识别成为网络管理的重要任务.目前，一些基于机器学习和深度学习的主流技术已经取得了良好的效果，然而，这些方法大多忽略了流量的结构特性，也未对加密协议进行深入分析.针对这一问题，提出了一种针对安全套接层传输层安全(secure sockets layertransport layer security, SSLTLS)流量的图表示方法，总结TLS流量关键特征，并从流的源IP、目的端口、数据包数等多个属性角度考虑流量关联性.在此基础上，建立了一个基于图卷积神经网络(graph convolutional networks, GCN)的加密恶意流量识别框架GCNRF.该方法将流量转化为图结构，综合利用流量的结构信息和节点特征进行识别与分类.在真实的公共数据集上的实验结果表明，该方法的分类准确率高于目前的主流模型.

关键词: 加密流量, 恶意流量, 图卷积神经网络, 深度学习, 加密协议

Abstract: Owing to the need for privacy protection, encryption services online are becoming increasingly popular. However, this also provides an avenue for malicious traffic to hide itself. As a result, the identification of encrypted malicious traffic has become an important task for network management. Currently, some mainstream techniques based on machine learning and deep learning have achieved good results. However, most of these methods ignore the structure of traffic and do not provide indepth analysis of encryption protocols. To address this problem, this paper proposes a graph representation method for SSLTLS traffic, summarizes the key features of TLS traffic and considers traffic correlation from the perspective of multiple attributes such as source IP, destination port and packet count of the flow. Furthermore, this paper establishes a malicious traffic identification framework GCNRF based on graph convolutional neural network and random forest algorithm. This method transforms traffic into graph structure, integrates the structural information and node features of traffic for identification and classification. Experimental results on real public datasets show that the classification accuracy of this method is higher than that of current mainstream models.

Key words: encrypted traffic, malicious traffic, graph convolutional networks, deep learning, encrypted protocols

中图分类号:

TP393

赵荻, 尹志超, 崔苏苏, 曹中华, 卢志刚, . 基于图表示的恶意TLS流量检测方法[J]. 信息安全研究, 2024, 10(3): 209-.

参考文献

［1］谷歌. 网络上的HTTPS加密——Google透明度报告［EBOL］. ［20220422］. https:transparencyreport.google.comhttpsoverview?hl=zh_CN［2］Hou Jian, Liu Fangai, Lu Hui, et al. A novel flowvector generation approach for malicious traffic detection［J］. Journal of Parallel and Distributed Computing, 2022, 169: 7286［3］Xu Shijie, Geng Guanggang, Jin Xiaobo, et al. Seeing traffic paths: Encrypted traffic classification with path signature features［J］. IEEE Trans on Information Forensics and Security, 2022, 17: 21662181［4］Yan Yu, Qi Lin, Wang Jie, et al. A network intrusion detection method based on stacked autoencoder and LSTM［C］ Proc of the IEEE Int Conf on Communications (ICC). Piscataway,NJ: IEEE, 2020: 16［5］Anderson B, Paul S, McGrew D. Deciphering malware’s use of TLS (without decryption)［J］. Journal of Computer Virology and Hacking Techniques, 2018, 14(3): 195211［6］Li Zhiqiang, Sun Lichao, Yan Qiben, et al. DroidClassifier: Efficient adaptive mining of applicationlayer header for classifying android malware［G］ LNICST 198: Security and Privacy in Communication Networks. Berlin: Springer, 2017: 597616［7］Wang Yao, An Jing, Huang Wei. Using CNNbased representation learning method for malicious traffic identification［C］ Proc of the 17th IEEEACIS Int Conf on Computer and Information Science (ICIS). Piscataway, NJ: IEEE, 2018: 400404［8］李敬. 基于卷积神经网络的加密代理流量识别方法［J］. 信息安全研究, 2023, 9(8): 722729［9］Bazuhair W, Lee W. Detecting malign encrypted network traffic using perlin noise and convolutional neural network［C］ Proc of the 10th Annual Computing and Communication Workshop and Conf (CCWC). Piscataway, NJ: IEEE, 2020: 02000206［10］高源辰, 徐国胜. 基于集成学习策略的网络恶意流量检测技术研究［J］. 信息安全研究, 2023, 9(8): 730738［11］Zeek. The zeek network security monitor［EBOL］. ［20230517］. https:zeek.org［12］曹自刚. 隐蔽式网络攻击检测关键问题研究［D］. 北京: 北京邮电大学, 2015［13］Aouedi O, Piamrat K, Bagadthey D. A semisupervised stacked autoencoder approach for network traffic classification［C］ Proc of the 28th IEEE Int Conf on Network Protocols (ICNP). Piscataway, NJ: IEEE, 2020: 16［14］DataCon社区. DataCon开放数据集DataCon2020加密恶意流量数据集方向开放数据集［EBOL］. ［20220422］. https:datacon.qianxin.comopendataopenpage?resourcesId=6［15］Wang Wei, Zhu Ming, Zeng Xuewen, et al. Malware traffic classification using convolutional neural network for representation learning［C］ Proc of the 2017 Int Conf on Information Networking (ICOIN). Piscataway, NJ: IEEE, 2017: 712717

[1]	罗乐琦, 张艳硕, 王志强, 文津, 薛培阳, . 基于BERT模型的源代码漏洞检测技术研究[J]. 信息安全研究, 2024, 10(4): 294-.
[2]	杨晓文, 张健, 况立群, 庞敏, . 融合CNN-BiGRU和注意力机制的网络入侵检测模型[J]. 信息安全研究, 2024, 10(3): 202-.
[3]	张淑慧, 胡长栋, 王连海, 徐淑奖, 邵蔚, 兰田, . 基于GHM可视化和深度学习的恶意代码检测与分类[J]. 信息安全研究, 2024, 10(3): 216-.
[4]	江荣旺, 魏爽, 龙草芳, 杨明, . 基于增量学习的车联网恶意位置攻击检测研究[J]. 信息安全研究, 2024, 10(3): 277-.
[5]	王耀辉, 王可, 宫良一, 付豫豪, 王跃达, 李婧, . 基于异构图的恶意域名检测方法研究[J]. 信息安全研究, 2023, 9(E1): 38-.
[6]	郑丽娜, 杜彦辉, . 基于深度学习的HTTP慢速DoS攻击检测研究[J]. 信息安全研究, 2023, 9(E1): 72-.
[7]	叶水欢, 葛寅辉, 陈波, 于泠, . 基于ELMoTextCNN的网络欺凌检测模型[J]. 信息安全研究, 2023, 9(9): 868-.
[8]	王志强, 王姿旖, 王庆德, 徐华福, . 基于LightGBM的区块链异常交易检测技术研究[J]. 信息安全研究, 2023, 9(9): 877-.
[9]	李敬. 基于卷积神经网络的加密代理流量识别方法[J]. 信息安全研究, 2023, 9(8): 722-.
[10]	张鹏飞. 基于机器学习的入侵检测模型对比研究[J]. 信息安全研究, 2023, 9(8): 739-.
[11]	杜林, 许传淇. 基于BERT的漏洞文本特征分类技术研究[J]. 信息安全研究, 2023, 9(7): 687-.
[12]	蒋明, 张宗凯, 刘熙尧, 郭标, 胡家馨, 张硕, . 基于多注意力机制的孪生网络图像隐写分析方法[J]. 信息安全研究, 2023, 9(6): 573-.
[13]	刘亦纯, 张光华, 宿景芳. 基于多级度量差值的神经网络后门检测方法[J]. 信息安全研究, 2023, 9(6): 587-.
[14]	王志强, 都迎迎, 林雨衡, 陈旭东, . 基于文本关键词的对抗样本生成技术研究[J]. 信息安全研究, 2023, 9(4): 338-.
[15]	张天月, 陈伟, 刘宇啸, . 基于多尺度时空残差网络的入侵检测方法[J]. 信息安全研究, 2023, 9(11): 1045-.