结合协同训练的多视图加密恶意流量检测方法.pdf

1、收稿日期:网络出版时间:基金项目:信息系统安全技术重点实验室基金资助项目(C NK L S T I S S )作者简介:霍跃华(),男,高级工程师,E m a i l:h u o y h c u m t b e d u c n吴文昊(),男,中国矿业大学(北京)硕士研究生,E m a i l:Z Q T s t u d e n t c u m t b e d u c n赵法起(),男,中国矿业大学(北京)硕士研究生,E m a i l:Z Q T s t u d e n t c u m t b e d u c n王强(),男,中国科学院信息工程研究所博士研究生,E m a i l:o w a

2、n g q i a n g q q c o m网络出版地址:h t t p s:/k n s c n k i n e t/k c m s/d e t a i l/T N h t m ld o i 敭 j 敭i s s n 敭 敭 敭 结合协同训练的多视图加密恶意流量检测方法霍 跃 华,吴 文 昊,赵 法 起,王强,(中国矿业大学(北京)机电与信息工程学院,北京 ;中国矿业大学(北京)网络与信息中心,北京 ;中国科学院 信息工程研究所,北京 ;中国科学院大学 网络空间安全学院,北京 )摘要:针对基于机器学习的传输层安全协议加密恶意流量检测方法对标注样本依赖度高的问题,提出了一种基于半监督学习的传

3、输层安全协议加密恶意流量检测方法.在少量标注样本的情况下,利用协同训练策略协同加密流量的两个视图,通过引入无标注样本进行训练,扩大样本集,进而减少对标注样本的依赖.首先,提取加密流量特征中独立性强的流元数据特征和证书特征,并分别构建协同训练的两个视图.其次,针对两个视图分别构建X G B o o s t分类器和随机森林分类器.最后,通过协同训练策略协同两个分类器构成多视图协同训练分类器检测模型,利用小规模标注样本和大量无标注样本进行模型训练.在公开数据集上,模型准确率达到了 ,召回率达到了 ,误报率低于 .实验结果表明,在小规模标注样本的条件下,能够有效降低对标注样本依赖度.关键词:协同训练;

4、传输层安全协议;多视图;特征选择;半监督学习中图分类号:T P 文献标识码:A文章编号:()M u l t i v i e we n c r y p t i o nm a l i c i o u s t r a f f i cd e t e c t i o nm e t h o dc o m b i n e dw i t hc o t r a i n i n gHU OY u e h u a WU W e n h a o ZHA OF a q i WANGQ i a n g 敭 S c h o o l o fM e c h a n i c a lE l e c t r o n i c&I n

5、f o r m a t i o nE n g i n e e r i n g C h i n aU n i v e r s i t yo fM i n i n ga n dT e c h n o l o g y B e i j i n g B e i j i n g C h i n a 敭 S c h o o l o fN e t w o r ka n dI n f o r m a t i o nC e n t e r C h i n aU n i v e r s i t yo fM i n i n ga n dT e c h n o l o g y B e i j i n g B e i j

6、 i n g C h i n a 敭 I n s t i t u t eo f I n f o r m a t i o nE n g i n e e r i n g C h i n e s eA c a d e m yo fS c i e n c e B e i j i n g C h i n a 敭 S c h o o l o fC y b e rS e c u r i t y U n i v e r s i t yo fC h i n e s eA c a d e m yo fS c i e n c e s B e i j i n g C h i n a A b s t r a c t A

7、 i m i n ga tt h ep r o b l e m o fh i g hd e p e n d e n c eo nl a b e l e ds a m p l e si n m a c h i n el e a r n i n g b a s e dm a l i c i o u st r a f f i cd e t e c t i o n m e t h o d sf o rt r a n s p o r tl a y e rs e c u r i t y p r o t o c o le n c r y p t i o n as e m i s u p e r v i s

8、e dl e a r n i n g b a s e d m a l i c i o u st r a f f i c d e t e c t i o n m e t h o df o rt r a n s p o r tl a y e rs e c u r i t y p r o t o c o le n c r y p t i o ni sp r o p o s e d 敭 W i t ho n l yas m a l l n u m b e ro f l a b e l e ds a m p l e s t h ec o t r a i n i n gs t r a t e g y i

9、su t i l i z e df o r t h e f i r s t t i m et o j o i n t t w ov i e w so f t h e e n c r y p t e d t r a f f i c a n dt h e t r a i n i n g i sp e r f o r m e db y i n t r o d u c i n gu n l a b e l e ds a m p l e s t oe x p a n dt h es a m p l es e ta n dt h e r e b yt or e d u c et h ed e p e n

10、d e n c eo nl a b e l e ds a m p l e s 敭 F i r s t t h ef l o w m e t a d a t a 年月第 卷第期西安电子科技大学学报J OURNA LO FX I D I ANUN I V ER S I TYA u g V o l N o h t t p:/j o u r n a l x i d i a n e d u c n/x d x bf e a t u r e sw i t hs t r o n gi n d e p e n d e n c ea n dc e r t i f i c a t ef e a t u r e s

11、i ne n c r y p t e dt r a f f i cf e a t u r e sa r ee x t r a c t e dt oc o n s t r u c t e a c hv i e wf o r c o l l a b o r a t i v e t r a i n i n g r e s p e c t i v e l y 敭 S e c o n d t h eX G B o o s t c l a s s i f i e r a n dr a n d o mf o r e s tc l a s s i f i e ra r ec o n s t r u c t e

12、 df o re a c hv i e wr e s p e c t i v e l y 敭 F i n a l l y t h e t w oc l a s s i f i e r sa r ec o l l a b o r a t i v e l yt r a i n e dt of o r mam u l t i v i e wc o t r a i n i n gc l a s s i f i e rd e t e c t i o n m o d e lt h r o u g ht h ec o t r a i n i n gs t r a t e g y w i t ht h em

13、o d e lt r a i n e du s i n gas m a l ln u m b e ro fl a b e l e ds a m p l e sa n dal a r g en u m b e ro fu n l a b e l e ds a m p l e s 敭 T h e m o d e la c h i e v e sa na c c u r a c y r a t eo f 敭 a r e c a l l r a t e o f 敭 a n da f a l s ep o s i t i v e r a t e o f l e s s t h a n敭 o nt h e

14、p u b l i c d a t a s e t 敭 E x p e r i m e n t a lr e s u l t ss h o w t h a tt h e p r o p o s e d m e t h o d c a n e f f e c t i v e l y r e d u c et h ed e p e n d e n c eo n l a b e l e ds a m p l e su n d e r t h ec o n d i t i o no f as m a l ln u m b e ro f l a b e l e ds a m p l e s 敭K e y

15、W o r d s c o t r a i n i n g t r a n s p o r t l a y e rs e c u r i t y m u l t i v i e w f e a t u r es e l e c t i o n s e m i s u p e r v i s e d l e a r n i n g 引言随着加密技术发展 ,网络加密流量呈现爆发式增长,各大网站和软件在流量传输中采用加密技术保护通信.G o o g l e透明度报告指出,所有G o o g l e产品和服务中的加密流量占比已达 ;C h r o m e平台中加密网页占比从 年的约 增长到 年的约 .

16、与此同时,越来越多的恶意流量也采用加密技术逃避检测,对网络安全构成严峻挑战.恶意流量主要由恶意软件产生,G A L L A GH E R在 年月的报告指出,约 的恶意软件在I n t e r n e t通信中采用传输层安全协议(T r a n s p o r tL a y e rS e c u r i t y,T L S)进行加密,而在 年这个比例还是 ,同比增长了倍.因此加密恶意流量检测研究具有重要意义.现阶段,针对加密恶意流量检测主要有解密技术和非解密技术两种.解密技术开销大、安全性低、应用前景小.非解密技术主要包括J A 指纹技术、证书技术及机器学习(M a c h i n eL e a

17、 r n i n g,ML)技术.基于J A 技术和证书技术的加密恶意流量检测方法只采取少数特征进行检测,容易被恶意软件规避;基于机器学习的加密恶意流量检测方法依靠大量标注样本和多个特征进行训练,现有文献表明能够取得较好的检测效果 ,但是严重依赖于标注样本数量和质量,因此现实环境中由标注代价高引起的标注样本缺乏问题制约着基于机器学习方法的应用.在加密流量具有较高的概念漂移,恶意软件家族更新迭代较快等问题限制传统检测方法应用的情况下,基于半监督学习的方法能在小规模标注样本的条件下挖掘隐藏在大量无标注样本内部潜在的规律,实现无标注样本的有效利用,减少对标注样本的依赖.因此研究基于半监督学习的T L

18、 S加密恶意流量检测方法具有重要价值.针对现有基于机器学习的加密恶意流量检测方法对标注样本依赖度高的问题,文中提取T L S加密流量的流元数据特征和T L S证书特征,分别利用流元数据特征和T L S证书特征构建协同训练的两个视图,采用X G B o o s t分类器和随机森林(R a n d o mF o r e s t,R F)分类器分别作为视图和视图的分类器,协同两个分类器构建基于半监督学习的多视图协同训练分类器(M u l t i v i e wC o t r a i n i n gC l a s s i f i e r,MC C)检测模型,通过随机抽取样本进行标注的方式得到小规模的标

19、注样本,结合大量无标注样本实现高效的T L S加密恶意流量检测.相关工作图T L S握手过程 T L S握手过程和特征选择T L S握手过程是客户端与服务端建立加密信道的过程,包含建立连接和交换验证信息两个部分.建立连接过程首先由客户端向服务端发送T L S版本、服务器名以及支持的拓展等;然后由服务端向客户端发送T L S证书链、密钥交换方法等.交换验证信息部分用于创建密钥算法和握手过程加密算法.T L S握手过程如图所示.邹洁等 采用C 决策树算法,通过选取加密流在 网络中传输 的流元数据 特征实现了 加密流量分 类.T O R R O L E D O等 将T L S证书信息输入神经网络进行

20、训练和检测,证明西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b了证书信息的可用性.特征选择特征工程是针对特征属性值进行的处理,主要用于匹配模型输入要求和提升模型性能.YU等 对恶意软件进行的研究表明,特征工程能够有效提高分类模型检测性能.特征选择是特征工程的一部分,通过减少特征维度或数量的方式提高模型的性能.受HUO等 启发,人为选择的特征存在多重共线性,不能直接进行训练,需要通过特征工程避免特征共线性问题,进而提升检测模型性能.基于半监督学习的加密恶意流量检测方法半监督方法通过小规模标注样本和大量无标注样本进

21、行训练,对标注样本需求量低,能够有效减少基于机器学习的加密恶意流量检测方法对标注样本的依赖性.协同训练方法是半监督方法的一种,又称基于分歧的方法,能够综合考虑同一对象不同视图的特征,通过多次迭代减少不同视图分类器分类结果的不一致性,得到更优的训练模型参数来提升性能.当两个视图具有较强独立性时,采用协同训练方法能够有效利用无标注样本信息提升分类效果.卢宛芝等 提出了一种半监督协同训练模型,利用协同训练策略组合了原始字节流特征和网络流统计特征实现了恶意流量分类,但该方法采用同质的极端随机树分类器,对不同视图适配性差,并且没有针对加密流量,应用于加密流量检测会造成准确性下降.A B D E L GA

22、Y E D等 提出一种S S ML(S e m i S u p e r v i s e dM a c h i n eL e a r n i n g)模型,采用异质的决策树分类器和K近邻分类器进行协同,构造检测模型进行检测.I L I YA S U等 提出一种D C GAN(D e e pC o n v o l u t i o n a lG e n e r a t i v eA d v e r s a r i a lN e t w o r k)模型,利用D C GAN模型生成的样本以及无标注的样本提高在小规模标注样本下训练的分类器的性能.模型及方法 数据集表C T U 数据集条类型加密流量总计C

23、 C l e a r n e r D r i d e x 恶意流量E m o t e t R z a y T r i c k B o t Z e u s 良性流量B e n i g n 网络中的信息是以流的形式传输的,网络流量数量庞大,特征多样,而且具有较高的概念漂移.因此对基于机器学习的方法而言,数据集的质量决定着模型在真实环境下的性能.半监督学习可以在小规模标注样本的条件下实现高效的检测效果.为了验证MC C检测模型的性能,文中使用C TU 数据集,该数据集包含单独运行 种恶意软件所产生并捕获的恶意流量和正常情况下捕获的良性流量,并以p c a p流量包的形式进行存储.选择数据集中具有单一

24、类别恶意软件的恶意流量包个和良性流量包个,并筛选出其中的T L S加密流量构成样本集,如表所示.协同训练视图构建将原始p c a p流量包进行合并与清洗后,使用Z e e k工具 进行特征提取,得到流特征、连接特征及T L S证书特征.流特征与连接特征同属流元数据特征,表征的是流的建立与传输过程,描述的是流的行为侧的交互特征,独立性较弱;T L S证书特征表征的是认证过程中握手行为和报头的属性,与流元数据特征间具有较强独立性.采用具有较强独立性的视图进行协同训练能够增强特征对加密流量的表示能力,从而辅助增强检测效果.同时,采用加密流量中独立性强的特征能够解决特征多重共线性问题,进而降低对检测模

25、型的影响.()流元数据特征由流特征和连接特征组合而成,包含数据传输过程中的数据包大小、字节分布和上下文等 个统计特征,能够表示通信建立连接的过程和连接后的流量行为.()T L S证书特征包含T L S握手过程和相 关证书特征,文中选取了c e r t i f i c a t ei s s u e r,c e r t i f i c a t es u b j e c t,c i p h e r.其中,c e r t i f i c a t ei s s u e r表示证书签名的签发者,c e r t i f i c a t es u b j e c t表示证书的主体,c i p h e r表示采

26、用的加密算法套件.第期霍跃华等:结合协同训练的多视图加密恶意流量检测方法h t t p:/j o u r n a l x i d i a n e d u c n/x d x b 视图构建()视图.流元数据特征中特征的属性值为数值型,为消除数据量纲不同对分类结果造成的影响,对其进行标准化处理:x x,()其中,x为流元数据特征中某一特征的特征值,x 为标准化后的特征值,为流元数据特征的平均值,为流元数据特征的方差.进而利用X G B o o s t分类器对流元数据特征进行预训练,并输出流元数据特征中特征的权重值inii(),根据特征重要性阈值选择权重较高的特征构成视图.()视图.T L S证书特

27、征中特征的属性值重复性比较高,直接编码容易造成维度灾难.因此采用词频逆文本频率指数(T e r mF r e q u e n c y I n v e r s eD o c u m e n tF r e q u e n c y,T F I D F)编码.T F I D F编码是一种根据词频数进行编码的方法,认为词频越小的单词区分能力越大,该方法能够提取关键词,更好地处理重复性高的特征.此外,由于编码后的数据是原来数据的高维映射,维度的提升会造成计算资源的浪费.主成分分析(P r i n c i p a lC o m p o n e n tA n a l y s i s,P C A)法 是一种无监

28、督的降维方法,通过投影找出全新的相互正交的特征,快速实现对原特征的降维.因此,选择P C A法对编码后的特征进行降维,根据特征贡献率选择前 个主成分,进而构建视图.多视图分类器构建视图在构建过程中存在部分关键属性值缺失的问题.X G B o o s t分类器能够自动处理缺失数据,并能通过双向剪枝,降低模型过拟合风险.因此,选择X G B o o s t分类器作为视图的分类器.针对视图,在T F I D F编码和P C A降维的过程中会生成新的特征映射关系,但这种映射会导致原有信息缺失.由于随机森林分类器对缺失数据不敏感,且能够对模型的误差产生无偏估计.因此,选择随机森林分类器作为视图的分类器.

29、M C C检测模型的算法思想利用视图和视图独立性强、相关性低的特点,通过协同训练策略构建MC C检测模型对T L S加密恶意流量进行检测.MC C检测模型的算法思想如算法所示.算法MC C检测模型算法思想.输入:标注样本集L;无标注样本集U输出:f l a g从U中选择u个未标注的样本构成样本池U 迭代k次:使用L中第一视图训练分类器C使用L中第二视图训练分类器CC从U 中标注p个正样本和n个负样本C从U 中标注p个正样本和n个负样本添加pn个标注样本至L随机从U中抽pn个样本到U 将待检测加密流量样本输入到模型中进行预测,得到每一个样本的标签值f l a g判断f l a g值,表示恶意流量

30、,表示良性流量其中,MC C检测模型工作过程为:先根据标注样本进行模型预训练,进一步根据预训练的模型对未标注样本进行预测,并输出每个未标注样本被预测为良性或恶意标签的概率;预测概率值越大的样本置信度越高.从协同分类器标注的样本中挑选出置信度高的pn个样本进行标注,将已标注样本添加至L中,为保证样本池U 中样本量与初始样本量一致,从U中补充pn个样本至样本池U 中,参与下一轮迭代.最后将测试集样本输入模型进行分类.笔者所提出的基于MC C检测模型的T L S加密恶意流量检测过程如图所示.西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c

31、 n/x d x b图T L S加密恶意流量检测过程 实验验证 实验设置 实验环境研究基于P y t h o n 搭建了实验环境,实验所使用的硬件设备为 位W i n d o w s 操作系统,采用I n t e r X e n o G o l d C P U GH z GH z双处理器,内存 G B.评价指标为了验证所提利用协同训练的多视图加密恶意流量检测方法的有效性,采用准确度(Ac c),召回率(Re c)和误报率(FP R)个指标对检测结果进行评估:Ac cTPFNTPTNFPFN,()Re cTPTPFN,()FP RFPFPFN,()其中,TP表示恶意样本被正确识别为恶意样本的数量

32、,TN表示良性样本被正确识别为良性样本的数量,FP表示恶意样本被错误识别为良性样本的数量,FN表示良性样本被错误识别为恶意样本的数量.特征选择与结果分析 视图和X G B o o s t分类器选取了特征重要性值最大的前个特征构成视图,如表所示.将视图输入X G B o o s t分类器中,采用网格搜索法,确定分类器参数:树的最大深度为,迭代次数为 .表特征重要性最大的前个特征特征特征重要性值前向流中两个连续数据包最小的到达间隔时间 源端口 后向数据包包含的最大头部信息的字节数 前向流中最后一个数据包的窗口大小 后向流中第一个数据包的窗口大小 两个连续数据包最小的到达间隔时间 第期霍跃华等:结合

33、协同训练的多视图加密恶意流量检测方法h t t p:/j o u r n a l x i d i a n e d u c n/x d x b 视图和R F分类器选取特征贡献率阈值为 ,保留前 个主成分,构成视图.并通过网格搜索法确定R F分类器参数:树的最大深度为,森林中树的数量为.在保证恶意流量与良性流量样本数量比例一致的前提下,将样本集按照 的比例划分为训练集与测试集.训练集用于训练模型,包括随机挑选训练集中小规模样本进行标注构成的标注样本集,训练集剩余样本构成的无标注样本集;测试集用于检验所检测算法的性能.M C C检测模型实验与对比实验结果分析 与单视图模型的检测结果对比表与单视图模型

34、对比的性能Ac cRe cFP R视图/X G B o o s t 视图/R F MC C/为了探究MC C检测模型在小规模标注样本下的检测效果,在全标注条件下,针对单视图分别进行对比试验,每组实验重复 次,取其平均值如表所示,其中,MC C/指的是MC C检测模型在 个标注样本条件下的性能.在单视图条件下,X G B o o s t分类器在视图下的分类平均准确率达到了 ,平均召回率达到了 ,平均误报率低于 .R F分类器在视图下的分类平均准确率达到了 ,平均召回率达到了 ,平均误报率则低于.相比之下,MC C检测模型在 个标注样本情况下的平均准确率为 ,平均召回率为 ,平均误报率为 .由结果

35、可知,MC C检测模型在平均准确率和平均召回率上基本达到全标注条件下的性能;在平均误报率上优于单视图模型所取得的效果.实验结果表明,基于MC C检测模型的T L S加密流量检测算法能够有效利用小规模标注样本实现全监督学习下的检测效果,能够有效对加密恶意流量进行识别,减少基于机器学习的检测方法对标注样本的依赖.MC C检测模型检测结果分析为了进一步探究所提的MC C检测模型在不同标注样本数量下的性能,并探寻样本标注代价与检测性能的平衡,文中在其他条件相同的情况下,在 的标注样本区间上设置了组实验对标注代价与检测性能的平衡进行了检验.实验结果如表所示.表不同标注样本下M C C检测模型性能标注数量

36、Ac c/Re c/FP R/由表可得,在仅有 个标注样本的条件下,MC C检测模型的平均准确率和平均召回率分别为 和 ,平均误报率低于 .而将标注样本的数量增加至 个后,MC C检测模型的平均准确率和平均召回率分别达到 和 ,较 个标注样本的条件有 和 的提升,平均误报率降至 .如图和图所示,随着标注样本数量的逐步增加,MC C检测模型的平均准确率和平均召回率呈上升趋势,平均误报率呈下降趋势.但是,在标注样本数量达到 个以后,随着标注样本数量的增加,MC C检测模型的性能没有明显的提升.该结果说明在一定标注样本数量的范围内,随着标注样本数量的增加,检测模型性能提升效果显著,但当标注样本达到一

37、定数量时,再增加标注样本数量,对检测模型性能的提升效果不再显著.西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b图MC C检测模型Ac c和Re c变化图图MC C检测模型FP R变化图 与先进算法对比为了验证所提模型的优越性,将提出的MC C检测模型与基于协同训练策略的文献 、S S ML 检测模型和基于生成对抗网络的D C GAN 检测模型进行对比.在节 所述实验环境下,MC C检测模型的参数如节 所述;文献 检测模型中的极端随机树分类器采用默认参数;S S ML检测模型中的决策树分类器和K近邻分类器均采用默

38、认参数;按照节 所述的标注样本数量设置进行实验,D C GAN模型参数设置为源文献中参数.实验结果如图和图所示.图种模型Ac c结果对比图种模型Re c结果对比文中所提出的MC C检测模型效果在平均准确率和平均误报率上均优于其他种检测模型.相较于文献 和S S ML两个检测模型,在平均准确率上分别提升了约 和 ,在平均召回率上分别提升了约 和 .相较于D C GAN检测模型,在平均准确率上提高了约 ,在平均召回率上提高了约 .实验结果表明,文中所提出的MC C检测模型不仅较现有基于协同训练的模型具有较大的性能提升,相较于基于生成对抗网络的模型具有更大的性能提升,验证了MC C检测模型的优越性.

39、结束语研究针对现有加密恶意流量机器学习检测方法高度依赖标注样本的问题,提出了一种使用半监督学习的加密恶意流量识别的多视图协同训练方法,建立了基于协同训练的高效分类器,结合加密流量的流量行为第期霍跃华等:结合协同训练的多视图加密恶意流量检测方法h t t p:/j o u r n a l x i d i a n e d u c n/x d x b元数据特征和流量交互初始的证书特征,利用少量标注样本和大规模无标注样本对所提模型进行训练.实验结果表明,该检测模型以少量标注代价达到全标注条件下的恶意流量识别效能,能够有效缓解流量识别任务的标签数据依赖困难;通过试验得到标注样本的需求规模,结合人机协同的

40、工程设计方案,提升了恶意流量检测模型泛化性和迭代速率.实验表明,文中提出的方案优于现有半监督学习流量检测方法.本文提出多视图加密恶意流量检测方法能够以少量的标注代价实现T L S加密恶意流量的高效检测,有效缓解了加密流量领域恶意样本演进迅速、人工安全知识依赖的现状,能够投入实际的工业界实际检测任务应用.下一步将就检测模型的鲁棒性进行多场景验证和改进.参考文献:谭豪 申兵 苗旭东 等敭 G i m l i认证加密方案的不可能差分分析 J 敭西安电子科技大学学报 敭T AN H a o S HE NB i n g M I A OX u d o n g e t a l 敭 I m p o s s i

41、 b l eD i f f e r e n t i a lC r y p t a n a l y s i so f t h eG i m l iA u t h e n t i c a t e dE n c r y p t i o nS c h e m e J 敭 J o u r n a l o fX i d i a nU n i v e r s i t y 敭 刘亚 宫佳欣 赵逢禹敭加密算法S i m p i r av 的不可能差分攻击 J 敭西安电子科技大学学报 敭L I U Y a G ONGJ i a x i n Z HAO F e n g y u 敭 I m p o s s i b l

42、 eD i f f e r e n t i a lA t t a c ko nt h eE n c r y p t i o n A l g o r i t h m S i m p i r av J 敭J o u r n a l o fX i d i a nU n i v e r s i t y 敭 G o o g l e 敭 T r a n s p a r e n c y r e p o r t E B O L 敭 敭 h t t p s t r a n s p a r e n c y r e p o r t 敭 g o o g l e 敭 c o m h t t p s o v e r v

43、i e w敭 鲁刚 郭荣华 周颖 等敭恶意流量特征提取综述 J 敭信息网络安全 敭L UG a n g GUOR o n g h u a Z HOU Y i n g e t a l 敭 R e v i e wo fM a l i c i o u sT r a f f i cF e a t u r eE x t r a c t i o n J 敭 N e t i n f oS e c u r i t y 敭 G A L L A GHE RS敭 N e a r l yH a l fo fM a l w a r eN o wU s eT L St oC o n c e a lC o mm u n i

44、 c a t i o n s E B O L 敭 敭h t t p s n e w s 敭 s o p h o s 敭 c o m e n u s n e a r l y h a l f o f m a l w a r e n o w u s e t l s t o c o n c e a l c o mm u n i c a t i o n s 敭 WANGQ L IW B A O H e ta l 敭 H i g h E f f i c i e n ta n dF e w S h o tA d a p t i v eE n c r y p t e dT r a f f i cC l a s

45、 s i f i c a t i o nw i t hD e e pT r e e C M I L C OM I E E E M i l i t a r yC o mm u n i c a t i o n sC o n f e r e n c e M I L C OM 敭 P i s c a t a w a y I E E E 敭 F ANGY X U Y HUAN GC e t a l 敭 A g a i n s tM a l i c i o u sS S L T L SE n c r y p t i o n I d e n t i f yM a l i c i o u sT r a f f

46、 i cB a s e do nR a n d o mF o r e s t C F o u r t hI n t e r n a t i o n a lC o n g r e s so nI n f o r m a t i o na n d C o mm u n i c a t i o n T e c h n o l o g y 敭 B e r l i n S p r i n g e r 敭 康鹏 杨文忠 马红桥敭 T L S协议恶意加密流量识别研究综述 J 敭计算机工程与应用 敭KAN GP e n g YAN G W e n z h o n g MA H o n g q i a o 敭

47、T L S M a l i c i o u sE n c r y p t e dT r a f f i cI d e n t i f i c a t i o nR e s e a r c h J 敭 C o m p u t e rE n g i n e e r i n ga n dA p p l i c a t i o n s 敭 L IW Z HAN GXY B AOH e t a l 敭 R o b u s tN e t w o r kT r a f f i c I d e n t i f i c a t i o nw i t hG r a p hM a t c h i n g J 敭 C

48、 o m p u t e rN e t w o r k s 敭 L IW Z HAN GXY B A O H e t a l 敭 P r o G r a p h R o b u s tN e t w o r kT r a f f i cI d e n t i f i c a t i o nw i t hG r a p hP r o p a g a t i o n J 敭 I E E E A CM T r a n s a c t i o n so nN e t w o r k i n g 敭 曾勇 吴正远 董丽华 等敭加密流量中的恶意流量识别技术 J 敭西安电子科技大学学报 敭Z E N GY

49、o n g WUZ h e n g y u a n D ONGL i h u a e ta l 敭 R e s e a r c ho nM a l i c i o u sT r a f f i cI d e n t i f i c a t i o nT e c h n o l o g yi nE n c r y p t e dT r a f f i c J 敭 J o u r n a l o fX i d i a nU n i v e r s i t y 敭 K E S HK EH K J AN T AN A A L I E YAN K e ta l 敭 A R e v i e wo nT L

50、 SE n c r y p t i o n M a l w a r eD e t e c t i o n T L SF e a t u r e s M a c h i n eL e a r n i n gU s a g e a n dF u t u r eD i r e c t i o n s C I n t e r n a t i o n a lC o n f e r e n c eo nA d v a n c e si nC y b e rS e c u r i t y 敭 B e r l i n S p r i n g e r 敭 邹洁 朱国胜 祁小云 等敭基于C 敭 决策树的HT T