基于 Stacking 的网络恶意加密流量识别方法

摘  要：

随着加密流量的普遍应用，许多恶意软件开始隐藏在传输层安全协议（Transport Layer Security，TLS）流量中传输恶意消息，对通信安全造成严重威胁，因此对 TLS 恶意加密流量进行识别，对打击网络犯罪有着重要意义。通过对恶意和正常加密流量的会话和协议进行分析，在传统会话统计特征的基础上，提取出握手特征和证书特征，在单一特征和多特征条件下对恶意加密流量进行识别，证明了多特征的方法能显著提升识别效果。此外，为解决单一的机器学习方法泛化能力弱的问题，提出了一种基于 Stacking 的网络恶意加密流量识别方法，所提模型分类 ROC 曲线下方的面积（Area Under Curve，AUC）和召回率分别达到 99.7% 和 99.1%，在公开数据集上与XGBoost 等其他 4 种算法对比证明，所提算法性能有明显提升。

内容目录：

1 　TLS 加密流量分析

1.1　 TLS 协议分析

1.2　 TLS 加密流量特征分析和提取

1.2.1　 TLS 握手特征分析和提取

1.2.2　 服务器证书特征分析和提取

1.2.3 　会话的特征分析和提取

2　 基于 Stacking 集成学习的加密恶意流量检测方法

2.1 　Stacking 集成模型

2.2　 Stacking 模型构建

3 　实验结果及分析

3.1 　实验环境与数据集

3.2 　评价指标

3.3　 特征性能对比

3.4　 元分类器选择

3.5 　算法性能对比

4 　结　 语

在安全和隐私保护需求