加密流量安全检测

征抽取针对的候选特征集合分为协议无关特征与协议相关特征两类。协议无关特征是指流量数据传输过程中表现的通用特征，例如，数据包的大小、包时间间隔等。协议相关特征是指流量数据在加密传输协议层面表现的专有特征，例如，SSL 扩展种类、加密套件种类。通过对 SSL 协议标准和恶意流量数据的深入研究，并结合收集的数据集进行逐一验证，我们最终得出一组涵盖范围广且和恶意流量相关性高的候选特征集，然后开发专有特征提取系统，为后续的特征数据分析处理提供基础支持。

在已提取的候选特征集合基础上，进行进一步特征数据分析处理，对不适合直接作为机器学习模型输入的数据，进行深度特征抽取。例如，针对加密通信过程中可能出现的各类域名，传统方法是提取域名的数字个数、字母个数、非字母和数字个数等作为特征，我们基于深度学习技术训练 LSTM 模型直接提取其 DGA 域名概率值作为特征，能够给机器学习模型提供更有效的数据信息。后续实验表明，这类深度抽取特征在模型中起到了关键作用。上述 DGA 域名检测模型架构图如下图所示：选择是特征提取后的一项重要工作，直接决定了最终使用特征集的质量。我们共使用了四类特征选择方法：先验知识验证、降维可视化分析、启发式搜索分析、综合工程测试。前两类方法依靠数据统计分析，后两类方法结合分类模型。知识验证，是指依靠专家先验知识直接对候选特征集合进行取舍。针对数据集上的特征统计结果表现出的差异，先验知识可以直接给出本质原因，指导特征选择。例如，SSL 扩展在 GREASE 扩展项上表现出的正常/恶意流量差别，是不能作为保留特征的，因为，GREASE 扩展项只是浏览器为保证协议可扩展性设计的特性，并不反映恶意流量特性。

降维可视化分析，是指对初步选择的一组特征集进行基于无监督学习的降维处理和可视化分析，直接判断这组特征集的质量。例如，我们使用 PCA 和 t-SNE 等降维方法对一组特征集进行降维，从对降维结果的可视化分析图可以看出，这组特征集在图中的

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!