加密流量分析-2.研究背景
2024-06-10 04:16:41
研究背景
- 1.加密流量分类概述
- 1.1识别方法
- 1.2 识别粒度
- 1.3 识别对象等级
- 2.加密流量识别粒度相关研究
- 2.1加密与未加密流量分类
- 2.2 加密协议识别
- 2.2.1 IPSec
- 2.2.2 SSL/TLS
- 2.2.3 SSH
- 2.3 服务识别
- 2.4 异常流量识别
- 2.5 内容参数识别
- 3.加密流量精细化分类方法相关研究(六种)
- 3.1 基于有效载荷
- 3.2 数据报负载随机性检测
- 3.3 机器学习
- 3.4 基于行为的识别方法
- 3.5 基于数据报大小分布
- 3.6 混合方法
- 3.7 加密流量识别方法综合对比
- 4.分类结果影响因素
- 4.1 隧道技术
- 4.2 代理技术
- 4.3 流量伪装技术
- 4.4 HTTP/2.0及QUIC协议
- 5.加密流量特征变化相关研究
- 6.SSL/TLS加密应用分类相关研究
- 7.SSL/TLS加密视频QoE参数识别相关研究
1.加密流量分类概述
1.1识别方法
#mermaid-svg-coq8xHo8n27utesx .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-coq8xHo8n27utesx .label text{fill:#333}#mermaid-svg-coq8xHo8n27utesx .node rect,#mermaid-svg-coq8xHo8n27utesx .node circle,#mermaid-svg-coq8xHo8n27utesx .node ellipse,#mermaid-svg-coq8xHo8n27utesx .node polygon,#mermaid-svg-coq8xHo8n27utesx .node path{fill:#ECECFF;stroke:#9370db;stroke-width:1px}#mermaid-svg-coq8xHo8n27utesx .node .label{text-align:center;fill:#333}#mermaid-svg-coq8xHo8n27utesx .node.clickable{cursor:pointer}#mermaid-svg-coq8xHo8n27utesx .arrowheadPath{fill:#333}#mermaid-svg-coq8xHo8n27utesx .edgePath .path{stroke:#333;stroke-width:1.5px}#mermaid-svg-coq8xHo8n27utesx .flowchart-link{stroke:#333;fill:none}#mermaid-svg-coq8xHo8n27utesx .edgeLabel{background-color:#e8e8e8;text-align:center}#mermaid-svg-coq8xHo8n27utesx .edgeLabel rect{opacity:0.9}#mermaid-svg-coq8xHo8n27utesx .edgeLabel span{color:#333}#mermaid-svg-coq8xHo8n27utesx .cluster rect{fill:#ffffde;stroke:#aa3;stroke-width:1px}#mermaid-svg-coq8xHo8n27utesx .cluster text{fill:#333}#mermaid-svg-coq8xHo8n27utesx div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);font-size:12px;background:#ffffde;border:1px solid #aa3;border-radius:2px;pointer-events:none;z-index:100}#mermaid-svg-coq8xHo8n27utesx .actor{stroke:#ccf;fill:#ECECFF}#mermaid-svg-coq8xHo8n27utesx text.actor>tspan{fill:#000;stroke:none}#mermaid-svg-coq8xHo8n27utesx .actor-line{stroke:grey}#mermaid-svg-coq8xHo8n27utesx .messageLine0{stroke-width:1.5;stroke-dasharray:none;stroke:#333}#mermaid-svg-coq8xHo8n27utesx .messageLine1{stroke-width:1.5;stroke-dasharray:2, 2;stroke:#333}#mermaid-svg-coq8xHo8n27utesx #arrowhead path{fill:#333;stroke:#333}#mermaid-svg-coq8xHo8n27utesx .sequenceNumber{fill:#fff}#mermaid-svg-coq8xHo8n27utesx #sequencenumber{fill:#333}#mermaid-svg-coq8xHo8n27utesx #crosshead path{fill:#333;stroke:#333}#mermaid-svg-coq8xHo8n27utesx .messageText{fill:#333;stroke:#333}#mermaid-svg-coq8xHo8n27utesx .labelBox{stroke:#ccf;fill:#ECECFF}#mermaid-svg-coq8xHo8n27utesx .labelText,#mermaid-svg-coq8xHo8n27utesx .labelText>tspan{fill:#000;stroke:none}#mermaid-svg-coq8xHo8n27utesx .loopText,#mermaid-svg-coq8xHo8n27utesx .loopText>tspan{fill:#000;stroke:none}#mermaid-svg-coq8xHo8n27utesx .loopLine{stroke-width:2px;stroke-dasharray:2, 2;stroke:#ccf;fill:#ccf}#mermaid-svg-coq8xHo8n27utesx .note{stroke:#aa3;fill:#fff5ad}#mermaid-svg-coq8xHo8n27utesx .noteText,#mermaid-svg-coq8xHo8n27utesx .noteText>tspan{fill:#000;stroke:none}#mermaid-svg-coq8xHo8n27utesx .activation0{fill:#f4f4f4;stroke:#666}#mermaid-svg-coq8xHo8n27utesx .activation1{fill:#f4f4f4;stroke:#666}#mermaid-svg-coq8xHo8n27utesx .activation2{fill:#f4f4f4;stroke:#666}#mermaid-svg-coq8xHo8n27utesx .mermaid-main-font{font-family:"trebuchet ms", verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .section{stroke:none;opacity:0.2}#mermaid-svg-coq8xHo8n27utesx .section0{fill:rgba(102,102,255,0.49)}#mermaid-svg-coq8xHo8n27utesx .section2{fill:#fff400}#mermaid-svg-coq8xHo8n27utesx .section1,#mermaid-svg-coq8xHo8n27utesx .section3{fill:#fff;opacity:0.2}#mermaid-svg-coq8xHo8n27utesx .sectionTitle0{fill:#333}#mermaid-svg-coq8xHo8n27utesx .sectionTitle1{fill:#333}#mermaid-svg-coq8xHo8n27utesx .sectionTitle2{fill:#333}#mermaid-svg-coq8xHo8n27utesx .sectionTitle3{fill:#333}#mermaid-svg-coq8xHo8n27utesx .sectionTitle{text-anchor:start;font-size:11px;text-height:14px;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .grid .tick{stroke:#d3d3d3;opacity:0.8;shape-rendering:crispEdges}#mermaid-svg-coq8xHo8n27utesx .grid .tick text{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .grid path{stroke-width:0}#mermaid-svg-coq8xHo8n27utesx .today{fill:none;stroke:red;stroke-width:2px}#mermaid-svg-coq8xHo8n27utesx .task{stroke-width:2}#mermaid-svg-coq8xHo8n27utesx .taskText{text-anchor:middle;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .taskText:not([font-size]){font-size:11px}#mermaid-svg-coq8xHo8n27utesx .taskTextOutsideRight{fill:#000;text-anchor:start;font-size:11px;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .taskTextOutsideLeft{fill:#000;text-anchor:end;font-size:11px}#mermaid-svg-coq8xHo8n27utesx .task.clickable{cursor:pointer}#mermaid-svg-coq8xHo8n27utesx .taskText.clickable{cursor:pointer;fill:#003163 !important;font-weight:bold}#mermaid-svg-coq8xHo8n27utesx .taskTextOutsideLeft.clickable{cursor:pointer;fill:#003163 !important;font-weight:bold}#mermaid-svg-coq8xHo8n27utesx .taskTextOutsideRight.clickable{cursor:pointer;fill:#003163 !important;font-weight:bold}#mermaid-svg-coq8xHo8n27utesx .taskText0,#mermaid-svg-coq8xHo8n27utesx .taskText1,#mermaid-svg-coq8xHo8n27utesx .taskText2,#mermaid-svg-coq8xHo8n27utesx .taskText3{fill:#fff}#mermaid-svg-coq8xHo8n27utesx .task0,#mermaid-svg-coq8xHo8n27utesx .task1,#mermaid-svg-coq8xHo8n27utesx .task2,#mermaid-svg-coq8xHo8n27utesx .task3{fill:#8a90dd;stroke:#534fbc}#mermaid-svg-coq8xHo8n27utesx .taskTextOutside0,#mermaid-svg-coq8xHo8n27utesx .taskTextOutside2{fill:#000}#mermaid-svg-coq8xHo8n27utesx .taskTextOutside1,#mermaid-svg-coq8xHo8n27utesx .taskTextOutside3{fill:#000}#mermaid-svg-coq8xHo8n27utesx .active0,#mermaid-svg-coq8xHo8n27utesx .active1,#mermaid-svg-coq8xHo8n27utesx .active2,#mermaid-svg-coq8xHo8n27utesx .active3{fill:#bfc7ff;stroke:#534fbc}#mermaid-svg-coq8xHo8n27utesx .activeText0,#mermaid-svg-coq8xHo8n27utesx .activeText1,#mermaid-svg-coq8xHo8n27utesx .activeText2,#mermaid-svg-coq8xHo8n27utesx .activeText3{fill:#000 !important}#mermaid-svg-coq8xHo8n27utesx .done0,#mermaid-svg-coq8xHo8n27utesx .done1,#mermaid-svg-coq8xHo8n27utesx .done2,#mermaid-svg-coq8xHo8n27utesx .done3{stroke:grey;fill:#d3d3d3;stroke-width:2}#mermaid-svg-coq8xHo8n27utesx .doneText0,#mermaid-svg-coq8xHo8n27utesx .doneText1,#mermaid-svg-coq8xHo8n27utesx .doneText2,#mermaid-svg-coq8xHo8n27utesx .doneText3{fill:#000 !important}#mermaid-svg-coq8xHo8n27utesx .crit0,#mermaid-svg-coq8xHo8n27utesx .crit1,#mermaid-svg-coq8xHo8n27utesx .crit2,#mermaid-svg-coq8xHo8n27utesx .crit3{stroke:#f88;fill:red;stroke-width:2}#mermaid-svg-coq8xHo8n27utesx .activeCrit0,#mermaid-svg-coq8xHo8n27utesx .activeCrit1,#mermaid-svg-coq8xHo8n27utesx .activeCrit2,#mermaid-svg-coq8xHo8n27utesx .activeCrit3{stroke:#f88;fill:#bfc7ff;stroke-width:2}#mermaid-svg-coq8xHo8n27utesx .doneCrit0,#mermaid-svg-coq8xHo8n27utesx .doneCrit1,#mermaid-svg-coq8xHo8n27utesx .doneCrit2,#mermaid-svg-coq8xHo8n27utesx .doneCrit3{stroke:#f88;fill:#d3d3d3;stroke-width:2;cursor:pointer;shape-rendering:crispEdges}#mermaid-svg-coq8xHo8n27utesx .milestone{transform:rotate(45deg) scale(0.8, 0.8)}#mermaid-svg-coq8xHo8n27utesx .milestoneText{font-style:italic}#mermaid-svg-coq8xHo8n27utesx .doneCritText0,#mermaid-svg-coq8xHo8n27utesx .doneCritText1,#mermaid-svg-coq8xHo8n27utesx .doneCritText2,#mermaid-svg-coq8xHo8n27utesx .doneCritText3{fill:#000 !important}#mermaid-svg-coq8xHo8n27utesx .activeCritText0,#mermaid-svg-coq8xHo8n27utesx .activeCritText1,#mermaid-svg-coq8xHo8n27utesx .activeCritText2,#mermaid-svg-coq8xHo8n27utesx .activeCritText3{fill:#000 !important}#mermaid-svg-coq8xHo8n27utesx .titleText{text-anchor:middle;font-size:18px;fill:#000;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx g.classGroup text{fill:#9370db;stroke:none;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);font-size:10px}#mermaid-svg-coq8xHo8n27utesx g.classGroup text .title{font-weight:bolder}#mermaid-svg-coq8xHo8n27utesx g.clickable{cursor:pointer}#mermaid-svg-coq8xHo8n27utesx g.classGroup rect{fill:#ECECFF;stroke:#9370db}#mermaid-svg-coq8xHo8n27utesx g.classGroup line{stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx .classLabel .box{stroke:none;stroke-width:0;fill:#ECECFF;opacity:0.5}#mermaid-svg-coq8xHo8n27utesx .classLabel .label{fill:#9370db;font-size:10px}#mermaid-svg-coq8xHo8n27utesx .relation{stroke:#9370db;stroke-width:1;fill:none}#mermaid-svg-coq8xHo8n27utesx .dashed-line{stroke-dasharray:3}#mermaid-svg-coq8xHo8n27utesx #compositionStart{fill:#9370db;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx #compositionEnd{fill:#9370db;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx #aggregationStart{fill:#ECECFF;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx #aggregationEnd{fill:#ECECFF;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx #dependencyStart{fill:#9370db;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx #dependencyEnd{fill:#9370db;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx #extensionStart{fill:#9370db;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx #extensionEnd{fill:#9370db;stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx .commit-id,#mermaid-svg-coq8xHo8n27utesx .commit-msg,#mermaid-svg-coq8xHo8n27utesx .branch-label{fill:lightgrey;color:lightgrey;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .pieTitleText{text-anchor:middle;font-size:25px;fill:#000;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .slice{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx g.stateGroup text{fill:#9370db;stroke:none;font-size:10px;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx g.stateGroup text{fill:#9370db;fill:#333;stroke:none;font-size:10px}#mermaid-svg-coq8xHo8n27utesx g.statediagram-cluster .cluster-label text{fill:#333}#mermaid-svg-coq8xHo8n27utesx g.stateGroup .state-title{font-weight:bolder;fill:#000}#mermaid-svg-coq8xHo8n27utesx g.stateGroup rect{fill:#ECECFF;stroke:#9370db}#mermaid-svg-coq8xHo8n27utesx g.stateGroup line{stroke:#9370db;stroke-width:1}#mermaid-svg-coq8xHo8n27utesx .transition{stroke:#9370db;stroke-width:1;fill:none}#mermaid-svg-coq8xHo8n27utesx .stateGroup .composit{fill:white;border-bottom:1px}#mermaid-svg-coq8xHo8n27utesx .stateGroup .alt-composit{fill:#e0e0e0;border-bottom:1px}#mermaid-svg-coq8xHo8n27utesx .state-note{stroke:#aa3;fill:#fff5ad}#mermaid-svg-coq8xHo8n27utesx .state-note text{fill:black;stroke:none;font-size:10px}#mermaid-svg-coq8xHo8n27utesx .stateLabel .box{stroke:none;stroke-width:0;fill:#ECECFF;opacity:0.7}#mermaid-svg-coq8xHo8n27utesx .edgeLabel text{fill:#333}#mermaid-svg-coq8xHo8n27utesx .stateLabel text{fill:#000;font-size:10px;font-weight:bold;font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family)}#mermaid-svg-coq8xHo8n27utesx .node circle.state-start{fill:black;stroke:black}#mermaid-svg-coq8xHo8n27utesx .node circle.state-end{fill:black;stroke:white;stroke-width:1.5}#mermaid-svg-coq8xHo8n27utesx #statediagram-barbEnd{fill:#9370db}#mermaid-svg-coq8xHo8n27utesx .statediagram-cluster rect{fill:#ECECFF;stroke:#9370db;stroke-width:1px}#mermaid-svg-coq8xHo8n27utesx .statediagram-cluster rect.outer{rx:5px;ry:5px}#mermaid-svg-coq8xHo8n27utesx .statediagram-state .divider{stroke:#9370db}#mermaid-svg-coq8xHo8n27utesx .statediagram-state .title-state{rx:5px;ry:5px}#mermaid-svg-coq8xHo8n27utesx .statediagram-cluster.statediagram-cluster .inner{fill:white}#mermaid-svg-coq8xHo8n27utesx .statediagram-cluster.statediagram-cluster-alt .inner{fill:#e0e0e0}#mermaid-svg-coq8xHo8n27utesx .statediagram-cluster .inner{rx:0;ry:0}#mermaid-svg-coq8xHo8n27utesx .statediagram-state rect.basic{rx:5px;ry:5px}#mermaid-svg-coq8xHo8n27utesx .statediagram-state rect.divider{stroke-dasharray:10,10;fill:#efefef}#mermaid-svg-coq8xHo8n27utesx .note-edge{stroke-dasharray:5}#mermaid-svg-coq8xHo8n27utesx .statediagram-note rect{fill:#fff5ad;stroke:#aa3;stroke-width:1px;rx:0;ry:0}:root{--mermaid-font-family: '"trebuchet ms", verdana, arial';--mermaid-font-family: "Comic Sans MS", "Comic Sans", cursive}#mermaid-svg-coq8xHo8n27utesx .error-icon{fill:#522}#mermaid-svg-coq8xHo8n27utesx .error-text{fill:#522;stroke:#522}#mermaid-svg-coq8xHo8n27utesx .edge-thickness-normal{stroke-width:2px}#mermaid-svg-coq8xHo8n27utesx .edge-thickness-thick{stroke-width:3.5px}#mermaid-svg-coq8xHo8n27utesx .edge-pattern-solid{stroke-dasharray:0}#mermaid-svg-coq8xHo8n27utesx .edge-pattern-dashed{stroke-dasharray:3}#mermaid-svg-coq8xHo8n27utesx .edge-pattern-dotted{stroke-dasharray:2}#mermaid-svg-coq8xHo8n27utesx .marker{fill:#333}#mermaid-svg-coq8xHo8n27utesx .marker.cross{stroke:#333}:root { --mermaid-font-family: "trebuchet ms", verdana, arial;}#mermaid-svg-coq8xHo8n27utesx {color: rgba(0, 0, 0, 0.75);font: ;}
加密流量识别方法
未加密部分有效载荷
流量特征
识别对象
混合特征
流级
包级
主机级
会话级
识别技术
负载检测
负载随机性
数据包分布
机器学习
主机行为
混合方法
- 负载检测: 模式匹配(签名、指纹)
- 负载随机性:统计方法(信息熵、卡方距离)
- 数据包分布:统计方法(简单统计、交叉熵)
- 机器学习:机器学习算法(集成学习、强化学习)
- 主机行为:图论(BLINC、Motifs、社交网络)
- 混合方法
1.2 识别粒度
粗粒度>------------------------------------------------->细粒度
是否加密>协议>应用>服务>网页>异常流量>内容参数
第二节将重点介绍
1.3 识别对象等级
- 流级:关注流的特征和到达过程,还可分为单向流和双向流
- 包级:关注包的特征和到达过程,包的大小分布、到达时间、到达顺序等
- 主机级:关注主机间的连接模式,如主机(或端口)通信的所有流量
- 会话级:关注绘画的特征和到达过程,特征包括字节数和会话持续时间等
2.加密流量识别粒度相关研究
2.1加密与未加密流量分类
这是加密流量识别的首要任务。
Dorfinger等人提出一种加密流量实时识别放大RT-ETD
Lotfollahi提出一种基于神父学习的方法Deep Packet,将特征提取和分类阶段集成到一个系统中,不但能判断是否是加密流量,还能区分VPN和非VPN流量,网络模型为SAE(堆叠自编码器)和CNN。
2.2 加密协议识别
加密协议识别由于各种协议封装格式不同,需要了解协议的交互过程,找出交互过程中的可用于区分不同应用的特征及规律才能总结出网络流量中各应用协议的最佳特征属性,最终为提高总体流识别的粒度和精度奠定基础。
加密协议交互过程大体可分为两个阶段
- 建立安全连接:握手、认证、密钥交换。在该过程中通信双方协商支持的加密算法,互相认证并生成密钥
- 第二阶段采用第一阶段产生的密钥加密传输数据
目前主流的加密协议有以下三种
2.2.1 IPSec
一组确保IP层通信安全的协议栈,保护TCP/IP通信免遭窃听和篡改,其中包含了
- 认证头AH,为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
- 封装安全载荷ESP,提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
- 安全关联SA,提供算法和数据包,提供AH、ESP操作所需的参数。
- 密钥协议IKE,提供对称密码的钥匙的生存和交换。
详细链接(百度百科)
2.2.2 SSL/TLS
安全套接层协议SSL提供应用层和传输层之间的数据安全性机制,在客户端和服务器之间建立安全通道,对数据进行加密和隐藏,确保数据在传输过程中不被改变。SSL协议在应用层协议通信之前就已经完成加密算法和密钥的协商,在此之后所传送的数据都会被加密,从而保证通信的私密性。
详细链接(百度百科)
2.2.3 SSH
安全外壳协议是一种在不安全网络上提供安全远程登录及其他安全网络服务的协议。主要包括传输层协议、用户认证协议和连接协议。
详细链接(百度百科)
2.3 服务识别
服务识别就是识别加密流量所属的应用类型,如
- 流媒体:YouTube、优酷、土豆
- SNS:Facebook、推特、微博
- P2P:Skype、BitTorrent
随着P2P应用的不断发展,出现了多种混淆技术,如动态端口号、端口跳变、HTTP伪装、分块文件传输和加密有效载荷等,因此需要有效的方法来识别P2P流量。
Maiolini利用K-means进行分类,准确率达到99.8%
2.4 异常流量识别
基于信息熵的异常检测算法比传统的流量分析提供更细粒度的识别。
Adami提出Skype-hunter,基于签名和流统计特征相结合的策略,能识别信令任务和数据业务
2.5 内容参数识别
指对加密应用流量从内容属性上进一步识别,如视频清晰度及图片格式等。
Khakpour提出内容参数识别方法Iustitia
3.加密流量精细化分类方法相关研究(六种)
3.1 基于有效载荷
通过分析数据包的有效载荷来识别流量,准确率高,但识别复杂度也高。由于解析数据包负载触犯隐私逐渐被取代。
3.2 数据报负载随机性检测
网络应用的数据流并不是完全随机加密,由于每个分组会携带一些相同的特征字段,所以分组的这些字节可能并不是随机的,因此可以根据数据流的特定字节的随机性来识别
3.3 机器学习
基于机器学习的识别方法只需处理传输层以下的内容,加密技术一般只对载荷信息进行加密而不对流量特征进行处理,该方法受加密影响小。
3.4 基于行为的识别方法
这种方法首先是从主机的角度来分析不同应用的行为特征,识别结果通常是粗粒度的,如P2P和Web,其次对传输层加密无能为力,最后使用网络地址转换和非对称路由等技术会因为不完整的连接信息而影响其识别精度。
3.5 基于数据报大小分布
实际网络环境中,为了提高用户体验,不同的应用对数据流中的数据包大小要求不同,例如流媒体的数据包不宜过大,否则网络拥塞时影响播放流畅度,文件下载的数据包可以以最大报文长度传输。
3.6 混合方法
很多特定方法只对特定协议有效,因此可以将多种加密流量识别方法集成实现高效的加密流量识别。
3.7 加密流量识别方法综合对比
| 方法 | 负载随机性 | 有效负载 | 机器学习 | 基于行为 | 数据包大小 | 混合方法 |
|---|---|---|---|---|---|---|
| 检测内容 | 部分负载 | 全部负载 | 流统计特征 | 主机行为 | 数据包大小 | 多种特征 |
| 成本代价 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐ | ⭐⭐⭐ | ⭐⭐ | ⭐⭐⭐ |
| 识别速度 | ⭐⭐ | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
| 实时性 | ⭐ | ⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| 识别粒度 | ⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| 准确性 | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
- ⭐越多表示性能越好
4.分类结果影响因素
4.1 隧道技术
隧道技术常用在不安全的网络上建立安全通道,将不同协议的数据包封装在负载部分后通过隧道发送。识别隧道协议相对容易,关键在于如何识别隧道协议下承载的应用。因此加密流i昂识别需要考虑隧道技术的影响
4.2 代理技术
加密流量识别就还要客服代理技术带来的影响。数据压缩代理技术可以有效减少带宽使用,但对流量识别技术产生较大的影响。
4.3 流量伪装技术
流量伪装技术(如协议混淆、流量变种)将一种流量的特征伪装成零一种流量的特征,组织基于流统计特征的识别方法的准确识别,木马蠕虫等恶意程序越来越多地采用流量伪装技术进行恶意攻击和隐蔽通信。
4.4 HTTP/2.0及QUIC协议
为了降低延迟和提高安全性,Google提出了新的协议,不久的将来,这两种协议将被广泛应用,如何识别协议下承载的应用面临新的挑战。
5.加密流量特征变化相关研究
特征提取方向的研究非常广泛,但很少有人关注类别不均衡和概念漂移的问题。
- Li考虑到时间空间域不同的影响, 使用FCBF和对称不确定度量选择特征子集,但单个FCBF特征分类性能低,不能很好地解决概念漂移问题。
- 张宏莉等提出bagging集成学习来解决,尽管准确度提升了,类不均衡的问题依然存在。
- Zhong在CVFDT的基础上提出了解决P2P流量概念漂移问题的算法iCVFDT,在出现概念漂移时生成一棵新子树,但未考虑多种应用情况下的概念漂移。
- Gama提出根据分类错误率检测概念飘逸算法DDM,如果错误率高于阈值就报告发生概念漂移,对突变式数据表现优异,渐变式则欠佳。
- Nishida提出基于统计的检测方法STEPD,该方法与DDM具有相似的架构,但该方法采用统计检验来检测概念漂移,需要预先给定一个滑动窗口。如果窗口大小不合适,容易产生误报或漏报。
6.SSL/TLS加密应用分类相关研究
分类HTTPS加密流量给网络带来了新的挑战。
- Kim提出从SSL/TLS有效载荷中自动生成服务签名的方法。
- Bernaille提出了一种基于SSL连接的前几个数据包大小的方法,早期识别精度85%。
- Sun提出一种使用签名和流统计分析相结合的方案来识别SSL/TLS加密应用。
7.SSL/TLS加密视频QoE参数识别相关研究
近年来,视频QoE评估被广泛研究。卡顿和初始缓冲时延时QoE评估的关键性能指标。
- Nam对移动网络下Youtube和Netflix视频流量进行了研究,发现网络带宽和CPU能力也是影响QoE的重要因素。
- Seufert研究了自适应码流技术在HTTP视频服务中的应用。
加密流量分析-2.研究背景相关推荐
- 知乎App加密流量分析初探
如果努力没有结果,那就要再努力一点.对面HTTPS加密流量,还是束手无策啊.因为我们得到的信息太少了,只有握手过程是明文的,后续数据部分什么都分析不了.便纵有千种风情,更与何人说? 第一步:在安卓虚拟 ...
- SideWinder诱饵文档加密流量分析
近期获得一个SideWinder组织关联样本(MD5:267870d2a7deec193cf6c2b6926f0451).我们对此样本及其产生的加密流量进行了简要分析. 样本概述 在此次攻击中,Sid ...
- 加密流量分析-4.加密协议分析
加密协议分析 1.IPSec安全协议 1.1 相关概念 1.1.1 数据流 1.1.2 安全联盟SA 1.1.3 安全参数索引SPI 1.1.4 安全策略 1.2 报文首部认证协议AH 1.3 封装安 ...
- 《基于深度学习的加密流量识别研究》-2022毕设笔记
参考文献: 基于深度学习的网络流量分类及异常检测方法研究_王伟 基于深度学习的加密流量分类技术研究与实现_马梦叠 基于深度学习的加密流量识别研究综述及展望_郭宇斌 基于深度学习的加密流量算法识别研究_ ...
- 发现藏匿在加密流量中的威胁
加密是保护隐私的一个重要手段,能够保护我们的数据不被窥探,能够阻止犯罪分子窃取我们的信用卡信息.应用的使用习惯或密码. 加密的重要性不言而喻,据最新报告显示,截止今年2月,半数的在线流量均被加密.对于 ...
- 加密流量分类-论文1:Deep Learning for Encrypted Traffic Classification: An Overview
加密流量分类-论文1:Deep Learning for Encrypted Traffic Classification: An Overview 0.摘要 1.介绍 2.网络流量分类流程框架 2. ...
- 【研究型论文】结合多特征识别的恶意加密流量检测方法(中文论文_信息安全学报)
文章目录 结合多特征识别的恶意加密流量检测方法 摘要 论文解决的问题与贡献 1. 正常流量与恶意流量特征比较 (1)会话的统计特征分析 (2)TLS协议特征分析 (3)服务器证书特征 (4)服务器域名 ...
- Shell管理工具流量分析-下(冰蝎 3.0、哥斯拉 4.0 流量分析)
书接上篇,再分析冰蝎 2.0 之后来看一看 3.0 拥有那些新特性 文章目录 冰蝎 3.0流量 功能原理分析 哥斯拉 使用介绍 PHP加密器分析 推荐阅读 冰蝎 3.0流量 冰蝎 3.0 PHP sh ...
- 冰蝎shell_冰蝎全系列有效:针对 HTTPS 加密流量的 webshell 检测研究
阅读: 322 webshell 是 Web 攻击中常见的一种木马形式,目前主流的检测方法都是基于 HTTP 请求和响应流量的内容特征,然而在 HTTPS 协议下,很多 webshell 检测机制是无 ...
最新文章
- 微软新作,ImageBERT虽好,千万级数据集才是亮点
- Javascript数组操作(转)
- P4331 [BalticOI 2004]Sequence 数字序列(左偏树)
- android将拍摄的图片存入sd卡中,Android将图片保存至SD卡上
- oracle12c新特点之可插拔数据库(Pluggable Database,PDB)
- maven只是经手,不是触发:org.apache.maven.lifecycle.LifecycleExecutionException
- java项目怎么启动_github上的java项目怎么运行(面向小白)
- java绘制雷达图_【带着canvas去流浪(6)】绘制雷达图
- 小程序的申请开通需要什么条件
- CONCAT不是可以识别的内置函数名称。
- 打卡day01 python基础—常用数据类型
- 钟汉良日记:2年10个月后第一次坐车回家
- 钢铁侠材质制作——2、线条轮廓部分的制作
- Linux怎么解决更改xx权限:不允许的操作
- 利用Python在网上接单,兼职也能月薪过万,真的假的?
- Linux运维工程师前景
- python爬虫微信_搜狗微信采集 —— python爬虫系列一
- Vue Admin Plus、Vue Shop Vite 官网演示地址文档
- Libgdx游戏开发(1)——环境配置及demo运行
- html5响应式布局实例,CSS3响应式布局案例
热门文章
- 一个IO控制很多个LED,这个技能你get到了吗
- Basset: learning the regulatory code of the accessible genome with deep convolutional neural network
- 天蝎项目整机柜服务器解决方案,天蝎2.0整机柜服务器技术规范rev0.5(final).doc
- QT手动添加Q_OBJECT报错解决方法记录
- NTL密码算法开源库(数论库)代码分析项目--综述
- 小仙女手账的神仙句子
- 谷歌翻译退出,idea谷歌翻译无法使用(解决)
- 【学习笔记】高光谱基础知识
- CentOS下搭建Frp内网穿透服务
- 芯片破解、解密方法介绍