Identifying Encrypted Malware Traffic with Contextual Flow Data

使用上下文流数据（背景流量数据）识别加密的恶意软件流量

AISec '16 Proceedings of the 2016 ACM Workshop on Artificial Intelligence and Security

Pages 35-46

Authors:Blake AndersonCisco, San Jose, USADavid McGrewCisco, San Jose, USA

摘要：

Identifying threats contained within encrypted network traffic poses a unique set of challenges. It is important to monitor this traffic for threats and malware, but do so in a way that maintains the integrity of the encryption. Because pattern matching cannot operate on encrypted data, previous approaches have leveraged observable metadata gathered from the flow, e.g., the flow's packet lengths and inter-arrival times. In this work, we extend the current state-of-the-art by considering a data omnia approach. To this end, we develop supervised machine learning models that take advantage of a unique and diverse set of network flow data features. These data features include TLS handshake metadata, DNS contextual flows linked to the encrypted flow, and the HTTP headers of HTTP contextual flows from the same source IP address within a 5 minute window.

We begin by exhibiting the differences between malicious and benign traffic's use of TLS, DNS, and HTTP on millions of unique flows. This study is used to design the feature sets that have the most discriminatory power. We then show that incorporating this contextual information into a supervised learning system significantly increases performance at a 0.00% false discovery rate for the problem of classifying encrypted, malicious flows. We further validate our false positive rate on an independent, real-world dataset.

识别加密网络流量中包含的威胁会带来一系列独特的挑战。监视此流量中是否存在威胁和恶意软件很重要，但是必须以保持加密完整性的方式进行监视。由于模式匹配无法对加密数据进行操作，因此以前的方法已经利用了从流中收集的可观察到的元数据，例如流的数据包长度和到达时间。在这项工作中，我们通过考虑数据全能性来扩展当前的最新技术方法。为此，我们开发了受监督的机器学习模型，这些模型利用了一组独特且多样化的网络流数据特征。这些数据特征包括TLS握手元数据，链接到加密流的DNS上下文流以及5分钟内来自同一源IP地址的HTTP上下文流的HTTP标头。

我们首先展示数百万个唯一流上恶意流量和良性流量对TLS，DNS和HTTP的使用之间的区别。本研究用于设计具有最大区分能力的功能集。然后，我们表明，将这种上下文信息合并到有监督的学习系统中，可以对分类为加密的恶意流的问题以0.00％的错误发现率显着提高性能。我们还将在一个独立的真实数据集中验证我们的误报率。

https://dl.acm.org/citation.cfm?id=2996768

使用上下文流数据（背景流量数据）识别加密的恶意软件流量相关推荐

利用背景流量数据（contexual flow data）识别TLS加密恶意流量
识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等.来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为"dat ...
大数据架构详解_【数据如何驱动增长】（3）大数据背景下的数仓建设 amp; 数据分层架构设计...
背景了解数据仓库.数据流架构的搭建原理对于合格的数据分析师或者数据科学家来说是一项必不可少的能力.它不仅能够帮助分析人员更高效的开展分析任务,帮助公司或者业务线搭建一套高效的数据处理架构,更是能够从 ...
【工业大数据】大数据时代，计量服务将何去何从？
大数据的处理分析,正成为新一代信息技术融合应用的结点,而大数据之于计量服务领域将得到怎样的应用,又会起到怎样的影响.今天我们将从此点出发,谈谈计量服务领域的大数据变革. 大数据与企业隐私随着国家经济 ...
翻译：Identifying Encrypted Malware Trafﬁc with Contextual Flow Data利用上下文流数据识别加密恶意软件流量
利用上下文流数据识别加密恶意软件流量 blake anderson思科blake.anderson@cisco.com 摘要识别加密网络流量中包含的威胁是一组独特的挑战.监视此通信量以防威胁和恶意软 ...
基于机器学习和背景流量数据的加密恶意流量检测
文章目录 1 加密流量现状 1.1 加密流量检测的必要性 1.2 加密恶意流量的检测方法 2 加密流量特征分析 2.1 可观察的数据元统计特征 2.1.1 传统流数据 2.1.2 字节分布 2.1.3 ...
大数据背景下的高职院校信息化建设探索
在移动互联时代,数据获取方式发生了革命性的改变,数据的积累给规律探究和决策制定提供了第一手资料.呈几何级数增长的数据已成为新的资源,其价值将逐步被发掘,我们进入了大数据时代.大数据技术为校园信息化的发 ...
探索大数据背景下的基因研究
基于高性能计算集群这样的新一代测序器和快速演化分析平台,基因研究领域已经被海量数据淹没.众多基因.癌症.医学研究机构和制药公司不断产生的海量数据,已不再能被及时的处理并恰当的存储,甚至通过常规通讯线路 ...
【数据挖掘】1、综述：背景、数据的特征、数据挖掘的六大应用方向、有趣的案例
目录一.背景 1.1 学习资料 1.2 数据的特征 1.3 数据挖掘的应用案例 1.4 获取数据集 1.5 数据挖掘的定义二.分类三.聚类四.关联分析五.回归六.可视化七.数据预处理八 ...
流量数据特征相关与攻击
数据包根据网络协议的类型,数据包有不同的格式.数据包通常由两部分组成:数据包报头和它的有效负载报头负责引导包在网络中传输,并标记包的源信息.在许多数据收集方法中,报头对于识别和过滤数据包变得很重要 ...

使用上下文流数据（背景流量数据）识别加密的恶意软件流量

Identifying Encrypted Malware Traffic with Contextual Flow Data

使用上下文流数据（背景流量数据）识别加密的恶意软件流量相关推荐

最新文章

热门文章