基于Stacking与多特征融合的加密恶意流量检测

加密技术保护网络通信安全的同时，大量恶意软件也采用加密协议来隐藏其恶意行为。在现有基于机器学习的TLS加密恶意流量检测模型中，存在单模型检测算法对多粒度特征适用性差和混合流量检测误报率高的问题。提出基于Stacking策略和多特征融合的非解密TLS加密恶意流量检测方法。分析加密恶意流量特征多粒度的特点，提取流量的流特征、连接特征和TLS握手特征。对所提取的特征通过特征工程进行规约处理，从而减少计算开销。对规约处理后的3类特征分别建立随机森林、XGBoost和高斯朴素贝叶斯分类器模型学习隐藏在流量内部的规律。在此基础上，使用流指纹融合处理后的多维特征，利用Stacking策略组合3个分类器，构成DMMFC检测模型来识别网络中的TLS加密恶意流量。基于CTU-13公开数据集对构建的模型进行性能评估，实验结果表明，该方法在二分类实验上识别召回率高达99.93%，恶意流量检测的误报率低于0.10%，能够有效检测非解密的TLS加密恶意流量。