基于Stacking与多特征融合的加密恶意流量检测 |
| |
引用本文: | 霍跃华,赵法起.基于Stacking与多特征融合的加密恶意流量检测[J].计算机工程,2023(5):165-172+180. |
| |
作者姓名: | 霍跃华 赵法起 |
| |
作者单位: | 1. 中国矿业大学(北京)机电与信息工程学院;2. 中国矿业大学(北京)网络与信息中心 |
| |
基金项目: | 国家重点研发计划(2016YFC0801800); |
| |
摘 要: | 加密技术保护网络通信安全的同时,大量恶意软件也采用加密协议来隐藏其恶意行为。在现有基于机器学习的TLS加密恶意流量检测模型中,存在单模型检测算法对多粒度特征适用性差和混合流量检测误报率高的问题。提出基于Stacking策略和多特征融合的非解密TLS加密恶意流量检测方法。分析加密恶意流量特征多粒度的特点,提取流量的流特征、连接特征和TLS握手特征。对所提取的特征通过特征工程进行规约处理,从而减少计算开销。对规约处理后的3类特征分别建立随机森林、XGBoost和高斯朴素贝叶斯分类器模型学习隐藏在流量内部的规律。在此基础上,使用流指纹融合处理后的多维特征,利用Stacking策略组合3个分类器,构成DMMFC检测模型来识别网络中的TLS加密恶意流量。基于CTU-13公开数据集对构建的模型进行性能评估,实验结果表明,该方法在二分类实验上识别召回率高达99.93%,恶意流量检测的误报率低于0.10%,能够有效检测非解密的TLS加密恶意流量。
|
关 键 词: | 加密恶意流量 TLS协议 Stacking策略 特征降维 多特征融合 |
|