摘要
超文本传输安全协议(HyperTextTransferProtocoloverSecureSocketLayer,
HTTPS)是在超文本传输协议的基础上增加传输层安全协议进行扩展从而保证用
户数据的完整性和机密性。但是,近年来越来越多的不法分子利用HTTPS加密技
术来掩盖自己的攻击行为,从而逃避检测,给网络空间带来的巨大的安全隐患。因
此,恶意软件加密流量检测是网络空间安全领域的研究热点之一。
传统流量检测是对数据包中的明文负载进行检测,称为深度包检测方法,但
是随着HTTPS的广泛应用,传统方法已经不适用。研究人员提出对加密流量进行
人工特征提取,利用机器学习分类算法进行分类检测。但受制于专业知识的局限,
这类方法在鲁棒性以及准确性上表现不佳。之后,研究人员希望借助深度神经网
络进行自动的特征提取,但这仍存在难题:一是需要大量的标记数据集进行训练,
而恶意软件更新迭代速度快,难以收集大量的数据集,二是在面对新出现的恶意
流量样本,需要重新对模型进行训练才能进行检测。
为了有效检测HTTPS恶意流量,本文提出了一种基于多视角的HTTPS恶意
软件流量检测方法,从多个视角对流量样本进行分析,最大程度分析恶意流量样
本的特点。将加密流量分为可观察和加密负载两部分,对可观察部分从包长分布,
流统计信息,TLS握手和证书信息三个视角出发分别构建对应的分类器进行检测;
对加密负载部分,本文提出将元学习算法应用到HTTPS恶意软件流量检测中,解
决现有基于深度学习方法中存在的难题。其中,在将加密流量特征嵌入元学习过
程中,根据加密负载的字节流特点设计了ResNet50残差网络进行特征嵌入元学
习。最终,采用投票机制来综合考虑可观测部分和加密负载部分的检测结果。同
时,本文还根据所提出的方法设计了原型系统以用于实时或离线的流量样本检测。
在实验环节,通过捕获恶意软件流量和公开数据集相结合作为数据集,并划
分为已知训练集和未知验证集对本文提出的方法进行测试,同时与其他恶意加密
流量检测方法进行了对比试验,实验表明本文所提出的检测方法在准确率和精确
率上有所提高,特别是在面对未知验证集时,对比试验的准确率大幅下降,本文
方法仍可以具有较高的准确率,最终的检测准确率可达97.4%。
关键词:HTTPS,恶意软件,流量检测,多视角,ResNet,元学习
I
ABSTRACT
ABSTRACT
TheHyperTextTransferProtocoloverSecureSocketLayer(HTTPS)isanextension
oftheTransportLayerSecurityprotocolbasedontheHypertextTransferProtocoltoen-
suredataintegrityandconfidentiality.However,inrecentyears,moreandmorecriminals
useHTTPSencryptiontechnologytocoverupattacksandevadedetection,whichbrings
hugesecurityriskstotheinternetspace.Therefore,malwareencryptedtrafficdetection
isoneoftheresearchhotspotsinthefieldofinternetspacesecurity.
Thetraditionaltrafficinspectionistodetecttheplaintextloadinthedatapacket,
whichiscalledthedeeppacketinspectionmethod,butwiththewideapplicationofHTTPS,
thetraditionalmethodisnolongerapplicable.Theresearchersproposetoperformartifi-
cialfeatureextrac