基于会话统计编码器的恶意加密流量检测方法研究

作     者：巩思越 刘辉 王宝会 

作者机构：北京航空航天大学软件学院 

出 版 物：《计算机科学》 (Computer Science)

年 卷 期：2024年

学科分类：0839[工学-网络空间安全] 08[工学] 

主　　题：会话 加密流量检测 编码器 

摘      要：随着网络技术的发展和广泛应用，加密流量已成为维护用户隐私的关键技术，但同时，恶意软件和攻击者也利用加密流量来隐藏其行为，规避传统的网络入侵检测系统。现有恶意加密流量检测方法存在一些问题，如基于统计特征的方法需要依赖专家经验进行特征提取，且不同协议的特征无法通用；基于原始输入的深度学习方法存在信息不完整和字段填充等数据问题，导致对加密流量交互行为的语义表征不足。为解决上述问题，本文提出了一种名为会话统计编码器模型CSEM（Conversation Statistic encoder model）的方法。该方法借鉴了transformer-encoder模型，引入了一种新的流量包特征解析方式，与传统的将字节流输入深度神经网络的模式不同。我们的方法能够针对每个流量包构建出固定长度的向量表示，并且无需进行零填充，同时避免了特征提取过程对具体加密协议的依赖，构建了一个混合深度神经网络，为恶意加密流量检测提供了一种新的思路。通过在DataCon和自建数据集上进行验证，在DataCon公开数据集上实验结果的召回率达到0.9911，精确率达到0.9407，F1值达到了0.9652，达到了目前的最佳水平，相比于随机森林模型F1值提升了9%。