基于Stacking的网络恶意加密流量识别方法
王天棋 丁要军
随着加密流量的普遍应用,许多恶意软件开始隐藏在传输层安全协议(Transport Layer Security,TLS)流量中传输恶意消息,对通信安全造成严重威胁,因此对TLS恶意加密流量进行识别,对打击网络犯罪有着重要意义。通过对恶意和正常加密流量的会话和协议进行分析,在传统会话统计特征的基础上,提取出握手特征和证书特征,在单一特征和多特征条件下对恶意加密流量进行识别,证明了多特征的方法能显著提升识别效果。此外,为解决单一的机器学习方法泛化能力弱的问题,提出了一种基于Stacking的网络恶意加密流量识别方法,所提模型分类ROC曲线下方的面积(Area Under Curve,AUC)和召回率分别达到99.7%和99.1%,在公开数据集上与XGBoost等其他4种算法对比证明,所提算法性能有明显提升。