文献类型：期刊文章

作　　者：韦佶宏[1] 郑荣锋[2] 刘嘉勇[1]

WEI Jihong;ZHENG Rongfeng;LIU Jiayong(College of Cybersecurity,Sichuan University,Chengdu 610065,China;College of Electronics and Information Engineering,Sichuan University,Chengdu 610065,China)

机构地区：[1]四川大学网络空间安全学院,成都610065 [2]四川大学电子信息学院,成都610065

出　　处：《计算机工程与应用》

基　　金：国家自然科学基金(61872255)。

年　　份：2021

卷　　号：57

期　　号：7

起止页码：107-114

语　　种：中文

收录情况：AJ、BDHX、BDHX2020、CSCD、CSCD_E2021_2022、IC、JST、RCCSE、ZGKJHX、核心刊

摘　　要：针对使用传统机器学习方法来识别恶意TLS流量受到专家经验的影响较大、识别与分类效果不理想的问题,提出了HNNIM(Hybrid Neural Network Identification Model)模型来进行识别与分类。模型由两层组成:第一层用于提取特征,第二层用于识别与分类。第一层中,提取的特征分为两部分,一部分特征由深度神经网络自动挖掘,另一部分特征根据专家经验选取,并由深度神经网络进一步筛选;第二层将第一层筛选出的特征进行聚合,采用全连接的深度神经网络进一步学习和拟合。通过分析大量TLS流量样本,最终选用TLS流量中的ClientHello与ServerHello消息报文与TCP协议交互信息这两部分来作为特征空间。实验的结果表明,HNNIM模型在恶意TLS流量的识别任务上关于恶意样本的F1值为0.989,较随机森林、SVM、XGBoost、卷积神经网络模型,在F1值上分别提升了0.016、0.016、0.019、0.043;在多分类任务上的平均准确率为89.28%,较随机森林、SVM、XGBoost、卷积神经网络模型分别提升了9.92%、9.09%、11.31%、7.03%。

关 键 词：TLS流量识别  恶意加密流量  传统机器学习  深度神经网络  特征自动挖掘  

分 类 号：TP393]