SSL VPN流量常常被一些非法应用利用,来绕过防火墙等安全设施的检测。因此,对SSL VPN加密流量的有效识别对网络信息安全具有重要意义。针对此,提出了一种基于Bit级DPI和深度学习的SSL VPN加密流量识别方法,所提方法分为两个步骤:利用Bit级DPI指纹生成技术识别SSL流量,缩小识别范围;再利用基于注意力机制的改进的CNN网络流量识别模型识别SSL VPN流量。该方法不仅有效解决了传统SSL加密流量指纹识别方法存在的漏识别率较高的问题,同时改进后的深度学习模型能提取网络流量中具有非常显著性的细粒度的特征,从而更加有效地捕捉网络流量中存在的依赖性。实验结果表明,该方法较现有的模型对SSL VPN加密流量的识别效果提高了6%以上。
SSL VPN traffic is often used by some illegal applications using SSL VPN to bypass the detection of security facilities such as firewalls. Therefore, the effective identification of SSL VPN encrypted traffic is of great significance to network information security. In view of this, this paper proposes a SSL VPN encrypted traffic identification method based on bit-level DPI and deep learning. The proposed method is divided into two steps:bit-level DPI fingerprint generation technology to identify SSL traffic and narrow the identification range; an improved CNN network traffic identification model based on attention mechanism to identify SSL VPN traffic. The proposed method not only effectively solves the problem of high rate of missing recognition in the traditional SSL traffic fingerprint identification method, but also the improved deep learning model can extract the very significant fine-grained features in the network traffic, so as to more effectively capture the dependency existing in the network traffic. The experimental results show that the proposed method is more than 6% better than the existing model in the identification of SSL VPN encrypted traffic.
互联网技术的高速发展,在为人们生活带来便利的同时,也会被一些犯罪分子用于不法传输,这对网络空间的稳定性及安全性产生了极大的影响,使得网络安全问题越来越受到人们的关注,因此,全球加密网络流量不断飙升。虽然流量经过加密后再传输,使得传输数据的安全性得到保障,但也为流量的审计增加了难度。
常用的 VPN 技术有 MPLS VPN、IPSEC VPN、SSLVPN 三种。MPLS VPN 主要应用在路由器和交换机等设备上,IPSEC VPN 是 IPSec 协议在 VPN 上的一种应用,SSL VPN 属于应用层 VPN 技术。相比于前两种在使用上更加便捷,这使得 SSL VPN 在安全传输中得到了广泛使用,但这也使得一些恶意流量有了可乘之机。一些非法应用利用SSL VPN来绕过防火墙等安全设施的检测。因此,对 SSL VPN 加密流量的有效识别对网络信息安全具有重要意义。
Shen等人通过增加Markov链的状态多样性,来建立二阶Markov链模型从而对HTTPS应用进行识别。程光等人采用相对熵区和蒙特卡洛仿真方法结合实现加密流量和非加密流量的识别,取得了不错的识别效果。Lotfollahi等人采用卷积神经网络模型对流量进行分类。赵博等人利用加密数据的随机性特点,对网络报文逐一实施累积和检验,最终,实现了对加密流量的普适识别。目前,对加密流量分类的相关文献取得不错的成果。
针对SSL流量的识别常采用机器学习的方法和指纹识别的方法,文献对SSH流量的识别问题展开研究,提出了一种SSH流量识别方法。该方法基于SSH协议建立连接阶段的特征,对使用SSL协议的流量进行识别。文献采用签名和统计相结合的方法,选择了13个特征字段和14个流属性,通过C4.5,NaiveBayesian和SVM等多种机器学习算法,对SSL协议流进行识别。
流量识别研究大多围绕对某种协议流量的识别展开,针对VPN流量识别的研究尚不足。西佛罗里达大学的研究人员对文献发布的数据集开展深一步的研究,比较了Logistic回归、朴素贝叶斯、SVM、KNN、RF和GBT方法的识别效果,并对算法参数进行了相应的优化,最终VPN流量达到了90%以上识别率。王琳等人提出一种将指纹识别与机器学习方法相结合识别SSLVPN流量,虽然取得了91%以上的识别率,但是该方法需要手工提取流的特征。
本文在现有研究基础上,提出一种基于Bit级DPI和深度学习的检测方法,分两步实现SSLVPN流量的识别。先使用本文提出的一种新的基于Bit级DPI的指纹生成技术——位编码,通过将流的少量初始位与生成的位指纹匹配,来判断当前数据包是否使用SSL协议、当前数据流是否为SSL流。对于第二阶段的SSLVPN流量识别,本文提出了一种基于注意力机制的改进的CNN网络流量识别模型,并与一般的CNN模型进行比较。实验结果表明,本文提出的方法不仅有效解决了SSL加密流量指纹识别方法存在的漏识别率较高的问题,同时改进后的深度学习模型,能提取网络流量中具有非常显著性的细粒度的特征,从而更加有效地捕捉网络流量中存在的依赖性,识别模型具有良好的实验效果。
一、相关工作
1.1 DPI识别技术
深度包检测技术(deep packet inspection,DPI)采用匹配特征字段对网络流量进行识别。许多基于DPI的检测方法使用有效负载内容生成特定于应用程序的指纹。DPI可快速准确地识别指纹库存在的流量,但也存在着致命的缺陷,DPI 识别依赖于应用协议特征字段,无法识别协议交互阶段加密数据和私有协议。但本文提出了一种基于 Bit 级 DPI 的指纹生成技术,用于快速筛选识别SSL协议流量,发挥了DPI识别速度快的优点,对识别模型预处理过程有很大的作用。
1.2 SSL协议
SSL(安全套接字协议)在传输层与应用层之间对网络连接进行加密,是一种为主机间通信提供安全的协议。SSL 协议由握手协议、记录协议、更改密文协议和警报协议组成。(文/王宇航 姜文刚 翟江涛 史正爽)
………………
面向SSL VPN加密流量的识别方法 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/bsCyYKNLbAb 提取码: d33m