网络加密流量识别与分析技术研究

　　目前，越来越多的网络通信采用了流量加密技术，以 Tor、SSL、VPN、DoH 为代表的加密应用得到了广泛使用。但是加密流量的应用给网络安全防护和监管带来了难题，如何识别分析和还原网络加密流量成为网络空间安全领域的重要研究方向。目前，业界从加密流量分类、参数识别、恶意流量识别等多个方面开展了深入研究，取得了显著的研究成果。本文将介绍主流的流量加密技术，并从多个角度进行对比分析，介绍目前的加密流量识别分析技术、应用场景和研究方向，总结分析加密流量分析技术存在的不足和难点问题，最后对该领域下一步研究路线进行展望。

　　目前，随着互联网技术的不断应用和发展，对网络安全应用提出了更高的要求，为了保障数据隐私安全，越来越多的网络通信采用了流量加密技术，加密流量在互联网流量中的占比持续增长。以 Tor、SSL、VPN、DoH 等为代表的加密技术得到了广泛的应用，Google等大型互联网企业也一直在推动加密技术的部署。然而，加密技术的快速应用也在改变着网络安全威胁的形势，攻击者已开始利用加密技术隐匿攻击路径和痕迹，多款恶意代码采用加密信道传输指令和远程窃密，建立在 Tor 基础上的暗网已经成为犯罪分子的聚集地。加密流量与非加密流量存在巨大差异，加密后符合的文本特征和流特征均已发生变化，传统的网络安全监测分析手段已无法识别基于流量的网络行为，隐匿于加密流量的恶意行为极易逃脱监管，需要对加密流量识别检测技术进行研究，利用新型方法实现加密流量识别和分析。

一、流量加密技术

　　随着密码技术、通信技术的发展和融合，目前流量加密技术已经非常成熟完善，加密应用场景、加密协议种类、加密效果不断强化，得到了广泛的应用。据外媒数据显示，全球使用 HTTPS 密的 Web 流量的比例已经超过了九成。HTTPS 网站加密传输协议几乎已经接近普及。

（1）网络流量

　　网络中的流量是信息的载体，在 TCP/IP 协议栈中的网络接口层表现为高低电平信号与二进制流文件，在网络层则表现为包含源地址与目的地址的数据包，在传输层表现为包含五元组数据的报文。

（2）加密协议

　　网络加密协议基于密码学，实现流量加密、数字签名、安全认证等网络安全加密服务，常见的加密协议有：网络授权协议 Kerberos、安全电子交易协议 SET、安全套接层协议 SSL、超文本传输安全协议HTTPS、安全电子邮件协议 S/MIME、网络层安全协议 IPSec 等。

二、加密流量识别研究进展

　　加密流量主要是指使用加密算法对明文网络流量进行加密，形成密文在网络中传输，以保障信息的安全。加密流量识别需要根据识别的流量对象与类型进而确定符合的识别方法。

（1）加密流量识别对象

　　目前，对于加密流量识别分析主要从协议、应用、服务等入手，对象包括流级、分组级、主机级和会话级，可实现协议识别、服务应用识别、异常流量分析提取和原始内容还原识别等。对于不同的识别对象和识别级别，采用的方法和算法也不尽相同。

（2）加密流量识别基本思路和方法

　　目前加密流量的识别方法有基于有效载荷、基于流量行为、基于机器学习、多种策略混合方法等，因为加密破译的成本高、难度大，大多数场景往往不需要还原流量全部内容，故通常采用类似侧信道的方法，通过对流量外部特征的总结归纳和学习，来建立识别分析模型，达到研究目的。

（3）加密流量识别研究场景和方法

　　加密与非加密流量识别，加密流量识别需要将加密流量从混杂的网络流量中分离出来。加密后的流量数据一般较为离散呈现分布均匀的特点，可以采用信息熵的方式进行检测。改进后的检测方法以比特为单位对流量数据进行随机采样，以提高检测的时效性。但是压缩后的流量数据与加密流量数据表现为相同的特征，可结合蒙特卡罗方进行精准分类。

　　加密流量应用服务识别，识别加密流量中的应用服务目前的常用方法是基于统计学对流量进行统计分类，在改进的算法中引入了机器学习算法进行分类识别，为了应对流量中的不相关特征降低分类结果，在改进的算法中采用了选择性集成的方法，提取特征较少且稳定的最有特征的子集进行机器学习分类。

　　TLS 加密流量分类，SSL/TLS 加密技术的广泛应用，保障了用户的数据安全，但是也给不法分子带来了可乘之机。传统的基于端口与有效载荷的方法很难对 SSL/TLS 进行精准分类，目前主要通过SSL/TLS 认证过程中的特征数据进行识别。在改进的算法中采用加权集成学习的方法，立马尔可夫链模型提升检测分类准确率。

　　HTTPS 加密流量分类，目前大部分主流网站都默认启用了HTTPS 协议，对 HTTPS 加密流量的识别分类问题成为了研究热点。目前的识别分类技术可以从 HTTPS 加密流量中识别用户的操作系统，浏览器和应用程序，并基于突发行为和 SSL 行为的特征模型，达到了较高识别准确率。

　　加密视频流量参数识别，在非加密场景下，ISP 服务商希望通过对视频服务质量进行监测和评估，利用深度包检测方式获取视频大小、可播放时间、码率等视频参数，优化视频体验指标。但在加密场景下，需要新的分析识别方法，目前可采用决策树算法，基于视频流量的传输模式，提取视频块特征建立码率和清晰度识别模型，进行分类识别。

　　加密恶意流量识别，越来越多的恶意程序通过加密信道传输控制指令和内容数据，如何识别此类恶意程序成为了网络安全的热点研究方向。通常加密恶意流量特征可以通过解析 HTTPS 数据包头部信息来获取，而包含这些信息的 TLS 握手协议在网络中通过明文传输，通过捕获网络数据包生成 pcap 文件，进行进一步的特征提取与识别。

　　网站指纹攻击技术，通过分析加密流量来识别网站访问日志的基础技术。目前主要基于机器学习中的神经网络学习对流量数据进行识别分类，用以区分内网用户使用加密信道或匿名网络访问的网站类型，尤其是针对访问非法网站、暗网、导致内网失泄密的网站等行为的识别检测。

（4）加密流量识别评价指标

　　目前，加密流量识别评价指标主要参照机器学习中性能评估指标包括准确率（Accuracy）、精确率（Precision）、召回率（Recall）、误报率（FPR）等，也可使用 F 值（FMEA）和完整性（cOMP）指标。

三、存在的难点问题

　　虽然，目前对于加密流量识别的研究已取得了较多成果，机器学习等智能算法在加密流量的识别中得到广泛应用大大提高了加密流量的识别检测率，但仍存在较多问题。

　　（1）能够用于加密流量识别研究的公开数据集非常少，缺乏必要的数据，导致无法有效进行机器学习的模型训练用以提升模型识别精度。

　　（2）目前已有研究成果都是实验或应用于小规模流量，未有大规模流量环境下的测试和部署施，算法的可扩展性有待检验，已无法满足当前加密流量快速增长的背景需求。

　　（3）目前流量伪装混淆技术与对抗机器学习识别技术的研究逐渐成熟，如可使用数据分组的凸优化方法，将流量数据伪装成正常流量数据的特征，实现对检测识别模型的对抗。

以下为隐藏内容，登录后可见。