译文_Identifying-Encrypted-Malware-Traffic-with-Contex.docx

Identifying Encrypted Malware Traffic with Contextual Flow Data 识别加密网络流量中包含的威胁会带来一系列独特的挑战。监视此流量中是否存在威胁和恶意软件很重要，但是必须以保持加密完整性的方式进行监视。由于模式匹配无法对加密数据进行操作，因此以前的方法已经利用了从流中收集的可观察到的元数据，例如流的数据包长度和到达时间。在这项工作中，我们通过考虑数据全能性来扩展当前的最新技术方法。为此，我们开发了受监督的机器学习模型，这些模型利用了一组独特且多样化的网络流数据功能。这些数据功能包括TLS握手元数据，链接到加密流的DNS上下文流以及5分钟内来自同一源IP地址的HTTP上下文流的HTTP标头。 我们首先展示数百万个唯一流上恶意流量和良性流量对TLS，DNS和HTTP的使用之间的区别。本研究用于设计具有最大区分能力的功能集。然后，我们表明，将这种上下文信息合并到有监督的学习系统中，可以对分类为加密的恶意流的问题以0.00％的错误发现率显着提高性能。我们还将在一个独立的真实数据集中验证我们的误报率。