针对煤矿网络面临由恶意软件所产生的安全传输层协议(TLS)加密恶意流量威胁和检测过程加密流量误报率高的问题,提出了一种基于多特征融合的煤矿网络TLS加密恶意流量检测方法.分析了 TLS加密恶意流量特征多元异构的特点,提取出煤矿网络TLS加密恶意流在传输过程中的连接特征、元数据和TLS加密协议握手特征,利用流指纹方法构造煤矿网络TLS加密流量特征集,并对该特征集中的特征进行标准化、独热编码和规约处理,从而得到一个高效样本集.采用决策树(DT)、K近邻(KNN)、高斯朴素贝叶斯(GNB)、L2逻辑回归(LR)和随机梯度下降(SGD)分类器5个子模型对上述特征集进行检验.为提高检测模型的鲁棒性,结合投票法原理将5个分类器子模型结合,构建了多模型投票(MVC)检测模型:将5个分类器子模型作为投票器,每个分类器子模型单独训练样本集,按照少数服从多数原则进行投票,得到每个样本的最终预测值.实验验证结果表明:所构建的特征集降低了样本集维度,提高了 TLS加密流量检测效率.DT分类器和KNN分类器在数据集上表现最好,达到了 99％以上的准确率,但是它们存在过拟合风险;LR分类器和SGD分类器子模型虽然也达到了90％以上的识别准确率,但这2个子模型的误报率过高;GNB分类器子模型表现最差,准确率只有82％,但该子模型具有误报率低的优势.MVC检测模型在数据集上准确率和召回率达99％以上,误报率为0.13％,提高了加密恶意流量的检出率,加密流量检测误报率为0,其综合性能优于其他分类器子模型.

煤矿网络;安全入侵检测;安全传输层协议;TLS;加密恶意流量;机器学习;多特征融合;多模型投票检测

霍跃华;赵法起;吴文昊

中国矿业大学(北京)机电与信息工程学院,北京 100083;中国矿业大学(北京)网络与信息中心,北京 100083

工矿自动化

[1]霍跃华;赵法起;吴文昊-.多特征融合的煤矿网络加密恶意流量检测方法)[J].工矿自动化,2022(07):142-148

煤矿网络,多模型投票检测

多特征融合,加密恶意流量检测,恶意软件,安全传输层协议,TLS,检测过程,加密流量,误报率,流量特征,多元异构,异构的,输过,元数据,加密协议,握手,指纹,构造煤,征集,独热编码,规约,采用决策,决策树,DT,近邻,KNN,朴素贝叶斯,GNB,L2,逻辑回归,LR,随机梯度下降,SGD,分类器,子模型,高检,检测模型,投票法,MVC,训练样本集,服从,检测效率,过拟合,识别准确率,有误,召回率,安全入侵检测

0.222507