网络攻击检测在网络安全中扮演着重要角色.网络攻击检测的对象主要为僵尸网络、SQL注入等攻击行为.随着安全套接层/安全传输层(SSL/TLS)加密协议的广泛使用,针对SSL/TLS协议本身发起的SSL/TLS攻击日益增多,因此通过搭建网络流采集环境,构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集.针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题,提出流谱理论,将网络空间中的威胁行为通过"势变"过程从原始时空域空间映射到变换域空间,具象为"势变谱",形成可分离、可观测的特征表示集合,实现对网络流的高效分析.流谱理论在实际网络空间威胁行为检测中的应用关键是在给定变换算子的情况下,针对特定威胁网络流找到势变基底矩阵.由于SSL/TLS协议在握手阶段存在着强时序关系与状态转移过程,同时部分SSL/TLS攻击间存在相似性,因此对于SSL/TLS攻击的检测不仅需要考虑时序上下文信息,还需要考虑对SSL/TLS网络流的高分离度的表示.基于流谱理论,采用威胁模板思想提取势变基底矩阵,使用基于长短时记忆单元的势变基底映射,将SSL/TLS攻击网络流映射到流谱域空间.在自建SSL/TLS攻击网络流数据集上,通过分类性能对比、势变谱降维可视化、威胁行为特征权重评估、威胁行为谱系划分评估、势变基底矩阵热力图可视化等手段,验证了流谱理论的有效性.

安全套接层/安全传输层攻击;网络流检测;流谱理论;长短时记忆

郭世泽;张帆;宋卓学;赵子鸣;赵新杰;王小娟;罗向阳

浙江大学计算机科学与技术学院,浙江杭州310027;浙江大学网络空间安全学院,浙江杭州310027;浙江大学控制科学与工程学院,浙江杭州310027;浙江省区块链与网络空间治理重点实验室,浙江杭州310027;移动终端安全浙江省工程实验室,浙江杭州310027;北京邮电大学电子工程学院,北京100876;信息工程大学河南省网络空间态势感知重点实验室,河南郑州450001

网络与信息安全学报

[1]郭世泽;张帆;宋卓学;赵子鸣;赵新杰;王小娟;罗向阳-.基于流谱理论的SSL/TLS协议攻击检测方法)[J].网络与信息安全学报,2022(01):30-40

流谱理论,网络流检测

SSL,TLS,协议攻击,网络攻击检测,僵尸网络,SQL,攻击行为,安全套,套接,安全传输,传输层,加密协议,建网,流数据,可观测性,时空域,分离性,出流,网络空间,空间映射,射到,变换域,具象,可分离,特征表示,高效分析,空间威胁,行为检测,换算,在握,握手,时序关系,状态转移,上下文信息,分离度,取势,长短时记忆单元,谱域,分类性能,性能对比,行为特征,特征权重,行为谱系,热力图,图可视化

0.282496