郭世澤，張帆, 2，宋卓學，趙子鳴，趙新杰，王小娟，羅向陽

基于流譜理論的SSL/TLS協(xié)議攻擊檢測方法

郭世澤1,2,3，張帆1, 2,3,4，宋卓學1,2,3,5，趙子鳴1,2,3，趙新杰1,2,3，王小娟6，羅向陽7

（1. 浙江大學計算機科學與技術學院，浙江 杭州 310027；2. 浙江大學網絡空間安全學院，浙江 杭州 310027；3. 浙江大學控制科學與工程學院，浙江 杭州 310027；4. 浙江省區(qū)塊鏈與網絡空間治理重點實驗室，浙江 杭州 310027；5. 移動終端安全浙江省工程實驗室，浙江 杭州 310027；6. 北京郵電大學電子工程學院，北京 100876；7. 信息工程大學河南省網絡空間態(tài)勢感知重點實驗室，河南 鄭州 450001）

網絡攻擊檢測在網絡安全中扮演著重要角色。網絡攻擊檢測的對象主要為僵尸網絡、SQL注入等攻擊行為。隨著安全套接層/安全傳輸層（SSL/TLS）加密協(xié)議的廣泛使用，針對SSL/TLS協(xié)議本身發(fā)起的SSL/TLS攻擊日益增多，因此通過搭建網絡流采集環(huán)境，構建了包含4種SSL/TLS攻擊網絡流與正常網絡流的網絡流數(shù)據集。針對當前網絡攻擊流檢測的可觀測性有限、網絡流原始時空域分離性有限等問題，提出流譜理論，將網絡空間中的威脅行為通過“勢變”過程從原始時空域空間映射到變換域空間，具象為“勢變譜”，形成可分離、可觀測的特征表示集合，實現(xiàn)對網絡流的高效分析。流譜理論在實際網絡空間威脅行為檢測中的應用關鍵是在給定變換算子的情況下，針對特定威脅網絡流找到勢變基底矩陣。由于SSL/TLS協(xié)議在握手階段存在著強時序關系與狀態(tài)轉移過程，同時部分SSL/TLS攻擊間存在相似性，因此對于SSL/TLS攻擊的檢測不僅需要考慮時序上下文信息，還需要考慮對SSL/TLS網絡流的高分離度的表示?；诹髯V理論，采用威脅模板思想提取勢變基底矩陣，使用基于長短時記憶單元的勢變基底映射，將SSL/TLS攻擊網絡流映射到流譜域空間。在自建SSL/TLS攻擊網絡流數(shù)據集上，通過分類性能對比、勢變譜降維可視化、威脅行為特征權重評估、威脅行為譜系劃分評估、勢變基底矩陣熱力圖可視化等手段，驗證了流譜理論的有效性。

安全套接層/安全傳輸層攻擊；網絡流檢測；流譜理論；長短時記憶

0 引言

當今互聯(lián)網中90%以上的網絡流數(shù)據已采用安全套接層/安全傳輸層（SSL/TLS）協(xié)議加密[1]。與此同時，針對SSL/TLS協(xié)議的攻擊行為層出不窮[2]，一些典型的攻擊會造成受害者個人隱私的泄露。SSL/TLS攻擊檢測的過程以網絡流數(shù)據為輸入，通過網絡流檢測相關方法對SSL/TLS攻擊行為進行識別，并將其報告給網絡管理人員。

當前對于攻擊行為的網絡流檢測主要聚焦于典型的攻擊策略，如SQL注入、僵尸網絡，對SSL/TLS攻擊的關注較少。然而，在過去的幾年，發(fā)生了許多針對SSL/TLS的攻擊，如POODLE攻擊、BREACH攻擊，并造成了重大影響[2]。因此，本文重點關注SSL/TLS攻擊流的檢測。

隨著加密網絡流在互聯(lián)網占比的不斷提高，傳統(tǒng)的基于端口號[3]、基于負載[4]的網絡流檢測方法已不再適用，基于機器學習和深度學習的網絡流檢測方法已成為網絡流檢測的主流方法[5]。然而，基于機器學習和深度學習的網絡流檢測方法存在一定的問題。一方面，基于機器學習和深度學習的網絡流檢測方法更多的是一種黑盒模型，缺乏對檢測分析結果的可觀測能力。另一方面，基于機器學習和深度學習的網絡流檢測方法主要在網絡流原始時空域空間中進行分析，在原始時空域空間網絡流有限的分離性，會導致訓練的模型存在一定的瓶頸。

本文針對上述問題，提出流譜理論，通過流譜理論，實現(xiàn)對網絡攻擊流的高效分析。本文的主要貢獻有以下幾點：

1) 通過搭建SSL/TLS攻擊流采集環(huán)境，構建了包含4種典型SSL/TLS攻擊流的數(shù)據集；

2) 提出了流譜理論，通過對復雜網絡流進行變換映射，達成可分離、可觀測的網絡流檢測，實現(xiàn)對網絡攻擊流的高效分析；

3) 在SSL/TLS攻擊流上對流譜理論的有效性進行驗證，提供了網絡流檢測分析的新視角。

本文首先對SSL/TLS協(xié)議攻擊與網絡流檢測相關工作進行介紹，之后闡述流譜理論以及基于流譜理論的SSL/TLS攻擊檢測方法，最后通過實驗對方法的可分離性、可觀測性進行評估。

1 相關工作

1.1 SSL/TLS攻擊

SSL/TLS協(xié)議[6-7]位于傳輸層與應用層之間，對應用層數(shù)據進行加密，保障數(shù)據傳輸?shù)臋C密性與完整性。SSL/TLS協(xié)議主要由握手協(xié)議與記錄協(xié)議組成，其中握手協(xié)議負責在會話初始階段完成通信雙方的認證與密鑰交換，記錄協(xié)議負責對數(shù)據進行加密。針對SSL/TLS的攻擊往往發(fā)生在握手階段，因此本文主要對握手階段的網絡流進行檢測。

SSL/TLS攻擊指的是攻擊者通過利用協(xié)議本身的設計漏洞、協(xié)議的實現(xiàn)漏洞或證書漏洞，達到竊取受害者隱私數(shù)據的目的。SSL/TLS攻擊種類繁多，本文選取了4種典型的SSL/TLS攻擊作為研究對象，分別是POODLE（padding oracle on downgraded legacy encryption）攻擊[8]、BREACH（browser reconnaissance and exfiltration via adaptive compression of hypertext）攻擊[9]、RC4NOMORE攻擊[10]與THC-SSL-DoS攻擊。POODLE攻擊通過利用SSL 3.0中CBC加密模式的漏洞達到攻擊目的。盡管SSL 3.0已經不被推薦使用，但許多客戶端與服務器保留了降級選項，從而被攻擊者利用。BREACH攻擊是一種針對HTTPS壓縮的側信道攻擊。攻擊者利用HTTPS壓縮算法DEFLATE產生的壓縮數(shù)據模式，可以猜測出用戶數(shù)據。RC4NOMORE攻擊利用密鑰流中的統(tǒng)計偏差信息，通過產生大量的請求并通過最大似然估計法得到用戶會話數(shù)據。THC-SSL-DoS攻擊利用SSL/TLS握手協(xié)商階段密鑰計算驗證過程，產生大量的重協(xié)商報文，要求服務器不斷進行密鑰計算驗證，從而消耗服務器的資源。

1.2 SSL/TLS網絡流檢測相關工作

SSL/TLS加密網絡流的檢測工作主要側重于識別SSL/TLS協(xié)議加密傳輸?shù)木W絡流類型，包括加密應用網絡流識別與加密惡意網絡流識別。在加密應用網絡流識別方面，Korczyński等[11]應用一階馬爾可夫鏈對SSL/TLS加密應用網絡流構建指紋，從而對網絡流進行識別分類。Shen等[12]通過使用二階馬爾可夫鏈進一步提高了加密應用網絡流指紋的可靠性與網絡流識別分類的準確性。Liu等[13]提出了一種端到端的網絡架構FS-Net，在加密應用網絡流分類上，該架構的精確率達到了99.14%。在加密惡意網絡流識別方面，Radford等[14]將循環(huán)神經網絡應用于入侵網絡流檢測，采用LSTM捕捉網絡流在時序上的上下文信息。Mirsky等[15]提出了Kitsune，通過集成自動編碼器提取正常與異常網絡流模式，實現(xiàn)加密惡意網絡流的熱插拔識別。Fu等[16]提出了一種實時魯棒的加密惡意網絡流檢測框架Whisper，通過使用傅里葉變換提取加密惡意網絡流的頻域特征，使網絡流檢測不易受到躲避攻擊，更具有魯棒性。

1.3 公開問題

SSL/TLS加密網絡流的檢測工作主要側重于識別SSL/TLS協(xié)議加密傳輸?shù)木W絡流類型，包括加密應用網絡流識別與加密惡意網絡流識別，缺乏對于SSL/TLS協(xié)議攻擊網絡流的檢測識別，SSL/TLS協(xié)議攻擊網絡流的檢測識別是SSL/TLS加密網絡流檢測的公開問題之一。同時，SSL/TLS加密網絡流主要基于機器學習和深度學習方法在網絡流原始時空域空間中的分析。因此，尋找可觀測性強、可分離度高的網絡流變換域，在變換域上對網絡流作進一步分析，是SSL/TLS加密網絡流檢測的公開問題之一。

2 流譜理論

光學頻譜（光譜）、聲音頻譜（聲譜）等都是對信號在頻域中的觀測表達，是分析復雜信號的一種方法，將復雜的信號表征成分離度更高、觀測性更強的形式。在實際網絡空間中，原始網絡流由一系列數(shù)據包組成，往往呈現(xiàn)出復雜性、耦合性，且由于攻擊方式日益復雜多樣，難以從原始網絡流中形成對威脅行為全面、系統(tǒng)、深刻的認識?；跈C器學習和深度學習的網絡流檢測方法主要在網絡流原始時空域空間中進行分析。流量數(shù)據在時空域分布空間的分離性和表征性，會決定模型檢測的上限。因此，本文借鑒光譜、聲譜的思想，提出流譜理論。

流譜理論通過將網絡空間中的復雜原始網絡流按某種時域到某變換域的映射方法，形成可分離、可觀測的特征表示集合，實現(xiàn)對網絡流的高效分析。具體到網絡空間中的威脅行為映射，則具象為“勢變譜”，威脅行為從原始時空域空間映射到變換域空間的過程叫作“勢變”。

流譜理論在實際網絡空間威脅行為檢測中的應用關鍵是在給定變換算子的情況下，針對特定威脅網絡流找到勢變基底矩陣。

Figure 1 The transformation process of flow spectrum theory on network flow

3 基于流譜理論的SSL/TLS攻擊檢測

SSL/TLS協(xié)議在握手階段存在強時序關系與狀態(tài)轉移過程，同時部分SSL/TLS攻擊間存在相似性，因此對于SSL/TLS攻擊的檢測不僅需要考慮時序上下文信息，還需要考慮對SSL/TLS網絡流的高分離度的表示。本文基于流譜理論，采用威脅模板思想提取勢變基底，使用基于長短時記憶單元的勢變基底映射將SSL/TLS攻擊網絡流映射到流譜域空間得到可觀測、可分離的勢變譜，實現(xiàn)對SSL/TLS攻擊網絡流的高效分析。

3.1 基于長短時記憶單元的網絡流變換

本文采用長短時記憶（LSTM，long short-term memory）單元[17]作為變換算子實現(xiàn)網絡流變換。長短期記憶網絡是一種特殊的循環(huán)神經網絡，能夠學習長期時序依賴關系。由于其特殊的推理結構，現(xiàn)在被廣泛應用于處理時序數(shù)據。

LSTM單元的結構如圖2所示，整體由遺忘門（藍色方塊）、更新門（紅色方塊）和輸出門（紫色方塊）組成。

圖2 LSTM單元的結構

Figure 2 Architecture of an LSTM cell

時刻更新門的輸出為

時刻輸出門的輸出為

時刻的隱藏狀態(tài)可以按式(5)更新

3.2 基于威脅模板的勢變基底提取

在實際網絡空間中，威脅行為繁多復雜。但對于每種威脅行為，其背后存在固定的威脅行為模式，稱之為威脅行為的模板。如果對于威脅行為，能夠在變換域中找到其模板，那么針對其攻擊過程的網絡流量，通過流譜勢變進行映射，便可以在變換域中計算其與模板的距離，從而判斷并識別攻擊。性質良好的勢變基底應該能使同一類威脅行為網絡流在變換后離威脅模板近，不同類威脅行為網絡流在變換后離威脅模板遠。

本文提出一種基于威脅模板的勢變基底提取算法，其流程如圖3所示。

圖3 基于威脅模板的勢變基底提取算法流程

Figure 3 Algorithm flow of behavior base extraction based on threat template

具體算法步驟如下。

算法1 基于威脅模板的勢變基底提取算法

以上算法完成后，可以得到每種威脅行為的勢變基底，從而可以對威脅行為網絡流進行勢變映射，轉化為流譜域下的勢變譜，實現(xiàn)對網絡流可分離、可觀測的高效分析。

3.3 基于距離計算的威脅譜系分類

在得到每種威脅行為的勢變基底與模板后，可以對威脅進行分類，實現(xiàn)威脅行為網絡流的可分離。

4 實驗評估

4.1 實驗準備

本文針對目前缺乏公共SSL/TLS攻擊網絡流數(shù)據集的問題，通過搭建SSL/TLS攻擊網絡流采集環(huán)境，構建了包含4種典型SSL/TLS攻擊網絡流與正常網絡流的數(shù)據集。4種典型攻擊包括POODLE攻擊、BREACH攻擊、RC4NOMORE攻擊和THC-SSL-DoS攻擊。圖4是SSL/TLS攻擊的整體示意，包含3部分：存在漏洞的服務器、受害客戶端和中間人代理。

圖4 SSL/TLS攻擊整體示意

Figure 4 Schematic diagram of the attack scenario

對于POODLE攻擊、BREACH攻擊與RC4NOMORE攻擊，攻擊過程大致如下。

步驟1 攻擊者建立一個中間人代理，劫持客戶端與服務器間的通信。

步驟2 攻擊者將惡意代碼注入客戶端并通過跨站腳本攻擊等手段運行惡意代碼。

步驟3 攻擊者通過分析中間人代理捕獲的網絡流數(shù)據，從密文中恢復明文。

對于THC-SSL-DoS攻擊，不需要劫持客戶端與服務器間的通信，只需要在客戶端上運行攻擊工具即可對服務器發(fā)起攻擊。

對于BREACH攻擊，本文使用rupure（一種發(fā)起B(yǎng)REACH攻擊與其他基于壓縮算法攻擊的框架）發(fā)起攻擊。對于THC-SSL-DoS攻擊，本文使用Kali Linux上的THC-SSL-DoS攻擊工具發(fā)起攻擊。對于POODLE攻擊與RC4NOMORE攻擊，沒有現(xiàn)有工具可以使用，本文使用JavaScript腳本與shell腳本實現(xiàn)了這兩種攻擊。

除了攻擊網絡流，本文通過使用自動化框架selenium[20]模仿正常用戶行為采集了正常網絡流。具體過程為解析頁面上的所有鏈接，每間隔一段隨機時間，隨機選取某個鏈接進行訪問。

實驗在本地搭建配置了含有SSL/TLS漏洞的服務器，通過編寫腳本、使用現(xiàn)有工具發(fā)起攻擊并捕獲網絡流。本文使用tshark[21]工具捕獲網絡流，生成pcap格式數(shù)據包捕獲文件，每個pcap是一個樣本，包含一次客戶端與服務器間的完整會話過程。

本文采集的SSL/TLS攻擊數(shù)據集樣本數(shù)如表1所示。

表1 采集的SSL/TLS攻擊數(shù)據集樣本數(shù)

實驗采用的原始行為特征為數(shù)據包的協(xié)議字段，具體如表2所示。

為了避免實驗偶然性，本文采用十折交叉驗證方法，將數(shù)據集分成10份，輪流選取其中9份作為訓練數(shù)據，剩余1份作為測試數(shù)據，最終評估時取平均值作為結果。

實驗使用的計算機配置為Intel Xeon CPU E5-2678 v3 @ 2.50 GHz，64 GBRAM，安裝有Ubuntu 18.04 LTS。

表2 原始行為特征使用的協(xié)議字段

4.2 評估指標

實驗的評估指標主要為分類指標，分類指標中的相關參數(shù)定義如表3所示。由于本文的威脅行為分類為多分類問題，因此在具體關注某一類的分類指標時，該類即為正例，其他類則為負例。總體的分類指標則定義為各類分類指標的樣本數(shù)加權平均。

表3 分類指標相關參數(shù)定義

表4 原始行為特征矩陣與勢變譜的分類結果對比

根據表3，定義準確率（Accuracy）為

精確率（Precision）和召回率（Recall）定義為

定義精確率和召回率的調和平均為1值。

4.3 威脅可分離性評估

對變換前的原始行為特征矩陣與變換后的勢變譜矩陣進行可視化，觀察勢變基底變換對網絡流可分離性的影響。由于原始行為特征矩陣與勢變譜矩陣均處于高維空間中，無法直接進行可視化展示，因此使用t-SNE[19]降維方法對矩陣進行降維處理，轉化到二維平面進行可視化展示，結果如圖5所示。

圖5 原始行為特征矩陣（左）與勢變譜（右）t-SNE降維可視化結果

Figure 5 Original behavior feature matrix (left) and potential spectrum (right) t-SNE dimensionality reduction visualization results

從圖5可以看出，通過流譜勢變基底變換后，在原域空間中耦合在一起的網絡流被分離開，且聚集在各威脅行為的模板（圖中紅點）周圍。

原始行為特征矩陣與勢變譜的分類結果對比如表4所示，表中對比了直接在原始行為特征矩陣上使用LSTM進行威脅行為分類與使用勢變譜進行威脅行為分類的結果。

從表4可以看到，本文提出的流譜理論能夠提高網絡流分類的準確率、精確率、召回率和1值，相比直接在原始行為特征矩陣上使用LSTM進行威脅行為分類，使用勢變譜分類在準確率、精確率、召回率和1值上各有7%左右的提升。因此，通過利用勢變基底將原始行為特征矩陣映射到勢變譜，提高了網絡流的可分離性，從而能夠實現(xiàn)對網絡流的高效分析。

4.4 威脅特征權重評估

對于4種SSL/TLS威脅行為，根據式(11)的特征重要性計算方法，對每一類威脅行為分別計算特征重要性，取每一類行為前5重要的特征繪制特征重要性排序圖，如圖6所示。

從圖6可以看到，4種SSL/TLS威脅行為的特征重要性排序各不相同。例如，對于THC-SSL-DoS攻擊行為，其前5最重要的特征分別為ClientKeyExchange：Version；ClientHello：Version；HandshakeMessage：Version；ServerHello：Version；Certificate：Version，說明對THC-SSL-DoS威脅行為更關注ClientKeyExchange、HandshakeMessage報文特征，這符合THC-SSL-DoS攻擊行為的模式，其正是利用SSL/TLS握手協(xié)商階段密鑰計算驗證過程，產生大量的重協(xié)商報文，要求服務器不斷進行密鑰計算驗證，從而消耗服務器的資源。

圖6 4種SSL/TLS威脅行為前5特征重要性

Figure 6 The importance of the top 5 features of the 4 SSL/TLS attacks

4.5 威脅譜系劃分評估

圖7 4種SSL/TLS攻擊行為與正常網絡流間的譜系圖

Figure 7 Genealogy diagram between 4 SSL/TLS attack behaviors and normal traffic

從圖7可以看到，POODLE攻擊與BREACH攻擊間的距離較近，這主要因為POODLE攻擊與BREACH攻擊都是利用SSL/TLS會話用戶數(shù)據加密、壓縮中的漏洞達到竊取用戶會話數(shù)據的目的。

對4種SSL/TLS威脅行為的勢變基底矩陣進行可視化展示，其結果如圖8所示。

圖8 4種SSL/TLS威脅行為勢變基底矩陣

Figure 8 The potential base matrix of4 SSL/TLS attacks

從圖8可以看到，不同威脅行為其勢變基底矩陣各不相同。圖中顏色較深區(qū)域說明該處的絕對值較大，對輸入的敏感程度更強，在一定限度上反映了不同威脅的行為特征。

5 結束語

相比于常見的攻擊行為網絡流檢測，本文重點關注SSL/TLS攻擊網絡流的檢測識別，通過搭建網絡流采集環(huán)境，構建了包含4種SSL/TLS攻擊網絡流與正常網絡流的數(shù)據集。針對基于機器學習和深度學習的網絡流檢測方法可觀測性有限、原始網絡流時空域的分離性有限問題，提出了流譜理論，通過將網絡空間中的復雜原始網絡流按某種時域到某變換域的映射方法，形成可觀測、可分離的特征表示集合，實現(xiàn)對網絡流的高效分析。本文以LSTM作為變換算子，基于威脅模板的思想提取勢變基底變換矩陣，在自建SSL/TLS攻擊網絡流數(shù)據集上進行了流譜理論的實驗驗證，說明了流譜理論具有較好的可觀測性與可分離性，為威脅行為網絡流分析提供了一種新視角。

[1] GURUBARAN S. Cisco encrypted traffic analytics white paper [EB].

[2] SHEFFER Y, HOLZ R, SAINT-ANDRE P. Summarizing known attacks on transport layer security (TLS) and datagram TLS (DTLS)[J]. Internet Engineering Task Force Request for Comments, 2015, 7457.

[3] MCPHERSON J, MA K L, KRYSTOSK P, et al. Portvis: a tool for port-based detection of security events[C]//Proceedings of the 2004 ACM workshop on Visualization and Data Mining for Computer Security. 2004: 73-81.

[4] FINSTERBUSCH M, RICHTER C, ROCHA E, et al. A survey of payload-based traffic classification approaches[J]. IEEE Communications Surveys & Tutorials, 2013, 16(2): 1135-1156.

[5] CAO Z, XIONG G, ZHAO Y, et al. A survey on encrypted traffic classification[C]//International Conference on Applications and Techniques in Information Security. 2014: 73-81.

[6] FREIER A, KARLTON P, KOCHER P. The secure sockets layer (SSL) protocol version 3.0[R]. RFC 6101, 2011.

[7] RESCORLA E, DIERKS T. The transport layer security (TLS) protocol version 1.3[J]. 2018.

[8] M?LLER B, DUONG T, KOTOWICZ K. This POODLE bites: exploiting the SSL 3.0 fallback[J]. Security Advisory, 2014, 21: 34-58.

[9] GLUCK Y, HARRIS N, PRADO A. BREACH: reviving the CRIME attack[J]. Unpublished manuscript, 2013.

[10] VANHOEF M, PIESSENS F. All your biases belong to us: Breaking RC4 in WPA-TKIP and TLS[C]//24th USENIX Security Symposium {USENIX} Security. 2015: 97-112.

[11] KORCZY?SKI M, DUDA A. Markov chain fingerprinting to classify encrypted traffic[C]//IEEE INFOCOM 2014-IEEE Conference on Computer Communications. 2014: 781-789.

[12] SHEN M, WEI M, ZHU L, et al. Classification of encrypted traffic with second-order markov chains and application attribute bigrams[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(8): 1830-1843.

[13] LIU C, HE L, XIONG G, et al. Fs-net: a flow sequence network for encrypted traffic classification[C]//IEEE INFOCOM 2019-IEEE Conference on Computer Communications. 2019: 1171-1179.

[14] RADFORD B J, APOLONIO L M, Trias A J, et al. Network traffic anomaly detection using recurrent neural networks[J]. arXiv preprint arXiv:1803.10769, 2018.

[15] MIRSKY Y, DOITSHMAN T, ELOVICI Y, et al. Kitsune: an ensemble of autoencoders for online network intrusion detection[J]. arXiv preprint arXiv:1802.09089, 2018.

[16] FU C, LI Q, SHEN M, et al. Realtime robust malicious traffic detection via frequency domain analysis[C]//Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security. 2021: 3431-3446.

[17] HOCHREITER S, SCHMIDHUBER J. Long short-term memory[J]. Neural Computation, 1997, 9(8): 1735-1780.

[18] SNELL J, SWERSKY K, ZEMEL R. Prototypical networks for few-shot learning[C]//Proceedings of the 31st International Conference on Neural Information Processing Systems. 2017: 4080-4090.

[19] VAN DER MAATEN L, HINTON G. Visualizing data using t-SNE[J]. Journal of Machine Learning Research, 2008, 9(11).

[20] HOLMES A, KELLOGG M. Automating functional tests using selenium[C]//AGILE 2006 (AGILE'06). 2006.

[21] MERINO B. Instant traffic analysis with Tshark how-to[M]. Packt Publishing Ltd, 2013.

[22] PASZKE A, GROSS S, MASSA F, et al. Pytorch: an imperative style, high-performance deep learning library[J]. Advances in neural Information Processing Systems, 2019, 32: 8026-8037.

[23] PEDREGOSA F, VAROQUAUX G, GRAMFORT A, et al. Scikit-learn: machine learning in Python[J]. The Journal of Machine Learning Research, 2011, 12: 2825-2830.

Detection of SSL/TLS protocol attacks based on flow spectrum theory

GUO Shize1,2,3, ZHANG Fan1, 2,3,4, SONG Zhuoxue1,2,3,5, ZHAO Ziming1,2,3, ZHAO Xinjie1,2,3, WANG Xiaojuan6, LUO Xiangyang7

1. College of Computer Science and Technology, Zhejiang University, Hangzhou 310027, China 2. School of Cyber Science and Technology, Zhejiang University, Hangzhou 310027, China 3. College of Control Science and Engineering, Zhejiang University, Hangzhou 310027, China 4. Zhejiang Key Laboratory of Blockchain and Cyberspace Governance, Hangzhou 310027, China 5. Engineering Laboratory of Mobile Security of Zhejiang Province, Hangzhou 310027, Chine 6. School of Electronic Engineering, Beijing University of Posts and Telecommunications, Beijing 100876, China 7. Information Engineering University, Key Laboratory of Cyberspace Situation Awareness of Henan Province, Zhengzhou 450001, China

Network attack detection plays a vitalrole in network security. Existing detection approaches focus on typical attack behaviors, such as Botnets and SQL injection. The widespread use of the SSL/TLS encryption protocolarises some emerging attack strategies against the SSL/TLS protocol. With the network traffic collection environment that built upon the implements of popular SSL/TLS attacks, a network traffic dataset including four SSL/TLS attacks, as well as benign flows was controlled. Considering the problems that limited observability of existing detection and limited separation of the original-flow spatiotemporal domains, a flow spectrum theory was proposed to map the threat behavior in the cyberspace from the original spatiotemporal domain to the transformed domain through the process of “potential change” and obtain the “potential variation spectrum”. The flow spectrum theory is based on a set of separable and observable feature representations to achieve efficient analysis of network flows. The key to the application of flow spectrum theory in actual cyberspace threat behavior detection is to find the potential basis matrix for a specific threat network flow under the condition of a given transformation operator. Since the SSL/TLS protocol has a strong timing relationship and state transition process in the handshake phase, and there are similarities between some SSL/TLS attacks, the detection of SSL/TLS attacks not only needs to consider timing context information, but also needs to consider the high-separation representation of TLS network flows. Based on the flow spectrum theory, the threat template idea was used to extract the potential basis matrix, and the potential basis mapping based on the long-short-term memory unit was used to map the SSL/TLS attack network flow to the flow spectrum domain space. On the self-built SSL/TLS attack network flow data set, the validity of the flow spectrum theoryis verified by means of classification performance comparison, potential variation spectrum dimensionality reduction visualization, threat behavior feature weight evaluation, threat behavior spectrum division assessment, and potential variation base matrix heatmap visualization.

SSL/TLS attacks, network traffic detection, flow spectrum theory, long short-term memory

s: The National Key R&D Program of China (2020AAA0107700), The National Natural Science Foundation of China (62072398, U1804263, 62172435), National Key Laboratory of Science and Technology on Information System Security, Zhejiang Key R&D Program (2021C01116), Leading Innovative and Entrepreneur Team Introduction Program of Zhejiang (2018R01005), Research Institute of Cyberspace Governance in Zhejiang University, Zhongyuan Science and Technology Innovation Leading Talent Project (214200510019)

郭世澤, 張帆, 宋卓學, 等. 基于流譜理論的SSL/TLS協(xié)議攻擊檢測方法[J]. 網絡與信息安全學報, 2022, 8(1): 30-40.

TP393

A

10.11959/j.issn.2096?109x.2022004

郭世澤（1969?），男，河北石家莊人，浙江大學教授，主要研究方向為網絡空間安全。

張帆（1978?），男，浙江杭州人，浙江大學教授、博士生導師，主要研究方向為網絡安全、硬件安全、系統(tǒng)安全。

宋卓學（1998?），男，浙江衢州人，浙江大學碩士生，主要研究方向為網絡空間安全。

趙子鳴（1998?），男，河北邢臺人，浙江大學博士生，主要研究方向為網絡空間安全。

趙新杰（1986?），男，河南開封人，浙江大學高級工程師，主要研究方向為網絡與信息安全。

王小娟（1985?），女，河北保定人，北京郵電大學副教授，主要研究方向為計算機網絡安全。

羅向陽（1978?），男，湖北鐘祥人，信息工程大學教授、博士生導師，主要研究方向為網絡與信息安全。

2022?01?12；

2022?02?08

張帆，fanzhang@zju.edu.cn

國家重點研發(fā)計劃（2020AAA0107700）；國家自然科學基金（62072398, U1804263, 62172435）；信息系統(tǒng)安全技術重點實驗室基金；浙江省重點研發(fā)計劃（2021C01116）；浙江省引進培育領軍型創(chuàng)新創(chuàng)業(yè)團隊（2018R01005）；網絡空間國際治理研究基地；中原科技創(chuàng)新領軍人才計劃（214200510019）

Format: GUO S Z, ZHANG F, SONG Z X, et al. Detection of SSL/TLS protocol attacks based on flow spectrum theory[J]. Chinese Journal of Network and Information Security, 2022, 8(1): 30-40.