康 鵬，楊文忠，2，馬紅橋

1.新疆大學(xué) 信息科學(xué)與工程學(xué)院，烏魯木齊 830046

2.新疆大學(xué) 信息科學(xué)與工程學(xué)院 新疆維吾爾自治區(qū)多語種信息技術(shù)重點(diǎn)實(shí)驗(yàn)室，烏魯木齊 830046

最新互聯(lián)網(wǎng)研究趨勢報告指出[1]，大約有87%的Web流量是加密的，在2020年更是有超過70%的惡意活動通過加密來傳輸惡意軟件，攻擊者也通過加密繞過未授權(quán)活動的檢測，來隱藏惡意程序和服務(wù)器的交互。目前大多數(shù)網(wǎng)絡(luò)應(yīng)用程序和服務(wù)只支持由傳輸層安全（transport layer security，TLS）封裝的加密通信[2]。這樣會導(dǎo)致兩個方面的問題。一方面由于保密數(shù)據(jù)的價值性，使得降級攻擊、Lucky Thirteen攻擊等針對協(xié)議本身的攻擊遞增；另一方面惡意流量也通過各種手段達(dá)到加密傳輸。因此加密惡意流量的識別工作就顯得更加重要。為此，本文從網(wǎng)絡(luò)協(xié)議發(fā)展現(xiàn)狀出發(fā)，分析了TLS加密惡意流量的發(fā)展歷程及各個階段存在的問題；將常見的流量解密技術(shù)和TLS流量解密技術(shù)進(jìn)行了總結(jié)，分析了各自的方法特征、優(yōu)缺點(diǎn)以及數(shù)據(jù)集的選擇。同時針對以上現(xiàn)存技術(shù)存在的問題和此領(lǐng)域未來的技術(shù)發(fā)展做了合理的展望。

1 TLS加密協(xié)議現(xiàn)狀分析

網(wǎng)絡(luò)加密也稱為網(wǎng)絡(luò)層或者網(wǎng)絡(luò)級加密，是在網(wǎng)絡(luò)傳輸層選用加密服務(wù)。網(wǎng)絡(luò)加密只在傳輸中加密，對于終端用戶是透明的。常見網(wǎng)絡(luò)加密協(xié)議有網(wǎng)絡(luò)認(rèn)證協(xié)議Kerberos、安全外殼協(xié)議SSH、安全電子交易協(xié)議SET、網(wǎng)絡(luò)層安全協(xié)議IPsec以及主要研究的傳輸層安全協(xié)議TLS。

SSL3.0協(xié)議是由Kocher、Karlton和Freier一起設(shè)計實(shí)現(xiàn)的，將TLS的發(fā)展與特點(diǎn)總結(jié)為表1和表2。協(xié)議發(fā)展歷程如表1所示。TLS1.0協(xié)議和SSL協(xié)議的主要不同點(diǎn)如表2所示。從表中可以清楚知道，相較于TLS1.0、TLS1.1以及TLS1.2，由于TLS1.1對于TLS1.0來說被視為一個微量升級，都存在類似于降級攻擊的大量缺陷，所以大部分軟件都將它棄用，而直接使用TLS1.2版本。這里為了讓讀者更好地了解TLS協(xié)議的發(fā)展歷程，依舊將TLS1.0、TLS1.1以及TLS1.2做出對比分析，分析結(jié)果如表3所示。

表1 TLS協(xié)議發(fā)展總結(jié)Table 1 Summary of TLS agreement development

表2 TLS1.0與SSL對比分析Table 2 Comparative analysis of TLS1.0 and SSL

表3 TLS三個版本對比分析Table 3 Comparative analysis of three versions of TLS

TLS1.2協(xié)議主要分為兩層，底層是TLS記錄協(xié)議，主要負(fù)責(zé)使用對稱密碼對消息進(jìn)行加密；上層握手協(xié)議負(fù)責(zé)在客戶端和服務(wù)器端商定密碼算法和共享密鑰；密碼規(guī)格變更協(xié)議負(fù)責(zé)向通信對象傳達(dá)變更密碼方式的信號；警告協(xié)議負(fù)責(zé)在發(fā)生錯誤時將錯誤傳達(dá)給對方；應(yīng)用數(shù)據(jù)協(xié)議負(fù)責(zé)將TLS承載的應(yīng)用數(shù)據(jù)傳達(dá)給通信對象。由于SSL2.0、SSL3.0、TLS1.0、TLS1.1分別于2011年、2015年和2020年棄用，同時文章主要針對TLS協(xié)議進(jìn)行研究，SSL協(xié)議和久遠(yuǎn)協(xié)議版本不再進(jìn)行過多贅述。

2 TLS1.3問題與歸納

TLS1.3協(xié)議在通信過程中，服務(wù)端Hello報文之后的所有信息都做了加密處理。由于TLS1.3相較之前的協(xié)議有較大的差異[5-6]，表4將TLS1.3與其他版本做了綜合對比分析。文獻(xiàn)[7]提出構(gòu)建最全面、最可靠、最模塊化的TLS 1.3 draft 21候選版本的符號模型來推動1.3版本發(fā)展，但發(fā)展還是受到了阻礙，表5列出了部分TLS1.3存在的問題，并進(jìn)行了分析。

表4 其他版本與TLS1.3對比分析Table 4 Comparison of other versions and TLS1.3

表5 TLS1.3存在部分問題總結(jié)Table 5 Summary of some problems with TLS1.3

3 TLS協(xié)議加密網(wǎng)絡(luò)流量識別技術(shù)

由于以上協(xié)議本身存在的安全漏洞和惡意加密流量的指數(shù)增長，保證數(shù)據(jù)和網(wǎng)絡(luò)空間的安全刻不容緩。在網(wǎng)絡(luò)加密流量占比不多，同時TLS協(xié)議未被提出時，常見流量識別技術(shù)基本可以保證網(wǎng)絡(luò)安全；TLS被提出后流量加密技術(shù)逐漸成熟，目前存在的檢測技術(shù)問題如表6總結(jié)。

表6 現(xiàn)存檢測技術(shù)問題總結(jié)Table 6 Summary of existing detection technology problems

為了解決上述問題，基于深度學(xué)習(xí)的檢測方法在2020年逐漸進(jìn)入研究正軌。為此本章節(jié)針對加密流量檢測以及特定加密協(xié)議TLS的流量檢測技術(shù)展開了探索并做出歸納。圖1顯示了近四年的研究成果數(shù)量和技術(shù)壁壘，在2019年（2018年TLS1.3版本正式發(fā)布）達(dá)到了研究頂峰后，機(jī)器學(xué)習(xí)已到達(dá)不錯的精度和準(zhǔn)確率，此方法研究上限逐漸飽和。

圖1 近四年流量識別研究Fig.1 Research on traffic identification in recent four years

3.1 早期流量識別技術(shù)

文獻(xiàn)[31]根據(jù)常見加密流量分類識別方法的不同進(jìn)行了分類，隨著TLS協(xié)議普及也存在少量文獻(xiàn)將這些技術(shù)融入進(jìn)行研究，如表7所示，但這些流量識別技術(shù)普遍存在網(wǎng)絡(luò)開銷大、網(wǎng)絡(luò)延遲高、數(shù)據(jù)存儲不安全、數(shù)據(jù)信息易泄露、檢測效率低、對TLS加密信息識別有限等問題。因此，為了解決常見流量識別方法應(yīng)用到TLS流量檢測時存在的以上弊端，出現(xiàn)了新的檢測技術(shù)，如基于傳統(tǒng)IP數(shù)據(jù)包檢測的改良技術(shù)DPI檢測、證書檢測、代理檢測等。本節(jié)主要針對近幾年TLS加密流量的檢測方法進(jìn)行了介紹。

表7 常見流量識別方法總結(jié)分析Table 7 Summary and analysis of common flow identification methods

3.1.1 DPI解密技術(shù)

DPI（深度包檢測技術(shù)）是在傳統(tǒng)IP數(shù)據(jù)包檢測技術(shù)之上增加了對應(yīng)用層數(shù)據(jù)的應(yīng)用協(xié)議識別，數(shù)據(jù)包內(nèi)容檢測與深度解碼的功能。文獻(xiàn)[35]將DPI技術(shù)分類為：基于特征字的識別技術(shù)、應(yīng)用層網(wǎng)關(guān)識別技術(shù)和行為模式識別技術(shù)。

為了緩解解密TLS數(shù)據(jù)消耗大量服務(wù)器性能的問題，較為流行的方法是安裝加速卡，但此方法在服務(wù)器主機(jī)之上處理數(shù)據(jù)，沒有完全消除系統(tǒng)負(fù)荷；系統(tǒng)兼容性不佳、對主機(jī)的依賴過大，無法滿足大型應(yīng)用的需求；其他網(wǎng)絡(luò)設(shè)備無法復(fù)用解密后的明文流量，需要重復(fù)解密，造成資源的嚴(yán)重浪費(fèi)。

應(yīng)用DPI技術(shù)識別惡意加密流量彌補(bǔ)了加速卡的不足。但DPI技術(shù)依舊存在解析加密流量不完全，網(wǎng)絡(luò)性能延遲，設(shè)備迭代困難，可視化不足等問題。文獻(xiàn)[36]和文獻(xiàn)[37]提出對加密流量進(jìn)行深度包檢測（DPI）而無需解密的技術(shù)，但在設(shè)置階段需要大量的計算和較長的檢測時間。文獻(xiàn)[38]提出基于DPI檢查負(fù)載隨機(jī)性的加密流量識別算法，但涉及的流量僅僅包含TCP、SFTP、HTTP、SMTP和SSL協(xié)議。為解決DPI方法存在的缺陷，表8對比分析了部分方法。

表8 部分解密方法總結(jié)Table 8 Summary of partial decryption methods

文獻(xiàn)[1]從隱私的角度分析了網(wǎng)絡(luò)中TLS截獲對用戶的影響，為了滲透到加密連接中經(jīng)常使用解密技術(shù)，如何保證解密數(shù)據(jù)的安全性、合法性、有效準(zhǔn)確性仍是不可忽略的重點(diǎn)。

3.1.2 Proxy技術(shù)

文獻(xiàn)[43]顯示了一份用戶對TLS流量使用Proxy技術(shù)進(jìn)行保護(hù)檢測的調(diào)查如圖2。超過65%的用戶同意接受代理的使用，但同時也要求瀏覽器能通知代理的相關(guān)信息，并建議有解決代理的法律存在?？墒聦?shí)上瀏覽器既不能保障代理的安全合法性，用戶也無法有效識別安全代理。將Proxy技術(shù)可分類為：正向代理（Forward Proxy）、反向代理（Reverse Proxy）和公開代理（Open Proxy）技術(shù)。

圖2 TLS流量使用代理意愿Fig.2 TLS traffic use proxy intention

圖3描述了代理技術(shù)的原理。代理可以解密、監(jiān)視或修改所有用戶流量，通過加密通道將請求傳遞到所需網(wǎng)站。瀏覽器和用戶沒有區(qū)分善意和惡意TLS代理的能力，用戶甚至完全不知道一個組織或攻擊者正在攔截加密流量。即使存在TLS代理，瀏覽器也會顯示一個令人安心地鎖定圖標(biāo)，這可能會誤導(dǎo)用戶認(rèn)為正在安全的與網(wǎng)站進(jìn)行通訊。目前的研究主要采用三種方法在加密流量上啟用代理功能：MITM方法解密或修改TLS流量[44-47]、握手期間顯式地包含中間件[48]、允許直接檢查加密流量[49]?，F(xiàn)存有關(guān)代理的研究已經(jīng)很多，部分總結(jié)如表9所示。

表9 代理技術(shù)部分總結(jié)Table 9 Agent technology part summary

圖3 代理技術(shù)原理Fig.3 Principle of agent technology

目前代理技術(shù)存在的問題總結(jié)為：

（1）在實(shí)時解密和重新加密流量中，造成計算和通信方面的性能下降。

（2）繞過審查，并充當(dāng)各種攻擊的墊腳石訪問無法訪問的（如：黃賭毒）網(wǎng)站。

（3）為運(yùn)營商提供了一個擴(kuò)展的網(wǎng)絡(luò)流量視圖來竊聽通信，執(zhí)行中間人攻擊盈利。

（4）連同DPI加解密技術(shù)，造成用戶隱私泄露和篡改，用戶不信任和不允許此類技術(shù)。

3.2 JA3技術(shù)

2015年提出了一種稱為JA3指紋識別的TLS指紋識別實(shí)現(xiàn)方法，此方法被整合到多個網(wǎng)絡(luò)監(jiān)控和入侵檢測系統(tǒng)（IDS）中。用它進(jìn)行惡意軟件檢測[57]或識別網(wǎng)絡(luò)應(yīng)用等。JA3（S）為特定客戶端與服務(wù)器之間的加密通信提供具有更高識別度的指紋。為了啟動TLS會話，客戶端將在TCP三次握手后發(fā)送TLS Client-hello數(shù)據(jù)包。如果接受TLS連接，服務(wù)器將使用基于服務(wù)器端的庫配置以及基于Client-hello詳細(xì)信息創(chuàng)建的TLS Serverhello數(shù)據(jù)包進(jìn)行響應(yīng)。由于TLS協(xié)商[58]是以明文的方式傳輸?shù)模钥梢允褂肨LS Client-hello數(shù)據(jù)包中的詳細(xì)信息對客戶端應(yīng)用程序進(jìn)行指紋識別。

通過Wireshark工具收集Client-hello數(shù)據(jù)包的協(xié)議版本，可接受密碼套件，擴(kuò)展列表，橢圓曲線密碼和橢圓曲線密碼格式5個字段值，用“，”來分隔各個字段，用“-”來分隔各個字段中的十進(jìn)制值，再將這些值串聯(lián)在一起并計算出MD5，就是一個JA3。圖4為百度抓取數(shù)據(jù)包。

圖4 JA3方法選擇參數(shù)Fig.4 JA3 method selection parameters

JA3S與JA3原理類似，提取了Server-hello數(shù)據(jù)包的相同值進(jìn)行同樣的操作。文獻(xiàn)[59]中發(fā)現(xiàn)為取證目的創(chuàng)建唯一且穩(wěn)定的TLS指紋并不容易，并在移動應(yīng)用程序上進(jìn)行了使用JA3散列的實(shí)驗(yàn)。JA3指紋能夠指示客戶端應(yīng)用程序通過TLS通信的方式，而JA3S指紋能夠指示服務(wù)器響應(yīng)。將兩者結(jié)合起來，實(shí)質(zhì)上就生成了客戶端和服務(wù)器之間的加密協(xié)商的指紋。但這種方法不一定能保證映射到客戶端應(yīng)用程序，惡意用戶可以通過惡意行為改變TLS版本，密碼套件等信息，從而躲避檢測。因此它的發(fā)展受到了限制。

3.3 證書技術(shù)

數(shù)字證書被定義為附加在公共加密密鑰上的未加密文件，它包含關(guān)于證書和加密密鑰所有者的組織細(xì)節(jié)。TLS所使用的加密系統(tǒng)是基于對稱加密的RSA標(biāo)準(zhǔn)。通常在現(xiàn)實(shí)場景中服務(wù)器用RSA生成公鑰和私鑰后把公鑰放在證書里發(fā)送給客戶端，同時自己保存私鑰，客戶端收到消息后首先向一個權(quán)威的服務(wù)器（CA）檢查證書的合法性（存在域驗(yàn)證、組織驗(yàn)證和擴(kuò)展驗(yàn)證），如果證書合法，客戶端產(chǎn)生一段隨機(jī)數(shù)，這個隨機(jī)數(shù)就作為通信的密鑰，再用公鑰加密這段隨機(jī)數(shù)，然后發(fā)送到服務(wù)器，服務(wù)器用密鑰解密獲取對稱密鑰，然后，雙方就可以進(jìn)行加密通信了。但是證書可以由任何人創(chuàng)建并允許任何人加密和保護(hù)任何通信通道，這就滋生了潛在的風(fēng)險。

因此，證書檢測就十分有必要了，這一技術(shù)是通過證書鏈檢測證書頒發(fā)者、證書使用者、證書序列號、證書指紋以及證書有效期這五項(xiàng)指標(biāo)與原始的一致性，進(jìn)而達(dá)到分類檢測的目的，使用者完全可以自己生成證書并替換掉默認(rèn)證書，或者采取修改證書的辦法；在TLS1.3后對Server Hello報文后的所有信息采取加密處理，使可見明文大幅減少，證書信息也變?yōu)椴豢梢?，最終導(dǎo)致此類檢測方法的檢測能力大幅削弱。

3.4 基于機(jī)器學(xué)習(xí)的方法

雖然TLS加密方式對認(rèn)證過程的大部分內(nèi)容進(jìn)行了加密，但是仍然可以得到一些非加密內(nèi)容數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，使用人工智能算法仍然可以發(fā)現(xiàn)其中的規(guī)律，基于機(jī)器學(xué)習(xí)的加密惡意流量識別技術(shù)將加密流量進(jìn)行惡意特征提取，構(gòu)建一個惡意特征數(shù)據(jù)集，作為訓(xùn)練/測試集輸入訓(xùn)練模型，通過模型設(shè)計與參數(shù)調(diào)優(yōu)等方法得到理想的準(zhǔn)確度。方法識別體系如圖5所示。

圖5 惡意流量識別方法體系Fig.5 Malicious traffic identification method system

文獻(xiàn)[60]對機(jī)器學(xué)習(xí)訓(xùn)練過程所需實(shí)驗(yàn)各項(xiàng)評估參數(shù)做出了歸納，文獻(xiàn)[61]介紹了機(jī)器學(xué)習(xí)的詳細(xì)過程。但對于高度偽裝的指揮控制（C&C）通信，單純基于統(tǒng)計特征或TLS握手特征的傳統(tǒng)分類器檢測能力逐漸下降。在這種情況下，探索其他維度的特征進(jìn)行多維特征融合的方式更具有針對性。在選擇數(shù)據(jù)特征時常選用以下有效特征如表10所示。

表10 常見有效特征總結(jié)Table 10 Summary of common effective features

目前最新的一些關(guān)于機(jī)器學(xué)習(xí)對TLS惡意加密流量檢測的研究結(jié)果如表11、12所示。

表11 研究模型方法總結(jié)Table 11 Summary of research model methods

4 未來發(fā)展

4.1 惡意分類多樣化

TLS惡意加密流量識別研究主要集中于二分類或少數(shù)幾類攻擊的識別，由于應(yīng)用程序和版本的多樣性，實(shí)現(xiàn)加密惡意流量精細(xì)化識別還存在一定的難度[83]。目前已存在不少研究，類似于1D-CNN的諸多深度學(xué)習(xí)模型致力于拓寬加密流量的種類。在接下來的研究中，存在的問題可以總結(jié)為：首先，由于不同類型的流量有不同類型的數(shù)據(jù)包，選取更適合的字節(jié)數(shù)需要進(jìn)一步研究；其次，目前存在的公開數(shù)據(jù)集不夠豐富，種類不夠齊全，個人數(shù)據(jù)集不夠均衡，會導(dǎo)致模型訓(xùn)練不真實(shí)，對實(shí)驗(yàn)性能造成巨大影響，因此如何獲取并公開種類豐富，數(shù)據(jù)量龐大的數(shù)據(jù)集就顯得尤為關(guān)鍵。

表12 研究方法優(yōu)缺點(diǎn)總結(jié)Table 12 Comparative summary of advantages and disadvantages of research methods

4.2 領(lǐng)域技術(shù)遷移

在前面發(fā)展的基礎(chǔ)上，在解決了數(shù)據(jù)集的問題后，不乏嘗試將用在文本/圖像處理，甚至語音識別，情景分析等深度學(xué)習(xí)模型應(yīng)用到加密流量的檢測領(lǐng)域。這些模型在本身的領(lǐng)域已有相當(dāng)成熟的研究，且取得了不錯的研究成果。如目前較為新穎的BERT模型，在解決Transformer模型需要訓(xùn)練大量的參數(shù)基礎(chǔ)上，通過上下文全向?qū)崿F(xiàn)自然語言文本的更精準(zhǔn)識別處理。想要將BERT模型應(yīng)用到本領(lǐng)域，還存在著下面的問題：如何高效準(zhǔn)確地將TLS加密流量轉(zhuǎn)換成如圖像，自然語言處理文本，甚至語音進(jìn)行處理。將膠囊神經(jīng)網(wǎng)絡(luò)（capsule network），對抗神經(jīng)網(wǎng)絡(luò)（generative adversarial networks，GAN）等模型應(yīng)用到加密惡意流量識別中，如：在膠囊網(wǎng)絡(luò)中可以通過將獲取的TLS數(shù)據(jù)集（.PCAP數(shù)據(jù)包等）轉(zhuǎn)化為圖像特征，并作為模型的原始數(shù)據(jù)輸入進(jìn)行訓(xùn)練，這些低層膠囊對其輸入執(zhí)行一些相當(dāng)復(fù)雜的內(nèi)部計算，然后將這些計算的結(jié)果封裝成一個包含豐富信息的小向量；再如設(shè)計動機(jī)為自動化特征提取的GAN網(wǎng)絡(luò)，利用GAN網(wǎng)絡(luò)生成器，可以初步解決因?yàn)閻阂饬髁可俣鴮?dǎo)致的數(shù)據(jù)不平衡問題，并利用判別器迭代優(yōu)化數(shù)據(jù)，以此有效提高自學(xué)習(xí)特征的可解釋性和檢測效率。

5 不足與展望

本文針對TLS協(xié)議中惡意流量檢測的特點(diǎn)，將TLS協(xié)議中惡意流量檢測技術(shù)分為傳統(tǒng)的解密技術(shù)、代理技術(shù)、證書檢測技術(shù)、JA3（S）技術(shù)和機(jī)器學(xué)習(xí)技術(shù)等幾個方面，并對最新研究成果進(jìn)行了闡述。當(dāng)前工作在分類效率和安全保障方面已取得較大進(jìn)展，但仍存在一些問題：

（1）深度包檢測技術(shù)：存在無法完全解析加密流量，降低網(wǎng)絡(luò)性能，設(shè)備迭代困難，可視化不足，加密規(guī)則匹配上無法獲得高效安全的算法支撐等問題。因此基于硬件的DPI技術(shù)迫切需要存儲高效特征的匹配算法，根據(jù)不同的加密算法形成不同特征，進(jìn)行規(guī)則匹配和加密算法特征探索或?qū)⒊蔀檫M(jìn)一步研究重點(diǎn)。如文獻(xiàn)[82]開創(chuàng)性地將深度學(xué)習(xí)模型與DPI技術(shù)融合。

（2）代理檢測技術(shù)：存在將客戶端暴露于各種攻擊中，導(dǎo)致用戶信息被持續(xù)性跟蹤；安全性顯著降低；計算和通信方面的性能也會下降等問題。文獻(xiàn)[84]系統(tǒng)地研究了相關(guān)技術(shù)并比較了它們的優(yōu)缺點(diǎn)，借鑒設(shè)置二級代理的思想，如何更好地保證代理對數(shù)據(jù)的保密性和安全性以及提高實(shí)時網(wǎng)絡(luò)性能會是進(jìn)一步研究的重點(diǎn)。

（3）證書檢測技術(shù)：存在自生成證書、替換默認(rèn)證書或者修改證書的問題。目前已有將證書檢測與機(jī)器學(xué)習(xí)相融合的方法，但尚未形成成熟體系，如何發(fā)現(xiàn)更有效證書特征和探索準(zhǔn)確率更高的學(xué)習(xí)模型或成為進(jìn)一步研究方向。

（4）數(shù)據(jù)集：存在缺乏帶標(biāo)簽符合研究的公開數(shù)據(jù)集；缺乏被普遍接受的數(shù)據(jù)收集和標(biāo)記方法；惡意軟件變種和骨干網(wǎng)絡(luò)統(tǒng)計特征的流量信息收集也存在困難等問題?；跈C(jī)器學(xué)習(xí)的惡意流量識別核心在于正確的數(shù)據(jù)集，文獻(xiàn)[85]提出了良好數(shù)據(jù)集的評估框架，文獻(xiàn)[60]也對現(xiàn)有的公開數(shù)據(jù)集做了歸納總結(jié)。但TLS加密流量識別工作迫切需要一個開源、有正確標(biāo)簽、在惡意流量中有詳細(xì)分類，并且能持續(xù)更新的數(shù)據(jù)集。同時在訓(xùn)練/測試集中的惡意流量分布必須符合現(xiàn)實(shí)分布[86]。因此，數(shù)據(jù)集的實(shí)時性、豐富多樣性、有效性是進(jìn)一步研究的重點(diǎn)。

（5）機(jī)器學(xué)習(xí)技術(shù)：存在模型的辨識性特征密度降低；模型擬合過慢；識別能力會隨著時間遷移而整體下降等問題。惡意樣本或僵尸網(wǎng)絡(luò)主機(jī)往往會混淆或隨機(jī)端口，而這些無規(guī)律和快速變化造成了五元組中端口特征的不穩(wěn)定，不適合作為機(jī)器學(xué)習(xí)模型的學(xué)習(xí)特征?，F(xiàn)階段依然存在把五元組特征作為檢測TLS加密流量的主要特征的研究。在樣本數(shù)較少，采集環(huán)境相似的情況下，加密流量五元組特征高度相似；而樣本數(shù)量復(fù)雜，采集環(huán)境不同的情況下，加密流量五元組特征又毫無規(guī)律。對不同元組特征的探索以及新型有效多維特征融合的方法；QUIC[87]、HTTP/3[88]協(xié)議使得流量數(shù)據(jù)包頭部的明文占比進(jìn)一步下降，這對基于機(jī)器學(xué)習(xí)多維特征的流量識別帶來了進(jìn)一步挑戰(zhàn)，如何應(yīng)對流量混淆、時間衰減、明文占比下降導(dǎo)致特征減少的問題將是下一步的研究重點(diǎn)。

6 總結(jié)

機(jī)器學(xué)習(xí)的檢測方式給加密流量的識別工作帶來了希望，但由于數(shù)據(jù)集種類不夠豐富；實(shí)時公開數(shù)據(jù)集的數(shù)量匱乏以及惡意加密流量的激增，導(dǎo)致模型訓(xùn)練的正確性和有效性無法保證。因此，在確保數(shù)據(jù)集被有效豐富的前提下，可以預(yù)見，融合其他領(lǐng)域技術(shù)以及運(yùn)用深度學(xué)習(xí)方法將會打破目前的桎梏，使檢測模型在對抗中自學(xué)習(xí)發(fā)現(xiàn)隱藏的未知惡意加密流量，并解決流量檢測的準(zhǔn)確性能實(shí)時保持穩(wěn)定的上升。