网络流量的加密传输是互联网的发展趋势之一,而加密流量中的恶意流量识别是维护网络空间安全的重要手段。识别恶意流量需要将加密流量进行密/非密、应用程序以及加密算法的细粒度区分以提高识别效率,再将不同精细度区分后的流量经过预处理后转化为图像、矩阵和N-gram等形式导入机器学习训练模型中进行训练,实现良性/恶意流量的二分类以及多分类。基于机器学习的识别效果严重依赖于样本数量和质量,同时无法有效地应对整形和混淆后的流量,而基于密码学的恶意流量识别技术通过深度融合可搜索加密技术、流量审查机制和可证明安全模型,在加密流量上检索恶意关键词以避免样本数目不足和流量整形的问题,同时实现对数据和规则的隐私保护。对加密流量中的恶意流量识别所涉及到的上述技术进行了总结,指出存在的问题并展望未来发展的方向。

• 单位
  综合业务网理论及关键技术国家重点实验室; 西安电子科技大学