出于隐私保护的需要，加密服务日益普及，然而这也为恶意流量提供了隐藏自身的渠道.因此，加密恶意流量识别成为网络管理的重要任务.目前，一些基于机器学习和深度学习的主流技术已经取得了良好的效果，然而，这些方法大多忽略了流量的结构特性，也未对加密协议进行深入分析.针对这一问题，提出了一种针对安全套接层/传输层安全(secure sockets layer/transport layer security, SSL/TLS)流量的图表示方法，总结TLS流量关键特征，并从流的源IP、目的端口、数据包数等多个属性角度考虑流量关联性.在此基础上，建立了一个基于图卷积神经网络(graph convolutional networks, GCN)的加密恶意流量识别框架GCN-RF.该方法将流量转化为图结构，综合利用流量的结构信息和节点特征进行识别与分类.在真实的公共数据集上的实验结果表明，该方法的分类准确率高于目前的主流模型.

• 单位
  中国科学院信息工程研究所; 中国科学院大学