不解密识别恶意流量

发布时间：2019-01-18 01:29:37 所属栏目：业界来源：Change

导读：简介在过去的两年中，我们一直在系统的收集和分析恶意软件生成的数据包捕获。在此期间，我们观察到，有一种恶意软件是使用基于TLS的加密来逃避检测，而这种恶意软件的样本百分比正在稳步增加。2015年8月，2.21%的恶意软件样本使用TLS，而到了2017年5月，

我们从ThreatGrid的一个企业网络Site1和324,771流量中抽取了1,621,910个TLS流量，然后训练我们的随机森林模型。然后，我们模拟了从单独的企业网络Site2中看不见的数据部署模型，以及在上一个数据集之后的两个月内，收集的恶意软件数据。表1显示了该实验在不同阈值下的结果。0.5是分类器的默认阈值，并且阈值越高，训练的模型就越确定TLS流是由恶意软件生成的。恶意软件/良性的准确性是分开的，这样便能证明特征子集超过了一个特定的类。例如，Legacy可以在良性集上实现接近完美的准确性，但这些功能无法推广到恶意软件数据集。