不解密识别恶意流量

发布时间：2019-01-18 01:29:37 所属栏目：业界来源：Change

导读：简介在过去的两年中，我们一直在系统的收集和分析恶意软件生成的数据包捕获。在此期间，我们观察到，有一种恶意软件是使用基于TLS的加密来逃避检测，而这种恶意软件的样本百分比正在稳步增加。2015年8月，2.21%的恶意软件样本使用TLS，而到了2017年5月，

在0.99的阈值处，使用Legacy / SPL特征的分类器正确的分类了98.95%的良性样本和69.81%的恶意样本。如果我们将有关应用程序(TLS)的信息与网络流量(SPL)的行为特征相结合，这些结果将得到显着改善。Legacy / SPL / TLS的组合是良性和恶意软件样本上性能最佳的模型。在0.95的阈值下，该模型分别对于良性和恶意保持数据集实现了99.99%和85.80%的准确度。