恶意流量异同
互联网流量、物联网流量、加密流量
| 场景 | 特点 | 典型攻击 | 检测重点 |
|---|---|---|---|
| 1. 传统企业网络 | 边界清晰,设备可控,流量规模大 | APT攻击、勒索软件、DDoS | 深度包检测(DPI)、IDS/IPS规则匹配、NetFlow分析 |
| 2. 物联网网络 | 设备资源受限、协议碎片化、行为规律化 | 设备劫持、数据窃取、固件攻击 | 设备指纹识别、轻量级行为基线、协议合规性检查 |
| 3. 云环境 | 动态IP、微服务架构、东西向流量为主 | 容器逃逸、API滥用、云资源劫持 | 云工作负载保护(CWPP)、API安全网关、零信任策略 |
| 4. 移动网络 | NAT穿透普遍、加密流量占比高、设备类型复杂 | 恶意APP、中间人攻击、蜂窝网络嗅探 | 移动终端行为分析、TLS证书校验、SIM卡安全监控 |
| 特征 | 传统互联网流量检测 | 物联网流量检测 | TLS加密流量检测 |
|---|---|---|---|
| 核心对象 | 通用互联网用户、服务器、应用(Web浏览、邮件、文件传输、P2P、视频流等) | 物联网设备及其平台(传感器、执行器、网关、IoT云服务) | 所有使用TLS/SSL协议进行加密的流量(覆盖前两者中的加密部分) |
| 流量特征 | 多样性高: 协议众多(HTTP/S, DNS, SMTP, FTP, VoIP等),流量模式复杂(突发性、交互性强),数据量大。 | 模式化/受限: 协议相对固定但碎片化(MQTT, CoAP, AMQP, Modbus TCP, BLE, Zigbee IP等),流量通常较小、周期性、状态机行为明显,心跳包多,设备资源(计算、存储、带宽)受限。 | 加密性: 载荷内容不可见,只能看到元数据(IP、端口、TLS握手信息、包大小/时序/方向)。 |
| 关键挑战 | 1. 流量规模巨大。 2. 应用类型识别(端口混淆、P2P、隧道)。 3. 恶意软件变种多、隐蔽性强。 4. 用户行为分析复杂。 | 1. 协议多样性&碎片化: 需支持众多专用/轻量级协议。 2. 设备识别与管理: 海量异构设备,指纹识别困难。 3. 资源限制: 设备端难以部署安全代理,检测需轻量化或上移。 4. 物理安全融合: 设备物理位置、状态异常(如传感器篡改)需结合网络流量分析。 5. 异常检测: 正常行为模式定义难(设备类型多),小流量异常易被淹没。 6. 生命周期管理: 设备上线、离线、固件更新等事件需监控。 | 1. 内容盲点: 无法直接检查载荷内容(URL、命令、数据)。 2. 元数据依赖: 深度依赖TLS握手信息(SNI、证书、密码套件)、流统计特征(包大小、时序、方向序列)和行为模式分析。 3. 加密规避技术: 攻击者利用域名前置、证书滥用、协议混淆(如HTTP/3 QUIC)等规避检测。 4. 隐私合规: 深度检测(如MITM解密)面临严格的法律法规限制。 5. 计算开销: 深度包检查(DPI)对加密流量的高级分析(如行为建模)开销大。 |
| 核心技术/方法 | * 深度包检测 * 深度流检测 * 基于端口的识别 * 基于签名/规则的检测(IPS/IDS) * 异常检测(基于统计、机器学习) * NetFlow/sFlow/IPFIX 分析 | 协议深度解析: 理解MQTT主题、CoAP资源等。 设备指纹: 基于MAC地址、协议行为、TLS指纹等识别设备类型/厂商。 行为基线: 为特定设备类型建立通信模式基线(频率、目标、数据量)。 轻量级代理/网关集成: 在网关或边缘计算节点执行检测。 异常检测: 检测协议违反、异常心跳、非预期通信目标/端口、数据泄露模式。 与物理层/设备管理集成 | TLS元数据分析: SNI、证书链验证、JA3/JA3S指纹、密码套件分析。 流统计特征分析: 包大小分布、包间隔、流持续时间、字节/包比例、突发模式。 行为建模: 建立客户端/服务器通信模式基线(时序、方向序列)。 机器学习: 使用元数据和流特征训练模型识别恶意加密流量(C2、数据渗漏)。 (受限)深度检测: SSL/TLS Inspection (MITM解密),需谨慎处理隐私和合规问题。 QUIC协议分析: 应对HTTP/3带来的新挑战。 |
| 关注重点 | * 应用识别与控制 * 用户行为分析 * 高性能威胁检测 * 数据泄露防护(DLP) * 网络性能优化 | * 设备身份与认证: 确保设备合法性。 * 设备行为合规: 是否符合预期协议和通信模式。 * 数据完整性: 防止传感器数据篡改或伪造。 * 物理-网络威胁关联: 结合设备状态异常。 * 大规模设备管理安全 | 恶意加密通道识别: Botnet C2, 勒索软件通信, APT隐蔽信道。 加密数据渗漏检测: 即使内容不可见,也要识别可疑的数据外传模式。 规避技术检测: 发现使用异常SNI、自签名证书、非常用端口等进行TLS通信的行为。 合规性监控: 检查是否使用强加密算法、证书有效性等。 |
| 部署位置 | 企业边界防火墙/IPS/IDS、数据中心入口、核心路由器、ISP骨干网 | 物联网网关、边缘计算节点、靠近IoT设备的网络接入层、IoT云平台入口 | 同传统检测点(边界、核心、云端入口),但需要更强大的处理能力进行元数据和行为分析。SSL Inspection通常部署在边界或特定内部检查点。 |
近年来,随着TLS(transport layer security)协议的广泛应用,网络加密流量不断增加,已经开启了网络数据传输全加密时代.到2023年,网络加密流量已经占据了98%以上,全球前100个网站中有98%都在使用TLS协议[1].根据Sophos公司分析,2021年第1季度,46%的恶意软件利用了TLS协议进行远程通信,较2020年的23%增长了超过1倍[2].全面采用加密通信的趋势不仅提升了用户数据的安全性,也使得网络环境更加安全可靠.
传统的检测技术在检测加密流量时面临挑战,加密流量的复杂性使得传统的基于端口或深度数据包的检测方法变得愈发困难,难以有效识别其中的恶意行为[3].现有研究中大多数方法都是基于领域专家的知识和经验,对特征进行设计和转换,或将原始流量直接作为机器学习或者深度学习模型的输入进行分类.
[1] Google.HTTPS encryption on the Web-Google transparency report[EB/IL]. https://transparencyreport.goog-le.com/https/overview?hl=en
[2] Sean G.Nearly half of malware now use TLS to conceal communications[N/OL].SOPHOS NEWS, (2021-04-21).https://news.so-phos.com/en-us/2021/04/21/nearly-half-of-malware-now-use-tls-to-conceal-communications/
参考文献:
[1]曾庆鹏,贺述明,柴江力.融合多模态特征的恶意TLS流量检测方法[J].信息安全研究,2025,11(02):130-138.
摘要:恶意TLS流量检测旨在识别出利用TLS协议传输恶意活动的网络流量,由于TLS协议的加密特性,传统的基于文本特征的流量分析方法在面对加密流量时效果有限.为了解决这个问题,提出了一种融合多模态特征的恶意TLS流量检测方法(MTBRL),该方法从不同模态中提取和融合特征,实现对恶意TLS流量的检测.
首先,通过专家经验进行特征工程,从加密流量中提取关键特征,包括协议版本、加密套件和证书信息等,对这些特征进行处理后将其转化为2维图像表示,再利用ResNet对这些图像进行编码,以提取图像的特征.
其次,使用加密流量预训练的BERT对TLS流进行编码,从中学习到TLS流的上下文和语义特征.
此外,使用LSTM对加密流量的包长度分布序列进行编码,以捕捉时序特征.最后通过特征融合技术整合不同模态特征,利用反向传播算法自动学习并优化模型的权重参数,以准确预测恶意TLS流量.
实验结果表明,该方法在DataCon2020数据集上准确率、精确率、召回率和F1值分别达到94.94%,94.85%,94.15%和94.45%,显著优于传统机器学习和深度学习方法.