基于海量网络行为分析的SSL/TLS加密恶意行为检测研究

基本信息
批准号:61602472
项目类别:青年科学基金项目
资助金额:20.00
负责人:曹自刚
学科分类:
依托单位:中国科学院信息工程研究所
批准年份:2016
结题年份:2019
起止时间:2017-01-01 - 2019-12-31
项目状态: 已结题
项目参与者:赵咏,苟高鹏,扶佩佩,崔明鑫,潘海清,邓卫东
关键词:
行为模型异常网络行为行为特征网络行为流量识别
结项摘要

The detection of SSL/TLS encrypted malicious behavior plays a very important role in encrypted network behavior analysis, network user behavior management, data leakage and covert attack discovery. In view of the fact that there is no systematic research and practical solutions, we will explore a solution based on the measurement and analysis of massive network behaviors of server certificate, client behavior, server behavior, as well as the protocol mimicry behavior, et.al. We will focus on the Internet digital certificate database based on the combination of active and passive measurement, the large-scale user network behavior database based on passive measurement, the malicious behavior camouflage discovery based on protocol state and entity behavior, and explore the malicious behavior detection scheme based on the analysis of massive network behavior data, striving to achieve the effective detection of malicious behaviors such as Trojans and botnet. This project is meaningful for hidden malicious behavior detection, covert network attack clues discovery, forensic analysis and network supervision.

SSL/TLS加密恶意行为检测在加密网络行为分析,用户网络行为管理,数据泄露和隐蔽攻击发现等方面非常重要。鉴于目前尚无系统性的研究和实用的解决方案,我们将基于海量网络行为测量与分析,从服务器数字证书、客户端行为、服务器行为、协议伪装对抗行为等多个方面研究解决方法。重点研究基于主被动结合测量的互联网数字证书库和基于被动测量的大规模用户网络行为知识库构建,基于协议状态和实体行为的伪装等恶意对抗行为发现等,并探索基于海量网络行为大数据分析的加密恶意行为检测方案,力争实现针对窃密木马、僵尸网络等典型恶意行为的有效检测。本项目对于研究通用加密场景下隐蔽恶意行为检测方法,隐蔽式网络攻击线索的发现,取证分析,攻击溯源,网络监管等具有重要意义。

项目摘要

SSL/TLS加密恶意行为检测在加密网络行为分析,用户网络行为管理,数据泄露检测和隐蔽攻击发现等方面非常重要。尤其是在网络通信加密化的今天,互联网流量朝着全加密化方向演进,传统内容检测机制面临全面失效,亟需探索加密场景下网络行为的识别方法。本项目重点研究了基于大规模测量的海量加密网络行为数据集构建,基于机器学习的加密流量分类,加密恶意服务与异常行为检测,基于知识库和多维分析加密对抗恶意行为检测,新型加密网络协议跟踪与测量分析等内容。首先,在SSL/TLS的服务测量与知识库构建方面,形成了测量方法论,完成了基于大规模测量的海量加密网络行为数据集构建,构建了数量巨大的证书库;完成了加密行为指纹提取,指纹构建关键技术研究,大规模用户行为统计信息库的构建及分析方法。其次,探索了基于人工智能技术在加密流量分类和加密恶意行为识别领域的可行性和应用问题。原始加密流量的分类识别方面,针对加密流量分析的三个领域应用分类,web分类,视频流分类三个领域,探索了基于机器学习的技术方案,包括前沿的深度神经网络,深度森林,以及集成学习,度量学习等在本领域的应用,并对私有加密协议的细粒度分类进行了研究。再次,在加密恶意行为的检测方法论方面,经过研究探索,确立了基于流量指纹,证书库,行为知识库的行为检测方案,分别从内容检测、资源标识检测和行为特异性检测三个维度结合人工智能技术进行层次识别的恶意行为检测方案。本项目的研究可以视为面向流量全加密化场景的行为分析技术的探索。本项目的成果可用于一般性的以流量数据或加密后的行为数据为输入进行行为识别的网络安全或网络管理业务场景中,可应用于国家级,企业级环境。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

跨社交网络用户对齐技术综述

跨社交网络用户对齐技术综述

DOI:10.12198/j.issn.1673 − 159X.3895
发表时间:2021
2

粗颗粒土的静止土压力系数非线性分析与计算方法

粗颗粒土的静止土压力系数非线性分析与计算方法

DOI:10.16285/j.rsm.2019.1280
发表时间:2019
3

中国参与全球价值链的环境效应分析

中国参与全球价值链的环境效应分析

DOI:10.12062/cpre.20181019
发表时间:2019
4

基于公众情感倾向的主题公园评价研究——以哈尔滨市伏尔加庄园为例

基于公众情感倾向的主题公园评价研究——以哈尔滨市伏尔加庄园为例

DOI:
发表时间:2022
5

居住环境多维剥夺的地理识别及类型划分——以郑州主城区为例

居住环境多维剥夺的地理识别及类型划分——以郑州主城区为例

DOI:10.11821/dlyj201810008
发表时间:2018

曹自刚的其他基金

相似国自然基金

1

面向海量恶意程序检测的行为序列挖掘方法研究

批准号:61762062
批准年份:2017
负责人:廖晓锋
学科分类:F0607
资助金额:34.00
项目类别:地区科学基金项目
2

面向网络加密流量的恶意移动应用检测研究

批准号:61702282
批准年份:2017
负责人:何高峰
学科分类:F0205
资助金额:25.00
项目类别:青年科学基金项目
3

基于行为特征的恶意程序动态分析与检测研究

批准号:U1404620
批准年份:2014
负责人:曹莹
学科分类:F0210
资助金额:30.00
项目类别:联合基金项目
4

基于行为的恶意Web脚本分析与检测技术研究

批准号:61003274
批准年份:2010
负责人:向继
学科分类:F0205
资助金额:20.00
项目类别:青年科学基金项目