网络加密流量识别与分析技术

序论：速发表网结合其深厚的文秘经验，特别为您筛选了1篇网络加密流量识别与分析技术范文。如果您需要更多原创资料，欢迎随时与我们的客服老师联系，希望您能从中汲取灵感和知识！

目前，随着互联网技术的不断应用和发展，对网络安全应用提出了更高的要求，为了保障数据隐私安全，越来越多的网络通信采用了流量加密技术，加密流量在互联网流量中的占比持续增长。以Tor、SSL、VPN、DoH等为代表的加密技术得到了广泛的应用[1]，Google等大型互联网企业也一直在推动加密技术的部署。然而，加密技术的快速应用也在改变着网络安全威胁的形势，攻击者已开始利用加密技术隐匿攻击路径和痕迹，多款恶意代码采用加密信道传输指令和远程窃密，建立在Tor基础上的暗网已经成为犯罪分子的聚集地。加密流量与非加密流量存在巨大差异，加密后符合的文本特征和流特征均已发生变化，传统的网络安全监测分析手段已无法识别基于流量的网络行为，隐匿于加密流量的恶意行为极易逃脱监管，需要对加密流量识别检测技术进行研究，利用新型方法实现加密流量识别和分析。通过对当前技术的深入调研，本文首先介绍了常见的网络流量加密技术基本概念及原理，然后介绍加密流量识别分析最新的研究进展，分类汇总常见技术应用场景和研究方向，讨论不同方法的优缺点，阐述技术研究中使用的评价指标和数据集，总结分析加密流量分析技术存在的不足和难点问题，最后对该领域下一步研究路线进行展望。

1流量加密技术

随着密码技术、通信技术的发展和融合，目前流量加密技术已经非常成熟完善，加密应用场景、加密协议种类、加密效果不断强化，得到了广泛的应用。据外媒数据显示，全球使用HTTPS密的Web流量的比例已经超过了九成。HTTPS网站加密传输协议几乎已经接近普及。（1）网络流量网络中的流量是信息的载体，在TCP/IP协议栈中的网络接口层表现为高低电平信号与二进制流文件，在网络层则表现为包含源地址与目的地址的数据包，在传输层表现为包含五元组数据的报文。（2）加密协议网络加密协议基于密码学，实现流量加密、数字签名、安全认证等网络安全加密服务，常见的加密协议有：网络授权协议Kerberos、安全电子交易协议SET、安全套接层协议SSL、超文本传输安全协议HTTPS、安全电子邮件协议S/MIME、网络层安全协议IPSec等。

2加密流量识别研究进展

加密流量主要是指使用加密算法对明文网络流量进行加密，形成密文在网络中传输，以保障信息的安全。加密流量识别需要根据识别的流量对象与类型进而确定符合的识别方法。（1）加密流量识别对象目前，对于加密流量识别分析主要从协议、应用、服务等入手，对象包括流级、分组级、主机级和会话级，可实现协议识别、服务应用识别、异常流量分析提取和原始内容还原识别等。对于不同的识别对象和识别级别，采用的方法和算法也不尽相同。（2）加密流量识别基本思路和方法目前加密流量的识别方法有基于有效载荷、基于流量行为、基于机器学习、多种策略混合方法等，因为加密破译的成本高、难度大，大多数场景往往不需要还原流量全部内容，故通常采用类似侧信道的方法，通过对流量外部特征的总结归纳和学习，来建立识别分析模型，达到研究目的[2]。（3）加密流量识别研究场景和方法加密与非加密流量识别，加密流量识别需要将加密流量从混杂的网络流量中分离出来。加密后的流量数据一般较为离散呈现分布均匀的特点，可以采用信息熵的方式进行检测。改进后的检测方法以比特为单位对流量数据进行随机采样，以提高检测的时效性。但是压缩后的流量数据与加密流量数据表现为相同的特征，可结合蒙特卡罗方进行精准分类[3]。加密流量应用服务识别，识别加密流量中的应用服务目前的常用方法是基于统计学对流量进行统计分类，在改进的算法中引入了机器学习算法进行分类识别，为了应对流量中的不相关特征降低分类结果，在改进的算法中采用了选择性集成的方法，提取特征较少且稳定的最有特征的子集进行机器学习分类。TLS加密流量分类，SSL/TLS加密技术的广泛应用，保障了用户的数据安全，但是也给不法分子带来了可乘之机。传统的基于端口与有效载荷的方法很难对SSL/TLS进行精准分类，目前主要通过SSL/TLS认证过程中的特征数据进行识别。在改进的算法中采用加权集成学习的方法[4]，立马尔可夫链模型提升检测分类准确率。HTTPS加密流量分类，目前大部分主流网站都默认启用了HTTPS协议，对HTTPS加密流量的识别分类问题成为了研究热点。目前的识别分类技术可以从HTTPS加密流量中识别用户的操作系统，浏览器和应用程序，并基于突发行为和SSL行为的特征模型[5]，达到了较高识别准确率。加密视频流量参数识别，在非加密场景下，ISP服务商希望通过对视频服务质量进行监测和评估，利用深度包检测方式获取视频大小、可播放时间、码率等视频参数，优化视频体验指标。但在加密场景下，需要新的分析识别方法，目前可采用决策树算法，基于视频流量的传输模式，提取视频块特征建立码率和清晰度识别模型，进行分类识别。加密恶意流量识别，越来越多的恶意程序通过加密信道传输控制指令和内容数据，如何识别此类恶意程序成为了网络安全的热点研究方向。通常加密恶意流量特征可以通过解析HTTPS数据包头部信息来获取，而包含这些信息的TLS握手协议在网络中通过明文传输[6]，通过捕获网络数据包生成pcap文件，进行进一步的特征提取与识别。网站指纹攻击技术，通过分析加密流量来识别网站访问日志的基础技术。目前主要基于机器学习中的神经网络学习对流量数据进行识别分类，用以区分内网用户使用加密信道或匿名网络访问的网站类型，尤其是针对访问非法网站、暗网、导致内网失泄密的网站等行为的识别检测。（4）加密流量识别评价指标目前，加密流量识别评价指标主要参照机器学习中性能评估指标包括准确率（Accuracy）、精确率（Precision）、召回率（Recall）、误报率（FPR）等，也可使用F值（FMEA）和完整性（cOMP）指标[7]。

3存在的难点问题

虽然，目前对于加密流量识别的研究已取得了较多成果，机器学习等智能算法在加密流量的识别中得到广泛应用大大提高了加密流量的识别检测率，但仍存在较多问题。（1）能够用于加密流量识别研究的公开数据集非常少，缺乏必要的数据，导致无法有效进行机器学习的模型训练用以提升模型识别精度。（2）目前已有研究成果都是实验或应用于小规模流量，未有大规模流量环境下的测试和部署施，算法的可扩展性有待检验，已无法满足当前加密流量快速增长的背景需求。（3）目前流量伪装混淆技术与对抗机器学习识别技术的研究逐渐成熟，如可使用数据分组的凸优化方法，将流量数据伪装成正常流量数据的特征，实现对检测识别模型的对抗。（4）新型安全协议的发展与应用给加密流量识别带来巨大挑战，如Google提出的基于UDP传输层协议的QUIC，实现了低延时、高可靠和安全性，被HTTP/3.0采纳为底层协议标准[8]。（5）目前的网络加密流量技术主要面向特定的加密协议或应用的识别。面对多种融合加密协议的识别还需要进一步深入的研究。

4未来研究方向展望

基于对现有加密流量识别与分析技术研究的基础上，总结当前加密流量识别所面临的难点与不足，分析未来加密流量识别与分析技术发展趋势，未来主要焦距以下几个方面。（1）对加密流量进行分层，基于多种识别方式提取特征，采用决策树等智能算法进行精细化识别。（2）对加密视频流量，尤其是采用HTTP协议的加密视频流量，实现视频码率与清晰度等内容方面的识别。（3）建立公开的数据集用以进行加密流量研究，尤其是针对恶意程序加密流量建立具有细粒度的数据集，以提升对恶意程序加密流量的识别检测研究。（4）针对流量伪装混淆技术与对抗机器学习识别技术，研究具有有效的识别检测技术，提升识别的准确率。（5）针对流量加密新技术新应用，建立自适应的流量分析识别模型，实现对未知加密类型流量数据的识别检测。

5结束语

本文介绍了网络流量加密技术基本概念及原理，重点总结归纳加密流量识别分析最新的研究进展、常见技术应用场景和研究方向，分析加密流量分析技术存在的不足和难点问题，最后对该领域下一步研究路线进行了展望。围绕新形势新问题，开展加密流量分析识别的研究，对现阶段强化网络安全态势感知和综合治理能力具有重要意义，应充分分析现有技术的不足和面临的困难，引入新型方法，不断优化分析识别精度和能力。

作者:赵煜 李盛葆 尹川铭 单位:国家计算机网络应急技术处理协调中心山东分中心