今天为大家介绍一篇发表于 NDSS 2023 的工作。文章提出了流量交互图的概念,并在流量交互图上实现了未知的加密攻击流量识别。

文章链接:

https://dx.doi.org/10.14722/ndss.2023.23080

源代码和数据集:

https://github.com/fuchuanpu/HyperVision

Detecting Unknown Encrypted Malicious Traffic in Real Time via Flow Interaction Graph Analysis

Chuanpu Fu, Qi Li, and Ke Xu

01 科学问题:互联网恶意流量识别

随着互联网的高速普及,网络流量规模日益上升。截至2022年,互联网交换中心的流量规模已突破100Tb/s。这些洪水般的互联网流量中,不仅包含了正常用户流量(例如,抖音视频流),还包含了各类攻击流量(例如,DDoS 攻击,网络扫描),这些攻击流量严重损害我国互联网用户的安全。

若能在流量转发设备上分离出攻击流量,即可保护大量合法用户。但规模庞大的互联网流量要求算法具备良好的的处理效率;从海量合法流量中分离少量攻击流量是一个“大海捞针”般的困难任务。此外,近年来新型攻击的产生对检测精度提出更严格的要求。

02 现有方案:智能恶意流量识别

约十年前,研究人员开始尝试使用人工智能算法自动地从互联网流量当中分离出恶意流量。

在智能恶意流量识别系统当中最重要的是特征提取模块,它将二进制形式的网络数据,转换成为数值形式的特征向量,才能输入机器学习算法。

下图展示了恶意流量识别系统的高层系统架构。

03 局限性:通用加密恶意流量识别问题

加密恶意流量识别一直是研究领域当中的开放性问题,特别是实现通用的加密恶意流量识别。

04 解决方案:流量交互图

将流量表示为图,图结构信息 标识流量交互信息

具体而言,该系统包含了三个主要的组成部分:

1. 流量交互图构建模块:从高带宽流量当中抽取得到数据包的原始特征,并构造流量交互图。

2. 流量交互图预处理模块:对图上的边与节点进行压缩,一条边表示一组流,一个节点表示一组地址。同时计算强连通分量,将图拆分为多个子图。

3. 无监督图学习模块:最后进行无监督图学习,分离出和异常结构相关的边,表示攻击流量,与之关联的节点为攻击者/受害者。

下图展示了流量交互图检测方案的高层系统架构。

05 理论分析:微分熵模型

我们基于信息论建立了流量特征的香农熵模型:

流量交互图通过图压缩 实现更高的信息密度

06 实验验证

绘制流量交互图:下图中分别是洪范攻击、密码爆破、Web漏洞探测、和僵尸网络流量绘制的流量交互图。

准确度提升:我们采用DPDK完全实现本系统,我们重放了80种攻击流量测试其准确度,该方案相比于最先进方案提升了13.9%+的检测准确度

检测吞吐:高速网络实验平台上的结果显示,在线检测达到 28Gb/s 吞吐。

检测延迟:我们测量了检测延迟,结果显示平均延迟 低于1秒。

07 结语

本文旨在解决未知加密恶意流量识别问题。方案提出了流量交互图的概念,将流表示为边,将用户表示为节点,从而使得流量交互图可以表征用户的长期流量交互模式。同时,方案设计无监督图学习方案,检测由异常图结构表征的未知加密攻击流量。最终方案在真实世界流量环境下进行验证,证实了方案多80种攻击有良好检测效果,同时保证检测的高吞吐和低延迟。

声明:本文来自赛博新经济,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。