笔记作者:Norns
原文标题:Realtime Robust Malicious Traffic Detection via Frequency Domain Analysis
原文作者:Chuanpu Fu, Qi Li, Meng Shen, and Ke Xu
发表会议:2021 ACM Computer and Communications Security Conference
原文连接:https://www.software-lab.org/publications/ccs2021_pre-final.pdf
文章小编:bight@SecQuan
0x01 INTRODUCTION
作为基于规则的恶意流量检测方法的补充,基于机器学习模型的恶意流量检测系统越来越多地受到安全公司和研究人员的重视。基于机器学习模型的恶意流量检测模型的一大优点在于其能对未知的网络攻击进行检测,也就是可以识别所谓的零日漏洞攻击(zero-day attack)。然而,目前的基于机器学习的恶意流量检测方法存在着致命的缺陷。比如说,现有的检测方法无法对实时的网络流量进行检测,无法在第一时间对恶意流量进行报警;现有的检测模型还非常容易被绕过,如果攻击者在流量中加入某些噪音的话,这些模型就无法正确地识别出恶意流量。
为了填补这一研究上空白,该论文提出了一种基于频域特征分析的新型恶意流量检测系统,Wisper。这个检测系统不仅在检测的准确性上有所提升,还实现了在实时环境下对高速流量的检测。不仅如此,由于攻击者很难对流量的频域特征进行混淆,这个检测系统还拥有相当的鲁棒性,能够检测插入了正常流量的恶意流量。
本文的主要贡献在于:
提出了一个基于频域特征的恶意流量检测系统,这个系统实现了对恶意流量在高速环境下的实时检测。这个系统还具有较强的鲁棒性,能够对混淆后的恶意流量进行检测。
该论文创新地使用频率分析的方法对网络流量的连续信息进行提取。
设计了一个包特征压缩器,这个压缩器能够生成一个编码向量,在不损失特征关建信息的情况下将数据包特征映射到一个更小的向量空间,减少特征的规模。
提出了一个理论分析框架用于证明Wisper的正确性。
OVERVIEW OF WHISPER
Wisper的整体设计框架下图所示:
在Wisper中,先将流量中单个数据包的特征值(如数据包长度,到达时间间隔)提取出来,再使用训练出来的编码向量将数据包特征映射到低维向量空间中。然后对处理后数据包特征序列进行切片,应用离散傅里叶变换将特征转换为频域上的特征。最后应用一个轻量级的机器学习聚类算法学习正常流量的特征分布,并以此判断网络流量是否为恶意流量。
THEORETICAL ANALYSIS
这一部分对Wisper的数学基础进行了探讨,有兴趣的读者可以自行查阅。
EVALUATION
为了验证Wisper能够达到预设的目标,作者选取不同恶意流量数据集和恶意流量检测模型对Wisper进行验证。验证主要围绕检测的准确性,检测的健壮性,以及检测在高速流量下的实时性三个方面展开。实验选用是评价指标有:true-positive rates,false-positive rates,the area under ROC curve以及equal error rates。
Detection Accuracy
实验的结果表明:相较于现有的最新的恶意流量检测系统,Wisper在检测的准确率上有所提升。
Robustness of Detection
为了验证Wisper的抗干扰性,论文在攻击流量中插入正常的TLS流量以及UDP视频流量,测试Wisper是否还能将恶意流量检测出来。实验的结果表明:相较于其它检测系统,Wisper能够更好地屏蔽混淆流量带来的干扰。
Detection Latency and Throughput
实验的结果表明:Wisper能够在吞吐量最高为13.22Gbps时,在0.06秒检测出恶意流量,而不对检测的准确性造成影响。
CONCLUSION
本文中,作者介绍了一个能够在实时大流量环境下对恶意流量进行检测的系统。这个基于流量频域特征的检测系统能在保证关键信息不丢失的情况下,减少特征的维度和复杂度,从而实现实时检测。不仅如此,由于流量的时域特征表征数据包序列的细粒度连续信息,Wisper能够屏蔽攻击者在流量中插入的噪音所带来的干扰。验证实验的结果表明,Wisper能够到达其预定的目标。
声明:本文来自安全学术圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
