《表1 TLS特征:基于机器学习的TLS恶意加密流量检测方案》
恶意加密流量和良性流量具有非常明显的TLS特征差异,如表1所示。这些差异主要表现在:提供的密码组、客户端公钥长度、TLS扩展和服务器证书收集所采用的密码套件等。在流量采集过程中,可以从客户端发送的请求中获取TLS版本、密码套件列表和支持的TLS扩展列表。若分别用向量表示客户端提供的密码套件列表和TLS扩展列表,可以从服务器发送的确认包中的信息确定两组向量的值。同时从密钥交换的数据包中,得到密钥的长度。
图表编号 | XD00139963000 严禁用于非法目的 |
---|---|
绘制时间 | 2020.02.15 |
作者 | 骆子铭、许书彬、刘晓东 |
绘制单位 | 中国电子科技集团公司第五十四研究所、石家庄通信测控技术研究所、中国电子科技集团公司第五十四研究所、中国电子科技集团公司第五十四研究所 |
更多格式 | 高清、无水印(增值服务) |