-
作者
霍跃华赵法起吴文昊
-
单位
中国矿业大学(北京)机电与信息工程学院中国矿业大学(北京)网络与信息中心
-
摘要
针对煤矿网络面临由恶意软件所产生的安全传输层协议(TLS)加密恶意流量威胁和检测过程加密流量误报率高的问题,提出了一种基于多特征融合的煤矿网络TLS加密恶意流量检测方法。分析了TLS加密恶意流量特征多元异构的特点,提取出煤矿网络TLS加密恶意流在传输过程中的连接特征、元数据和TLS加密协议握手特征,利用流指纹方法构造煤矿网络TLS加密流量特征集,并对该特征集中的特征进行标准化、独热编码和规约处理,从而得到一个高效样本集。采用决策树(DT)、K近邻(KNN)、高斯朴素贝叶斯(GNB)、L2逻辑回归(LR)和随机梯度下降(SGD)分类器5个子模型对上述特征集进行检验。为提高检测模型的鲁棒性,结合投票法原理将5个分类器子模型结合,构建了多模型投票(MVC)检测模型:将5个分类器子模型作为投票器,每个分类器子模型单独训练样本集,按照少数服从多数原则进行投票,得到每个样本的最终预测值。实验验证结果表明:所构建的特征集降低了样本集维度,提高了TLS加密流量检测效率。DT分类器和KNN分类器在数据集上表现最好,达到了99%以上的准确率,但是它们存在过拟合风险;LR分类器和SGD分类器子模型虽然也达到了90%以上的识别准确率,但这2个子模型的误报率过高;GNB分类器子模型表现最差,准确率只有82%,但该子模型具有误报率低的优势。MVC检测模型在数据集上准确率和召回率达99%以上,误报率为0.13%,提高了加密恶意流量的检出率,加密流量检测误报率为0,其综合性能优于其他分类器子模型。
-
关键词
煤矿网络安全入侵检测安全传输层协议TLS加密恶意流量机器学习多特征融合多模型投票检测
-
基金项目(Foundation)
国家重点研发计划项目(2016YFC0801800);
-
文章目录
0 引言
1 TLS加密协议
2 基于多特征融合的TLS加密恶意流量检测方法
2.1 特征选择
2.2 特征子集的构建与标准化
2.3 特征子集降维
2.4 机器学习模型
2.5 构建多模型投票检测模型
3 实验验证
3.1 数据集
3.2 性能指标
3.3 模型检测结果
4 结论
-
引用格式
霍跃华,赵法起,吴文昊.多特征融合的煤矿网络加密恶意流量检测方法[J].工矿自动化,2022,48(07):142-148.DOI:10.13272/j.issn.1671-251x.17944.
工矿自动化 
2022年第07期 
