1 加密流量研究现状 1
1.1 研究背景 1
1.2 研究意义 4
1.3 评价指标 5
1.4 相关研究目标与内容 6
1.5 未来研究方向 10
参考文献 11
2 研究背景 14
2.1 加密流量分类概述 14
2.2 加密流量识别粒度相关研究 15
2.2.1 加密与未加密流量分类 15
2.2.2 加密协议识别 16
2.2.3 服务识别 18
2.2.4 异常流量识别 19
2.2.5 内容参数识别 19
2.3 加密流量精细化分类方法相关研究 19
2.3.1 基于有效负载的识别方法 20
2.3.2 数据报负载随机性检测 20
2.3.3 基于机器学习的识别方法 21
2.3.4 基于行为的识别方法 21
2.3.5 基于数据报大小分布的识别方法 22
2.3.6 混合方法 22
2.3.7 加密流量识别方法综合对比 23
2.4 加密流量精细化分类的影响因素 24
2.4.1 隧道技术 24
2.4.2 代理技术 24
2.4.3 流量伪装技术 25
2.4.4 HTTP巭2.0及QUIC协议 25
2.5 加密网络流特征变化相关研究 26
2.6 SSL巭TLS加密应用分类相关研究 27
2.7 SSL巭TLS加密视频QoE参数识别相关研究 27
2.8 小结 28
参考文献 28
3 数学理论方法 37
3.1 信息熵 37
3.2 随机性测度 38
3.2.1 块内频数检验 40
3.2.2 游程检验 41
3.2.3 近似熵检验 42
3.2.4 累加和检验 44
3.3 C4.5 决策树 46
3.3.1 决策树的概念 46
3.3.2 C4.5 算法 46
3.4 深度学习网络 48
3.4.1 CNN 48
3.4.2 自编码器 49
参考文献 50
4 加密协议分析 51
4.1 IPSec安全协议 51
4.1.1 IPSec相关概念 52
4.1.2 报文首部认证协议(AH) 52
4.1.3 封装安全荷载协议(ESP) 54
4.1.4 互联网间密钥交换协议(IKE) 55
4.1.5 IPSec协议实例分析 55
4.1.6 IPSec流量特征分析 61
4.1.7 小结 64
4.2 TLS安全协议 64
4.2.1 Handshake协议 65
4.2.2 Record协议 66
4.2.3 TLS相关子协议 67
4.2.4 TLS1.3 与TLS1.2 的区别 67
4.2.5 TLS协议实例分析 69
4.2.6 TLS流量特征分析 74
4.3 HTTPS安全协议 75
4.3.1 HTTP报文类型 75
4.3.2 HTTP巭2.0的帧格式 77
4.3.3 HTTP巭2.0与HTTP巭1.1 的区别 79
4.3.4 HTTPS的组成及原理 81
4.3.5 HTTPS工作流程抓包分析 81
4.3.6 HTTPS流特征分析 90
4.4 QUIC安全协议 90
4.4.1 QUIC的包类型与格式 91
4.4.2 QUIC的帧类型与格式 94
4.4.3 QUIC特点概述 96
4.4.4 QUIC工作流程抓包分析 101
4.4.5 QUIC流量特征分析 104
4.5 WannaCry分析 106
4.5.1 API HOOK技术 106
4.5.2 WannaCry原理 107
4.5.3 解密方法架构 108
4.5.4 实验验证 111
4.5.5 小结 114
参考文献 114
5 加密与非加密流量识别 115
5.1 加密流量性质 115
5.2 加密流量识别方法 115
5.2.1 多元组熵 116
5.2.2 累加和检验 118
5.2.3 C4.5 决策树算法 119
5.2.4 加密流量识别流程及算法 119
5.2.5 实验结果与分析 121
5.3 真实网络环境加密流量测量 123
5.3.1 数据集 123
5.3.2 识别流程 123
5.3.3 测量结果分析 124
5.4 小结 126
参考文献 126
6 加密流量应用服务识别 128
6.1 基于选择性集成的特征选择方法 128
6.1.1 方法描述 128
6.1.2 稳定性评估 132
6.1.3 实验分析 133
6.1.4 小结 138
6.2 基于加权集成学习的自适应分类方法 138
6.2.1 网络流特征变化 138
6.2.2 方法描述 140
6.2.3 实验分析 144
6.2.4 小结 150
6.3 基于深度学习的分类方法 150
6.3.1 方法描述 151
6.3.2 实验结果 154
6.3.3 分析讨论 158
6.3.4 小结 160
6.4 基于熵的加密协议指纹识别 160
6.4.1 相关测度 161
6.4.2 方法描述 162
6.4.3 评估 168
6.4.4 小结与展望 171
6.5 non-VPN和VPN加密流量分类方法 172
6.5.1 实验数据集 172
6.5.2 实验过程 173
6.5.3 实验结果分析 175
6.5.4 小结 178
参考文献 178
7 TLS加密流量分类方法 180
7.1 基于Markov链的分类 180
7.1.1 SSL巭TLS协议交互特征 180
7.1.2 SSL巭TLS加密应用分类方法 182
7.1.3 实验分析 186
7.1.4 小结 191
7.2 Tor行为分析 191
7.2.1 测量方法 191
7.2.2 服务器连接 192
7.2.3 服务器特性 194
7.2.4 小结 196
参考文献 196
8 HTTPS加密流量分类方法 198
8.1 HTTPS加密流量的识别方法 198
8.1.1 方法描述 198
8.1.2 实验结果 201
8.1.3 小结 203
8.2 HTTPS协议语义推断 203
8.2.1 相关背景 205
8.2.2 数据集 208
8.2.3 语义推断方法 212
8.2.4 应用场景 219
8.2.5 小结 221
8.3 HTTPS拦截的安全影响 222
8.3.1 相关背景 223
8.3.2 TLS实现启发式 224
8.3.3 测量TLS拦截 228
8.3.4 实验结果 229
8.3.5 对安全的影响 235
8.3.6 小结 238
参考文献 238
9 加密视频流量参数识别 240
9.1 加密视频流量QoE参数识别 240
9.1.1 引言 240
9.1.2 自适应码流及QoE评估模型 241
9.1.3 基于视频块特征的视频QoE参数识别 243
9.1.4 实验分析 248
9.1.5 小结 254
9.2 加密视频QoE评估 255
9.2.1 相关背景 255
9.2.2 数据集 256
9.2.3 检测模型 258
9.2.4 加密流量评估 265
9.2.5 小结 269
9.3 实时视频清晰度质量分类 269
9.3.1 YouTube分析 270
9.3.2 问题描述 272
9.3.3 提出的方法 272
9.3.4 性能评估 274
9.3.5 小结 278
参考文献 278
10 加密恶意流量识别 280
10.1 基于深度学习的恶意流量检测方法 280
10.1.1 梯度稀释现象分析 280
10.1.2 数量依赖反向传播 281
10.1.3 树形深度神经网络 282
10.1.4 实验验证 283
10.1.5 小结 288
10.2 无解密分析TLS中的恶意软件 288
10.2.1 初步假设 289
10.2.2 实验数据 290
10.2.3 恶意软件家族和TLS 293
10.2.4 加密流量分类 298
10.2.5 家族归属 302
10.2.6 方法局限性 304
10.3 基于背景流量的恶意流量检测方法 306
10.3.1 恶意软件与DNS 308
10.3.2 恶意软件与HTTP 310
10.3.3 实验数据 312
10.3.4 加密流量分类 314
10.3.5 小结 317
参考文献 317
彩插 319