Paper Reading: Encrypted Malware Traffic Detection Using TLS Features + Random Forest
文献信息
| 属性 | 内容 |
|---|---|
| 序号 | 23 |
| 标题 | Encrypted Malware Traffic Detection Using TLS Features and Random Forest |
| 年份 | 2021 |
| 会议 | International Conference on Computational & Experimental Engineering |
1. 研究背景
1.1 挑战
- 恶意软件使用 TLS 加密通信
- 传统 DPI 无法检测
- 需要元数据特征分析
1.2 观察发现
恶意软件的 TLS 特征与正常流量不同:
- 较少的 TLS 扩展
- 受限的密码套件
- 常见自签名证书
2. TLS 特征分析
2.1 恶意软件特征模式
| 特征 | 正常流量 | 恶意软件 |
|---|---|---|
| TLS 扩展数 | 多 | 少 |
| 密码套件 | 标准 | 受限 |
| 自签名证书 | 少 | 常见 |
| SNI 一致性 | 高 | 低 |
2.2 Random Forest 分类
TLS 特征 → Random Forest → 分类结果
├── 正常
└── 恶意3. 主要贡献
- 分析恶意软件的 TLS 特征
- 提出基于 RF 的检测方法
- 高召回率检测
4. 结论
TLS 元数据分析是检测加密恶意流量的有效方法。
阅读时间: 2026-04-17