手机网站建设最新报价,一家电子商务网站建设心得,专业的网页制作服务好,大连装修公司排名前十名0.Abstract 在本文中#xff0c;提出了用于SSL/TLS会话中传输的应用程序流量的随机指纹。这个指纹基于一阶齐次马尔可夫链#xff0c;模型识别应用程序的准确率#xff0c;并提供了检测异常对话的可能性。 1.Introduction 通过SSL/TLS会话时的头部信息创建统计指纹#xff…0.Abstract 在本文中提出了用于SSL/TLS会话中传输的应用程序流量的随机指纹。这个指纹基于一阶齐次马尔可夫链模型识别应用程序的准确率并提供了检测异常对话的可能性。 1.Introduction 通过SSL/TLS会话时的头部信息创建统计指纹用于分类应用流量。研究了 12 个使用 SSL/TLS 的代表性应用程序的马尔可夫链指纹建立的模型展现出特定的结构这种结构能够通过比较应用程序流量和和它带有指纹的消息序列对加密的应用程序流量分类。 2.SSL/TLS Overview 在 SSL/TLS 握手期间很多信息都作为明文发送。但是在服务器 Hello Done 或 Change Cipher SpecProtocol 消息之后只有协议类型、记录的长度和 SSL/TLS 版本没有被加密。
SSL/TLS协议交流流程
将协议中的消息类别用数字表示用于建图和分析。 主要分析服务端文章认为客户端有个性差异但是服务端没有。
III. MARKOV CHAIN FINGERPRINTS Xt表示t时刻的状态it∈{1,2,3…s}it表示一个SSL/TLS信息类别或者在一次TCP片段中传输的一系列SSL/TLS信息类别。 假设满足一阶马尔科夫链
进一步假设满足齐次性
设置Q和W是进入session和离开session的概率分布。 注意Q和W是独立于马尔科夫链的他们只是提供了进入马尔科夫链和离开马尔科夫链的概率。
基于以上定义某个长度为T的序列他是SSL/TLS session的概率就如公式6所示。因为序列是X1、X2…XT这些消息所以计算概率肯定是第一个消息是X1进入的概率然后按照给定的消息序列走的概率对应连乘最后乘一个离开的概率。为什么最后乘一个离开的概率
交叉验证: 4折交叉验证。 四个数据集每次都是一个数据集训练三个数据集测试。为什么和常规理解是反着的
验证相当于是一个多假设决策问题。 最大似然估计把所有应用(12个应用)中消息序列的概率P最大的当作该消息序列的对应应用。因为最大似然估计认为模型求出的消息序列概率P就是他属于某个应用的可能性。最大似然估计的核心:存在即合理。 为了让实验结果更有说服力在第一次实验之后在一年半的时间内又做了两次实验观察之前得到的马尔科夫链指纹是否仍然有效。总而言之应用程序指纹可能会随着时间的推移而演变并且需要定期甚至恒定的更新。
V. DISCUSSION 讨论本文的方法能够精确区分应用程序的原因: 1.许多协议并不完全遵守RFC规范且行为与普通的SSL/TLS协议具有细微的差异。这样产生了高度分化的应用与之对应方便求出高度分化的马尔科夫链指纹进而进行应用的分类。 2.SSL/TLS隧道使用频率正在逐渐增加而使用SSL/TLS加强安全性的不多比如Skype用自己的安全性和实时性通信协议仅使用SSL/TLS隧道来绕过防火墙。因此SSL/TLS 堆栈指纹被简化为几个转换这与其他模型有很大不同。 3.一些 SSL/TLS 协议消息被定义为可选的或上下文相关的。例如在我们研究的前两个数据集中我们没有观察到 PayPal 和 Twitter 会话中的任何服务器密钥交换消息而在 Dropbox 的情况下它总是遵循证书消息。这样应用之间的差异就容易找到。 4.应用实现的功能不同。Twitter只有少数会话转换用户能够发送很多基于文本的消息。Gadu-Gadu 协议的情况下我们可以观察到一百多个会话。
VII. CONCLUSIONS 通过一阶马尔可夫链建立的分类模型达到了不错的分类效果。
优点: 1.分类效果较好 2.方法简单方法需要的时间、资源要求低代码实现简单。 缺点: 1.假设满足马尔可夫链其实研究问题不完全满足马尔可夫链的性质。 2.每个状态基于单个变量消息类型状态表达能力有限容易导致指纹的低区分度。 解决方案: 文章使用1阶马尔可夫链如果尝试用n阶马尔可夫链可能与实际问题关联更加紧密。有助于解决缺点1 每个状态采用消息类别分组长度二元组来表征可能能表达更好的状态有助于解决缺点2
写了一份简单的马尔可夫链python代码输入n输入表示初始状态的概率分布n维行向量与状态转移矩阵n*n的矩阵可以判断迭代一定次数后是否达到稳态。
import numpy as npres []
def check(a,b): #判断相邻两个状态的Π是否相等tmp a - b# print(tmp)if all(abs(i)1e-10 for i in tmp) 0:return Truereturn False
def markov(pai,A): #马尔可夫链给定初始状态和状态转移矩阵求之后的每个状态。如果达到稳态返回Trueres.append(pai)for i in range(1,10000):tmp np.dot(res[i-1],A)res.append(tmp)if check(res[i-1],res[i]):return Truereturn False
def main():n int(input())pai list(map(float,input().split()))A []for _ in range(n):tmp list(map(float,input().split()))A.append(tmp)print(初始状态:,end)print(pai)if markov(pai,A):print(稳态:, end)print(res[-1])
if __name____main__:main()main()3
0.2 0.3 0.5
0.2 0.6 0.2
0.3 0 0.7
0.5 0 0.53
0.7 0.2 0.1
0.2 0.6 0.2
0.3 0 0.7
0.5 0 0.5
