基于传输层会话行为统计特征的恶意流量识别

摘要 准确高效地在骨干网流量中识别各种恶意流量一直都是网络安全领域的热点需求.分析设计了一种使用8种传输层会话特征的恶意流量检测及识别方法,并结合数据包固定特征检测实现了一个恶意流量实时识别引擎.系统选取的会话双向数据包长度分布、不同字节出现频率、字节数据重用值和时间间隔等会话行为特征通用性强、协议区分度高,能够很好地支持系统的扩展性.实验结果表明采用该引擎的恶意流量识别系统对具体会话协议的识别只需要处理对应会话的前20-30个数据包,在保证较高识别准确率的同时,较好地满足了实时性的要求