一種面向加密流量的網(wǎng)絡(luò)應(yīng)用識(shí)別方法

孫中軍,翟江濤

(江蘇科技大學(xué) 電子信息學(xué)院,江蘇 鎮(zhèn)江 212003)

0 概述

近年來(lái),以僵尸網(wǎng)絡(luò)[1]、高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)[2-4]、木馬[5]等為主要形式的網(wǎng)絡(luò)攻擊事件不斷發(fā)生,用戶對(duì)隱私保護(hù)和網(wǎng)絡(luò)安全意識(shí)逐漸增強(qiáng),使得加密流量在互聯(lián)網(wǎng)流量中占比越來(lái)越大。安全套接層(Secure Socket Layer,SSL)協(xié)議具備良好的兼容性和易用性[6],因此網(wǎng)絡(luò)應(yīng)用大多使用SSL加密協(xié)議來(lái)保證信息在網(wǎng)絡(luò)中安全的傳輸,針對(duì)其的識(shí)別研究也受到科研工作者的廣泛關(guān)注。

當(dāng)前國(guó)內(nèi)外學(xué)者在加密流量識(shí)別領(lǐng)域取得了諸多研究成果。文獻(xiàn)[7]計(jì)算未加密流量與加密流量的相關(guān)性,從相關(guān)性角度選取29種未加密流量與加密流量強(qiáng)相關(guān)的特征輸入機(jī)器學(xué)習(xí)算法識(shí)別加密流量并取得了較好的效果,但是該方法選取特征多、計(jì)算量大,不能實(shí)現(xiàn)在線流量實(shí)時(shí)識(shí)別。文獻(xiàn)[8]在國(guó)際公開(kāi)ISCX VPN-nonVPN數(shù)據(jù)集上對(duì)數(shù)據(jù)包進(jìn)行填充、截取等處理,無(wú)需提取特征并將數(shù)據(jù)包字節(jié)輸入CNN算法模型進(jìn)行識(shí)別,實(shí)驗(yàn)結(jié)果證明該方法能有效地進(jìn)行流量分類識(shí)別。文獻(xiàn)[9]根據(jù)加密數(shù)據(jù)的隨機(jī)性特點(diǎn),提出一種基于加權(quán)累積和檢驗(yàn)的時(shí)延自適應(yīng)加密流量盲識(shí)別算法,通過(guò)實(shí)驗(yàn)驗(yàn)證了該方法能有效區(qū)別加密流量。然而,上述方法通常只進(jìn)行網(wǎng)絡(luò)中加密流量粗顆粒的識(shí)別,但是隨著流量分析需求的提高,僅識(shí)別流量是否加密遠(yuǎn)遠(yuǎn)不夠,需要更進(jìn)一步精細(xì)化識(shí)別加密流量的具體應(yīng)用[10],實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中流量的可控可管,同時(shí)由于安全性和兼容性的考慮,SSL協(xié)議的應(yīng)用變得越來(lái)越復(fù)雜,如何有效進(jìn)行精細(xì)化識(shí)別SSL協(xié)議下的網(wǎng)絡(luò)應(yīng)用已成為當(dāng)前網(wǎng)絡(luò)管理面臨的挑戰(zhàn)。本文提出基于SSL協(xié)議交互字段與多輸入最大化單輸出隱馬爾可夫模型(Hidden Markov Model，HMM)的并行識(shí)別方法。

1 SSL協(xié)議與消息編碼

SSL協(xié)議提供應(yīng)用層和傳輸層之間的數(shù)據(jù)安全性機(jī)制[11],在客戶端和服務(wù)器之間建立安全通道,對(duì)數(shù)據(jù)進(jìn)行加密保護(hù),從而保證數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的信息安全,SSL協(xié)議現(xiàn)已廣泛應(yīng)用于網(wǎng)絡(luò)中。SSL協(xié)議分層及數(shù)據(jù)封裝如圖1所示,上層為SSL握手協(xié)議、SSL改變密碼規(guī)則協(xié)議和SSL報(bào)警協(xié)議,下層為SSL記錄協(xié)議[12]。

圖1 SSL數(shù)據(jù)封裝格式Fig.1 Format of SSL data encapsulation

SSL在客戶端和服務(wù)器中的會(huì)話過(guò)程如圖2所示?？蛻舳伺c服務(wù)器相互問(wèn)詢并協(xié)商所使用的協(xié)議版本,選擇加密算法;客戶端服務(wù)器相互認(rèn)證,協(xié)商加密密鑰及其更改規(guī)范;協(xié)商完成后開(kāi)始在加密的網(wǎng)絡(luò)通道傳輸應(yīng)用數(shù)據(jù)[13]。

圖2 SSL會(huì)話過(guò)程Fig.2 SSL session process

為更方便地描述及識(shí)別具體的加密流量應(yīng)用,本文對(duì)SSL協(xié)議會(huì)話消息按圖3的方式進(jìn)行編碼。

圖3 SSL會(huì)話編碼表Fig.3 Encoding table of a SSL session

本文實(shí)驗(yàn)識(shí)別對(duì)象為SSL加密協(xié)議下的應(yīng)用,相比傳統(tǒng)的特征向量,本文方法采用SSL協(xié)議交互階段的字段作為特征向量可靠性高,并且容易提取。本文實(shí)驗(yàn)根據(jù)SSL協(xié)議交互階段的字段特點(diǎn)進(jìn)行識(shí)別具體加密流量的應(yīng)用,不同加密應(yīng)用數(shù)據(jù)流在來(lái)自服務(wù)器端方向和來(lái)自客戶端方向的SSL協(xié)議交互階段的字段具有不同的出現(xiàn)規(guī)律,比如本文使用來(lái)自服務(wù)器端方向的網(wǎng)絡(luò)流,則可以采用圖4的方式表示2條來(lái)自某應(yīng)用Y的流,其具有在C:3,C:6字段后出現(xiàn)A、C字段的特點(diǎn),之后傳輸不同個(gè)數(shù)的應(yīng)用數(shù)據(jù)包。

圖4 加密應(yīng)用消息編碼流Fig.4 Coding streams of an encrypted application message

本文用X={X1,X2,…,Xn}表示網(wǎng)絡(luò)流的集合,其中,X集合中包含n個(gè)網(wǎng)絡(luò)流,Xi表示X集合中的一條網(wǎng)絡(luò)流,Xi={Z1,Z2,…,Zk}表示Xi這條網(wǎng)絡(luò)流的集合包括k個(gè)數(shù)據(jù)包,Zi表示其中的一個(gè)數(shù)據(jù)包,本文定義數(shù)據(jù)包為五元組Zi=,其中,No表示數(shù)據(jù)包序號(hào),Source表示源IP,Destination表示目的IP,Protocol表示傳輸層協(xié)議,Info表示SSL協(xié)議交互子協(xié)議。Y={Y1,Y2,…,Ym}表示共有m個(gè)加密應(yīng)用的集合,本文設(shè)計(jì)的識(shí)別模型功能即實(shí)現(xiàn)集合X到集合Y的映射,從而實(shí)現(xiàn)SSL加密流量應(yīng)用的有效識(shí)別。

2 基于隱馬爾可夫模型的加密應(yīng)用識(shí)別方法

2.1 隱馬爾可夫模型

隱馬爾可夫模型[14]是關(guān)于時(shí)序的概率模型,滿足“將來(lái)”的狀態(tài)分布只取決于“現(xiàn)在”與“過(guò)去”無(wú)關(guān)的馬爾科夫過(guò)程[15]和任一時(shí)刻的觀測(cè)狀態(tài)只與該時(shí)刻的隱藏狀態(tài)有關(guān)的假設(shè),其包含了一個(gè)底層隱藏的隨時(shí)間改變的馬爾科夫過(guò)程,可以看作是馬爾科夫模型的概率函數(shù)。

隱馬爾科夫模型的構(gòu)建首先要初始化均勻分布模型;然后利用Viterbi算法求得第一次計(jì)算的狀態(tài)序列;之后利用Baum-Welch算法[16]計(jì)算出第一次的五元組模型的參數(shù)ψ={S,O,A,B,π},其中,S表示隱藏狀態(tài)的集合,N為隱狀態(tài)個(gè)數(shù),O表示觀測(cè)狀態(tài)的集合,M為觀測(cè)狀態(tài)個(gè)數(shù),A表示隱藏狀態(tài)的N×N的狀態(tài)轉(zhuǎn)移概率矩陣,B表示隱藏狀態(tài)到觀測(cè)狀態(tài)的N×M的混淆矩陣,π表示隱藏狀態(tài)的初始化概率矩陣;最后用重估公式判斷是否收斂,若沒(méi)有收斂則繼續(xù)不斷的迭代計(jì)算,否則即可得到最優(yōu)的模型參數(shù)。具體模型的建立過(guò)程如圖5所示。

圖5 隱馬爾科夫模型建立過(guò)程Fig.5 Establishment process of HMM

2.2 面向加密流量的應(yīng)用識(shí)別方法

傳統(tǒng)模型在識(shí)別加密應(yīng)用時(shí)通常存在特征提取困難和特征冗余的問(wèn)題,而本文方法采用SSL協(xié)議交互階段的字段作為隱馬爾科夫模型的觀測(cè)序列O=(O1,O2,…,Ot),相比較傳統(tǒng)方法的特征,SSL協(xié)議交互階段的字段容易提取,且避免了過(guò)多的特征帶來(lái)的特征冗余問(wèn)題,繼而造成特征偏置降低模型分類性能和效率。因此,本文提出一種基于SSL協(xié)議交互字段的多輸入最大化單輸出HMM并行識(shí)別框架。該框架只需觀察來(lái)自客戶端或者服務(wù)器單方向數(shù)據(jù)流的SSL協(xié)議交互階段字段序列作為隱馬爾科夫的觀測(cè)序列,通過(guò)對(duì)均勻分布的初始化模型不斷迭代訓(xùn)練學(xué)習(xí),找到最佳的模型λ,從而獲得與觀測(cè)序列最匹配的隱藏狀態(tài)。該觀測(cè)序列與隱藏狀態(tài)并不是一一對(duì)應(yīng)的關(guān)系,而是存在概率的對(duì)應(yīng)關(guān)系,即通過(guò)前向算法得到最大的P(λ|O),利用隱馬爾科夫模型的雙重隨機(jī)性可以達(dá)到識(shí)別加密流量應(yīng)用的目的。多輸入最大化單輸出的HMM并行識(shí)別流程(如圖6所示)具體如下:

1)通過(guò)電腦開(kāi)啟無(wú)線熱點(diǎn)功能,用智能手機(jī)連接無(wú)線熱點(diǎn)并訪問(wèn)應(yīng)用服務(wù)器,同時(shí)用Wireshark捕獲手機(jī)訪問(wèn)應(yīng)用服務(wù)器的數(shù)據(jù)包作為原始數(shù)據(jù)集。

2)進(jìn)一步對(duì)原始數(shù)據(jù)集進(jìn)行預(yù)處理,過(guò)濾丟棄非SSL數(shù)據(jù)包,提取SSL數(shù)據(jù)包五元組存入數(shù)據(jù)庫(kù),并對(duì)SSL交互協(xié)議字段排序連接去重,最后構(gòu)成SSL網(wǎng)絡(luò)流實(shí)驗(yàn)數(shù)據(jù)集。

3)對(duì)待識(shí)別的所有應(yīng)用建立模型形成指紋庫(kù)。獲取觀測(cè)序列樣本并輸入每個(gè)HMM模型,利用前向算法計(jì)算得出該加密應(yīng)用被識(shí)別為每個(gè)HMM模型的概率,并進(jìn)行對(duì)數(shù)變換以避免得出的概率值太小導(dǎo)致數(shù)值太密集。

4)隨機(jī)選擇每種應(yīng)用的100個(gè)樣本特征輸入每個(gè)HMM模型進(jìn)行比較,取所得的最小的概率值作為閾值。

5)將求得概率與閾值進(jìn)行比較,若得出的概率小于閾值的樣本,則反饋給模型,表示模型不存在該應(yīng)用;若大于閾值,則取概率最大的模型對(duì)應(yīng)的應(yīng)用作為識(shí)別結(jié)果,表示應(yīng)用識(shí)別成功。

圖6 多輸入最大化單輸出的HMM并行識(shí)別流程Fig.6 Procedure of HMM parallel identification with multipleinputs and a maximal single output

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)環(huán)境

本文實(shí)驗(yàn)的主機(jī)配置:操作系統(tǒng)為Windows 7專業(yè)版,CPU為四核Intel(R)Core(TM)i5-3230M CPU @2.60 GHz,8 GB內(nèi)存。第三方軟件及API包括VMware Worksation 12、Ubuntu 16.04、Wireshark 2.2.1、MySQL 8.0.13、Python 3.6.4、scapy-ssl、hmmlearn等。

3.2 實(shí)驗(yàn)數(shù)據(jù)集

3.2.1 數(shù)據(jù)集預(yù)處理

本文實(shí)驗(yàn)的數(shù)據(jù)集預(yù)處理流程如圖7所示,首先通過(guò)智能手機(jī)連接無(wú)線熱點(diǎn)捕獲原始數(shù)據(jù)集,進(jìn)一步過(guò)濾丟棄非SSL數(shù)據(jù)包,提取SSL數(shù)據(jù)包五元組存入數(shù)據(jù)庫(kù),并對(duì)SSL交互協(xié)議字段排序連接與去重,最后構(gòu)成SSL網(wǎng)絡(luò)流實(shí)驗(yàn)數(shù)據(jù)集。

圖7 數(shù)據(jù)集預(yù)處理流程Fig.7 Procedure of dataset preprocessing

3.2.2 數(shù)據(jù)集獲取

為測(cè)試本文方法檢測(cè)加密應(yīng)用的準(zhǔn)確性,實(shí)驗(yàn)數(shù)據(jù)集來(lái)源于實(shí)驗(yàn)室真實(shí)網(wǎng)絡(luò)。如圖8所示,通過(guò)智能手機(jī)連接無(wú)線熱點(diǎn)訪問(wèn)應(yīng)用服務(wù)器,并用Wireshark捕獲支付寶、新浪微博、印象筆記、前程無(wú)憂51Job這4種SSL加密應(yīng)用流量數(shù)據(jù)包,實(shí)驗(yàn)數(shù)據(jù)集信息如表1所示。

圖8 數(shù)據(jù)集獲取示意圖Fig.8 Schematic diagram of dataset acquisition

表1 實(shí)驗(yàn)數(shù)據(jù)集設(shè)置Table 1 Setting of the experimental dataset

3.2.3 SSL過(guò)濾

由于流經(jīng)網(wǎng)卡的數(shù)據(jù)包有多個(gè)網(wǎng)絡(luò)應(yīng)用,而并非每個(gè)應(yīng)用都使用SSL協(xié)議加密數(shù)據(jù)包,因此捕獲的流量有很多是與本文實(shí)驗(yàn)無(wú)關(guān)的非SSL數(shù)據(jù)包,需要進(jìn)一步過(guò)濾處理獲得純凈的實(shí)驗(yàn)數(shù)據(jù)集。

本文實(shí)驗(yàn)根據(jù)網(wǎng)絡(luò)流的前3個(gè)數(shù)據(jù)包字節(jié)判斷過(guò)濾SSL數(shù)據(jù)包,其中,biti[x]表示包i中的第x比特,biti[x:y]表示包i中的第x比特至第y比特,令Bytei[z]表示包i中的第z個(gè)字節(jié),Sizei表示包i的大小。過(guò)濾算法的偽代碼如下:

If bit2[0]=1 and bit2[1]=0 and bit2[2:15]=Size2 and Byte2[3]=4

This is an SSLv2 connection

Else If Byte2[1]=22 and Byte2[2]=3

If Byte2[3]=0

This is an SSLv3.0 connection

Else If Byte2[3]=1

This is a TLS connection

Else Connection is not using SSL

Else Connection is not using SSL

3.2.4 網(wǎng)絡(luò)流構(gòu)成

對(duì)于過(guò)濾出數(shù)據(jù)集的SSL加密網(wǎng)絡(luò)數(shù)據(jù)流,本文提取數(shù)據(jù)包的五元組信息并存入Mysql數(shù)據(jù)庫(kù)。由于網(wǎng)絡(luò)等原因SSL協(xié)議交互階段存在重復(fù)發(fā)送的現(xiàn)象,因此需要進(jìn)一步去除重復(fù)交互字段提高實(shí)驗(yàn)效果。

通過(guò)大量的數(shù)據(jù)包統(tǒng)計(jì)和SSL協(xié)議設(shè)計(jì)的特點(diǎn),發(fā)現(xiàn)加密應(yīng)用的SSL會(huì)話由“Server Hello”開(kāi)始,因此可以按照Info字段的值,“Server Hello”將不同會(huì)話的數(shù)據(jù)包分割構(gòu)成隱馬爾可夫模型的觀測(cè)序列。本文設(shè)計(jì)的多輸入最大化單輸出HMM識(shí)別框架僅需對(duì)來(lái)自一個(gè)方向的網(wǎng)絡(luò)流進(jìn)行分析,實(shí)驗(yàn)選取服務(wù)器到客戶端的數(shù)據(jù)流作為研究對(duì)象,最終獲取的實(shí)驗(yàn)數(shù)據(jù)集樣式如表2所示。

表2 實(shí)驗(yàn)數(shù)據(jù)集樣式Table 2 Format of the experimental dataset

3.2.5 數(shù)據(jù)集標(biāo)記

本文實(shí)驗(yàn)采用逆向域名解析系統(tǒng)(Reverse Domain Name System,RDNS)和人工標(biāo)記相結(jié)合的方法標(biāo)記數(shù)據(jù)集。RDNS是域名解析系統(tǒng)的逆向解析過(guò)程,能夠根據(jù)輸入的IP地址,獲取該IP的歸屬信息。本文系統(tǒng)使用Linux的nslookup命令解析IP,如命令nslookup qt=ptr 110.75.130.49解析結(jié)果為49.130.75.110.in-addr.arpa name=host-49.alipay.com,則將IP 110.75.130.49標(biāo)記為支付寶應(yīng)用,但是并不是所有的IP都能用RDNS得到IP的歸屬信息,對(duì)于這部分的應(yīng)用采用人工標(biāo)注的方法,在連接到無(wú)線熱點(diǎn)的智能手機(jī)上,僅啟動(dòng)目的應(yīng)用,從捕獲到的數(shù)據(jù)包中利用排除法確定目的應(yīng)用的服務(wù)器IP。

3.3 結(jié)果分析

3.3.1 評(píng)價(jià)指標(biāo)

為客觀評(píng)價(jià)本文方法的性能,選擇準(zhǔn)確率(True Positive Rate,TPR)和虛警率(False Positive Rate,FPR)這2項(xiàng)評(píng)價(jià)指標(biāo),準(zhǔn)確率是所有預(yù)測(cè)正確樣本占總樣本的比重,虛警率是反映被判為正例樣本中負(fù)例樣本數(shù)量的比重,計(jì)算公式為:

TPR=Tp/(Tp+Fp)

(1)

FPR=FP/(FP+TN)

(2)

其中,Tp表示目的加密應(yīng)用的樣本被正確識(shí)別的個(gè)數(shù),Fp表示真實(shí)是非目的加密應(yīng)用但被正確標(biāo)識(shí)為目的加密應(yīng)用的個(gè)數(shù),TN表示真實(shí)是非目的加密應(yīng)用被錯(cuò)誤標(biāo)識(shí)為目的加密應(yīng)用的個(gè)數(shù)。

3.3.2 不同方向數(shù)據(jù)流的比較

如圖9所示,來(lái)自服務(wù)器單方向(SC)數(shù)據(jù)流和兩個(gè)方向(SC-CS)的數(shù)據(jù)流在本文方法中都具有良好的識(shí)別效果,由于SC單方向數(shù)據(jù)流相對(duì)于SC-CS方向數(shù)據(jù)流模型計(jì)算量小,考慮到模型時(shí)間效率和計(jì)算機(jī)的資源開(kāi)銷,本文采用只觀察來(lái)自SC單方向數(shù)據(jù)流來(lái)識(shí)別加密應(yīng)用,這更符合對(duì)加密應(yīng)用的實(shí)時(shí)識(shí)別需求。

圖9 不同方向數(shù)據(jù)流的準(zhǔn)確率比較Fig.9 Comparison of true positive rate of data streams indifferent directions

3.3.3 與傳統(tǒng)識(shí)別方法的比較

圖10、圖11是本文提出的基于SSL協(xié)議交互字段與多輸入最大化單輸出HMM的并行識(shí)別方法與文獻(xiàn)[17-18]識(shí)別方法的實(shí)驗(yàn)效果對(duì)比。本文方法通過(guò)對(duì)數(shù)據(jù)集按7 ∶3的比例隨機(jī)劃分訓(xùn)練集和測(cè)試集,經(jīng)過(guò)多次實(shí)驗(yàn)驗(yàn)證其對(duì)加密應(yīng)用識(shí)別的平均準(zhǔn)確率和虛警率分別為95.78%和5.16%,較文獻(xiàn)[17-18]識(shí)別方法在平均準(zhǔn)確率上分別提高了5.66%和2.46%,同時(shí)在平均虛警率上分別下降了3.19%和2%,各項(xiàng)性能指標(biāo)均優(yōu)于已有的加密應(yīng)用識(shí)別模型。對(duì)本文方法識(shí)別失敗的樣本進(jìn)行分析可知,少量數(shù)據(jù)流存在某個(gè)SSL會(huì)話字段的發(fā)送失敗,這就造成了不同加密應(yīng)用的特征模糊化,降低了模型識(shí)別效果。文獻(xiàn)[17]將網(wǎng)絡(luò)流的前15個(gè)數(shù)據(jù)包的大小、包間間隔和流的方向作為特征輸入C4.5算法分類器,對(duì)加密應(yīng)用識(shí)別的平均準(zhǔn)確率和虛警率分別為90.12%和8.35%,但是該方法很容易通過(guò)修改數(shù)據(jù)包大小,從而達(dá)到規(guī)避模型識(shí)別的目的,導(dǎo)致模型識(shí)別加密應(yīng)用失敗。而本文采用SSL協(xié)議交互階段的字段作為隱馬爾科夫模型的觀測(cè)序列,很難將非法數(shù)據(jù)包偽裝成合法數(shù)據(jù)包,具有較好的安全保障。文獻(xiàn)[18]先去除原始數(shù)據(jù)零負(fù)載的數(shù)據(jù)包預(yù)處理操作,并設(shè)置Brust Threshold為1 s,進(jìn)行Service Brust后提取特征通過(guò)多分類器融合分類,對(duì)本文實(shí)驗(yàn)數(shù)據(jù)集的加密應(yīng)用識(shí)別的平均準(zhǔn)確率和虛警率分別為93.32%和7.18%,但該方法所提取的時(shí)間流特征容易受到網(wǎng)絡(luò)波動(dòng)的影響,可靠性較低,同時(shí)存在部分加密應(yīng)用的流特征表現(xiàn)相似的問(wèn)題,從而導(dǎo)致模型不能進(jìn)行準(zhǔn)確識(shí)別,造成模型之間識(shí)別效果的差異。

圖10 3種識(shí)別方法的準(zhǔn)確率比較Fig.10 Comparison of true positive rate of threeidentification methods

圖11 3種識(shí)別方法的虛警率比較Fig.11 Comparison of false positive rate of threeidentification methods

3.3.4 魯棒性分析

為測(cè)試識(shí)別方法的魯棒性,本文實(shí)驗(yàn)通過(guò)數(shù)據(jù)集新加入百度貼吧、有道云筆記應(yīng)用模擬出現(xiàn)新的未知SSL加密應(yīng)用。本文設(shè)計(jì)的識(shí)別方法具有一定的自主學(xué)習(xí)能力,只需將未知序列進(jìn)行不斷迭代訓(xùn)練得到新的HMMi,無(wú)需對(duì)其他已經(jīng)建立的HMM進(jìn)行重新訓(xùn)練,這樣既節(jié)約了時(shí)間,又方便應(yīng)用指紋庫(kù)的管理。如圖12所示,本文方法對(duì)加密應(yīng)用的平均識(shí)別準(zhǔn)確率和虛警率分別為95.51%和5.42%,可以看出其在有干擾的情況下總體表現(xiàn)穩(wěn)定,并且具有良好的魯棒性。

圖12 本文方法在未知加密應(yīng)用下的識(shí)別性能Fig.12 Identification performance of the proposed methodunder unknown encrypted applications

4 結(jié)束語(yǔ)

本文對(duì)原始數(shù)據(jù)集進(jìn)行過(guò)濾與去重處理以構(gòu)成SSL數(shù)據(jù)流,使用逆向域名解析系統(tǒng)和人工標(biāo)記相結(jié)合的方法標(biāo)記實(shí)驗(yàn)數(shù)據(jù)集,根據(jù)不同加密應(yīng)用在SSL協(xié)議中的會(huì)話特征構(gòu)建單個(gè)隱馬爾可夫模型到多個(gè)隱馬爾可夫模型的集合,從而提出一種基于SSL協(xié)議交互字段與多輸入最大化單輸出HMM的并行識(shí)別方法。實(shí)驗(yàn)結(jié)果表明,該方法只需觀察來(lái)自客戶端或者服務(wù)器單方向數(shù)據(jù)流的SSL協(xié)議交互階段的字段序列即可完成模型建立和加密應(yīng)用識(shí)別。但由于實(shí)驗(yàn)處于簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境,本文方法僅可應(yīng)用于某些特定的安全傳輸協(xié)議(如SSL協(xié)議)的加密應(yīng)用分類中,因此下一步將考慮在更復(fù)雜的網(wǎng)絡(luò)環(huán)境中研究加密應(yīng)用識(shí)別問(wèn)題。