特征工程之加密流量安全检测(2)

证书特征即前面提到的协议有关特征之一，主要是和 x509 协议相关的一组特征集，刻画了双方使用的数字证书的一系列特征。例如，证书链长度、使用者正常度等。下图分别是两个示例：

4. 背景特征

背景特征是指从背景流量中提取并选择的一类特征，如 DNS、HTTP 等背景流量特征，其中，DNS 背景流量特征主要反映在域名特征，HTTP 背景流量特征主要反映在 HTTP 协议头内容特征。下图是一个 DNS 类特征的示例：

四、特征迭代

特征工程是一个不断迭代更新的过程，上述内容只是其中一个迭代的工作任务，当基础数据种类和内容发生变动时，需要及时对特征工程进行再次循环，不断修正和完善特征集，在 “特征” 这个关键点上持续下功夫。

经过以上四个步骤，加密恶意流量检测的特征工程可以取得初步成效。经过我们的实践经验总结，需要特别强调的是，不止要在实验室数据验证与特征迭代方面不断加以完善，更需要在多场景下的多数据源现网环境中充分验证和迭代，同时注意新出现的威胁流量数据的收集与验证，才有可能得到一个可投入实际应用的加密恶意流量检测机器学习模型。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：ASP站长网）