需求内容：加密技术的广泛应用使得网络中的加密流量呈现爆炸式增长，特别是TLS等加密协议的不断演进、DNS加密化、QUIC协议的推广，加密应用的全面普及和网络通信流量的加密化已经成为不可阻挡的趋势。恶意行为和样本大多以加密流量为载体。本项目针对大规模网络中加密恶意流量的监管准确率不高、效率不足和威胁处置能力缺失的问题，研究面向监管的加密流量检测分析技术，实现恶意加密流量的检测分析。一是研究恶意流量和正常流量数据集积累和扩充方法，构建用于机器学习模型训练的黑白流量数据集。二是建设特征工程，以专家“人工干预”的方式构建加密恶意流量特征提取方法。三是研究面向动态网络环境的强隐蔽性恶意流量应用及变种通信早期特征构建和识别方法，实现细粒度行为流量切分、稳定特征提取和早期流量精准识别。四是研究恶意流量数据关联分析，设计预测性知识迁移的未知恶意流量精准识别技术。五是研究模型优化和硬件适配技术，突破高时延、亚线性存储、流量检测技术精度准确度瓶颈。最终构建集网络数据采集、流量分析、协同与阻断为一体的恶意流量监管处置系统。
参数要求：
1.可基于现有黑白流量扩充训练样本实现数据增强，可扩充构造HTTP、FTP、POP3、DNS、IMAP、SMTP等多种通用协议数据流量，以及S7、S7Plus、OPCDA、OPCAE、CIP、Modbus、IEC104等工控协议流量。可扩充视频监控、工业生产、智能家电等5种场景以上的黑白流量。
2.针对加密恶意和非恶意流量基于DPI和人工相结合方式提取特征，特征维度不少于20。
3.基于人工智能模型可识别不少于10种VPN应用；识别加密场景下HTTP隧道、DNS隧道、ICMP隧道等不少于3种安全威胁类型。
4.构建恶意流量家族特征，迁移学习模型，实现few-shotlearning模型，可基于少样本构建新型恶意流量检测模型。
需达到效果：
研制一套实用化的基于AI的恶意加密流量检测分析工具。工具集成数据采集、识别、分析模型。利用特征工程、专家“人工干预”、
few-shotlearning等AI技术，建模加密恶意流量提升恶意流量的识别准确率和召回率。通过设计检测点方案，基于AI的恶意加密流量检测分析工具可应用于大型企业网络安全检测，实现网络中恶意加密流量检测分析，对各种网络入侵攻击、恶意代码传播、黑客控制等网络安全威胁进行检测，提升大型企业网络安全监测防护能力，取得经济社会效益。
时间要求：1年
拟采取的合作方式：项目委托