[TOC] 作者 阅读进度 期刊 类型 发表时间 doi Chuanpu Fu 70% NDSS（CCF-A) 会议报告 2023.03 10.14722/ndss.2023.23080 笔记日期：2023_12_19 引言问题由于低速率、多样化的流量模式，加密恶意流量检测没有得到很好的解决。基于深度数据包检测（DPI）方法的传统签名在加密有效载荷的攻击下无效。 现在的加密流量监测方法是有监督的，即依赖已知攻击的先验知识，并且只能检测具有已知流量模式的攻击。 总之，现有的方法无法实现无监督检测，并且不能检测具有未知模式的加密恶意流量。特别的，加密的恶意流量具有隐身行为，这些方法无法捕获。 突破口检测这种攻击流量仍然是可行的，因为这些攻击涉及攻击者和受害者之间具有不同流交互的多个攻击步骤，这与良性流交互模式不同 作者提出的解决方法 设计出 HyperVision ，一个实时检测系统，通过分析流之间的交互模式来捕获加密恶意流量足迹。 为了捕获各种流交互模式，开发了集中算法来构建内存图。 设计了一种轻量级的无监督图学习方法，通过图特征检测加密流量。 开发了一个由信息论建立 ...