习近平总书记明确指出,“要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设”,为进一步加强加密流量治理工作提供了根本遵循和行动指南。
当前,恶意加密流量带来的网络安全威胁愈发严峻。过去一年,全球隐藏在加密流量中的威胁已达321亿起,占总威胁数量的87.2%。威胁行为者利用加密渠道的隐蔽性,大肆传播恶意软件、掩盖攻击痕迹,其中针对国家关键信息基础设施的攻击尤为突出——2024年,境外APT(高级持续性威胁)组织对我国重要单位实施的网络攻击事件超600起,波及多家党政机关、高校和科研院所及重要行业企事业单位等,严重威胁网络空间主权与数据安全。
五大关键领域筑牢加密流量环境下的网络安全防线
面向加密流量的网络公害治理,需要构建覆盖多场景的立体防控体系,可围绕五大关键领域协同推进(如图所示),分别是加密公害视频识别、加密公害网站治理、加密代理与VPN(虚拟专用网络)管控、暗网风险治理、移动加密公害应用监测。这五大关键领域相互衔接、形成合力,共同筑牢加密流量环境下的网络安全防线。
第一,织密信息安全防护网络,精准识别加密公害视频。
加密公害视频识别,即聚焦加密传输环境下的视频内容,实现加密公害视频流量全天候、全方位精准识别。公害视频的隐匿性与传播性给网络空间治理带来严峻挑战,此类视频借助加密技术的“保护色”与视频内容的“渗透力”,成为污染网络生态、侵害用户权益的“隐形污染源”。恶意传播者将低俗、暴力等公害视频封装成加密流量隐藏在正常视频流中,突破传统内容审核防线。由于视频具有直观性和易扩散性,公害视频往往在短时间内迅速传播,对清朗网络空间造成冲击。
针对这一难题,东南大学网络空间安全学院(以下简称“学院”)以“技术攻坚”为核心,围绕多协议场景下的加密视频识别开展系统性研究,通过海量样本分析,成功攻克加密视频流量精准识别难题,为网络生态治理提供技术支撑,有效防范化解加密公害视频传播带来的重大风险。
在技术落地过程中,首先夯实数据基础,重点突破样本库构建关键技术,依托针对HTTP(超文本传输协议)自适应流媒体的视频指纹自动获取技术,成功搭建结构精简、运算高效的百万级大型样本数据库,为后续识别工作提供海量数据支撑。针对跨协议、跨平台、跨分辨率的加密视频识别难题,运用多特征关联技术,优化完善多维度分析能力,全面覆盖HTTP/1.1、HTTP/2、HTTP/3、QUIC等主流传输协议,建立单向流视频分段识别模型、高速网络流量复合特征识别模型等一系列精准识别模型。该系统能够对HTTP/2加密视频保持97.91%以上的识别准确率、对HTTP/3加密视频保持95%以上的准确率。通过对多场景、多协议下加密视频识别技术的整合与应用,持续完善加密公害视频流量识别机制,推动相关数据要素在网络安全领域实现跨场景、跨协议、跨平台流转,最终达成对加密公害视频流量的全天候、全方位精准识别。这一成果精准呼应“以内容标识化解治理困境”的治理思路,为有效防范加密公害视频大规模传播提供可靠的技术支撑,避免可能引发的意识形态风险、社会稳定风险与用户权益侵害风险。
第二,构建可控有序数字空间,从严治理加密公害网站。
加密公害网站治理,即针对加密协议保护的网站,完善合规性筛查与风险管控流程。端到端加密网络通信技术在提升信息传输私密性与安全性的同时,也为公害网站提供了“隐身”便利,使得违法活动借助加密流量隐藏身份来规避审查。加密公害网站通过加密信道扩散违法信息、实施网络诈骗、发动跨境攻击,形成隐蔽的“灰色生态”,具备隐蔽性强、变化速度快、识别难度高的特点,使得依赖深度包检测的传统监管体系“有害难察、可疑难断”。面对加密公害网站带来的隐蔽风险与治理盲区,亟须以系统治理思维加强流量识别与风险防控,构建安全可控的数字空间防线。
立足国家网络安全战略需求,学院聚焦加密公害内容监管与风险防控,围绕海量加密公害网站治理展开系统性探索,取得一系列关键技术进展。通过对海量公害网站加密流量样本进行系统分析,成功构建了面向复杂传输场景的多层级加密公害内容识别体系,实现从网站粒度访问识别到站内网页粒度访问识别的关键突破。
为克服现有方法对流量完整性的依赖,学院构建了基于可抽样的特征集合的高能网站识别模型,实现高速网络场景下的网站识别,在高带宽、高流量条件下仍可保持90%以上的识别准确率,充分满足大规模流量监管需要。为突破现有方法难以区分同一网站下不同网页的局限性,利用面向波动网络环境的稳定网页指纹构建技术实现对网页内容的精准区分,在网络延迟波动±30%条件下仍保持超过88%的稳定性能,充分满足细粒度流量监管需要。与此同时,构建结构精简、效率良好的公害网页与图片数据库,样本来源覆盖多类型终端和主流浏览器,为流量监管领域的良性、可持续发展提供坚实数据支撑。这些成果紧密响应“清朗”系列专项行动,为网络生态治理提供有力技术支撑,有效提升加密公害网站治理的科学化、智能化水平。
第三,维护网络信息内容生态,严格管控加密代理与VPN。
加密代理与VPN管控,即明确加密代理与VPN工具的使用边界,实现违规行为的精准拦截。加密代理与VPN流量识别技术的突破是掌握网络空间治理主动权的关键所在。尽管加密代理与VPN技术在合法通信中发挥了隐私保护作用,但不法主体也借此构建隐蔽通道用于网络攻击、数据窃取和恶意访问等,增强了其隐匿性。这些恶意加密流量混杂于正常业务之中,隐蔽性极强,能够轻松绕过传统安全防线,对清朗网络空间构成严重威胁,给国家安全和社会治理带来前所未有的挑战。对这类加密流量的精准识别已成为净化网络环境、维护国家网络主权与数据安全的重要基石,也是赢得网络空间治理主动权的关键所在。
面对这一严峻挑战,需要坚持“源头治理、技管结合”的网络公害治理方针,着力提升对恶意加密流量的识别精度和溯源能力。学院坚持问题导向,聚焦加密代理与VPN流量识别这一难题,整合优势资源,突破核心技术瓶颈;依托安全监管平台汇聚的网络流量资源,构建多维度的检测模型体系,成功实现对主流加密代理与VPN流量的高精度识别与分类,即便面对流量混淆、协议模仿等高级隐匿技术,也能通过细微的行为偏差和上下文关联进行精准辨识。
在实践中,依托海量流量样本和数据资源,持续优化检测算法,构建可对主流加密代理与VPN实现稳定识别的技术体系。通过构建基于侧信道特征的识别模型,在10Gbps主干网背景流量下依然保持高精度识别性能;结合计数布隆滤波器与链式哈希的快速处理结构对多类VPN服务类型的识别准确率达到90%~99%,验证了系统在高并发、大规模混合加密场景下的实时性与鲁棒性。基于以上技术所构建的加密代理与VPN流量智能识别系统已具备高检出率、低误报率与实时发现能力,为强化网络空间安全防护体系、有效遏制隐蔽加密通道提供了关键技术支撑。
第四,筑牢数字边疆安全屏障,深化治理暗网安全风险。
暗网风险治理,即依托技术手段实现暗网资源全面覆盖、流量精准识别与威胁发现。暗网作为网络空间的特殊隐蔽层,凭借高度匿名化的特性已成为危害国家安全、破坏社会稳定的严重隐患,其隐匿特性使之成为各类违法犯罪活动的温床,从恐怖主义信息传播到跨境数据窃取,从违禁物品非法交易到恶意攻击策划组织,暗网为危害国家安全行为提供了“避风港”。这些活动不仅严重破坏社会秩序,更直接威胁国家政治安全和经济安全。近年来,随着加密技术的演进和匿名通信工具的普及,暗网犯罪活动呈现专业化、跨地域化特征,其隐蔽性更强、危害性更大,对国家安全治理提出了全新挑战。在数字化浪潮蓬勃发展的今天,深化暗网治理、营造风清气正的网络空间,直接关系到国家主权、安全和发展利益,是贯彻落实总体国家安全观的重要举措。
为推动暗网治理技术发展,强化网络管理与安全监管,学院通过探测暗网服务内容,揭示暗网空间生态,为去匿名化研究提供目标和情报支持。通过构建暗网网站指纹,分析暗网流量完成用户访问网站的判断,发现暗网威胁。
针对暗网服务发现难、有效内容少的问题,学院将明网信息检索与暗网内容采集结合,成功破解暗网内容获取瓶颈,实现暗网资源的全面覆盖与高效抓取,构建高质量数据集。在此基础上,优化内容识别方案,从文本、图片等多个维度精准解析暗网网页信息,弥补纯文本分析的不足,全面分析暗网的内容分布,为暗网网站指纹提供坚实数据基础。针对暗网流量的不稳定性问题,提出一种新型流量特征提取方式,将不规则的暗网流量转化为具有稳定规律的特征数据,稳定地捕获流量中的内在行为模式,最终获得96%的精度,为高精度暗网指纹提取提供关键技术支撑。进一步创新提出基于数据报传输层安全协议握手指纹与累积载荷长度采样的识别方案,有效提升复杂网络条件下的识别能力。针对实际网络环境中暗网流量占比极低导致的识别困境,设计出一套面向极低占比场景的暗网流量识别框架,通过在线识别与离线分类模块的结合,在高效处理海量数据的同时提高识别精度,有效突破实际应用中的技术障碍。
第五,构建移动网络安全防线,精准监测应用加密流量。
移动加密公害应用监测,即通过对加密应用的动态跟踪与风险特征研判,构建多场景专用识别方案与动态防御框架。随着移动互联网的深度渗透,智能终端已成为个人信息汇聚与数据传输的核心入口,从日常沟通到金融交易,人们对移动设备的依赖度持续提升。但开放网络环境与设备便携性的交织,也让智能终端沦为加密公害应用传播潜伏的重灾区。这类应用以窃密、远程操控等恶意行为为目标,借正常应用外壳伪装,通过代码混淆、动态加载等方式躲避监测,更滥用加密协议将恶意加密流量隐藏在正常数据中,叠加证书固定、多跳代理等技术增强抗检测手段,不仅操控终端参与黑灰产活动,更窃取隐私与业务数据引发严重安全风险。
强化加密公害应用流量识别与治理,是维护国家网络空间安全、捍卫数据主权的关键举措。应对加密公害应用流量治理难题,需围绕“智能识别—动态防御”的宏观路线,构建兼顾实用性与针对性的技术体系。通过整合机器学习与深度学习技术,摆脱对传统解密审计的依赖,从流量的行为特征、交互模式等维度挖掘隐蔽线索。一方面,建立多维度特征提取机制,涵盖时空特征、行为序列等关键信息,为识别提供数据支撑;另一方面,打造动态适配的模型体系,通过自监督学习、集成学习等方法,解决标注数据耗时、模型易受攻击等问题,实现从海量流量中快速锁定可疑目标的防护需求。
学院在加密公害应用流量治理领域的技术研究成效显著,多场景安全防护能力持续升级。在物联网与工业互联场景,针对恶意软件变体问题,构建基于局部最大均值差异子域对齐与多注意力机制的方案,平均准确率达97.15%,显著降低物联网边缘设备端计算资源消耗,且模型收敛速度快;针对复杂干扰问题,基于掩码自编码器的自监督框架,通过多粒度表征与层级注意力机制强化特征提取,在5个真实流量数据集上性能显著优于主流方法,少标签场景下仍保持稳定性能有效抵御干扰并保障分类可靠性。在社交软件应用场景,从加密流量中提取稳定控制流并获取分组负载长度序列,通过神经网络模型分析序列特征实现加密流量精准识别。在支付场景,通过构建行为图谱识别加密流量,经图自编码器向量学习与随机森林分类处理,精准守护用户隐私与资金安全。在安卓终端场景,针对恶意应用躲避攻击问题,通过多异构模型池与实时更新实现协同防御,在3个主流数据集测试中防御准确率居首位。这些技术成果已在物联网、社交软件、支付、安卓终端等多场景的核心防护环节实现精准拦截,为移动网络筑牢安全防线。
针对加密流量治理的未来发展建议
面对加密流量带来的网络安全挑战,亟须面向国家战略布局与行业发展需求,从多个维度系统推进治理工作,构建多层次、全链条的加密流量治理体系。
第一,发挥高校科研创新与人才培养优势。通过建立科学的评级体系,引导具有该领域研究基础的高校精准发力、有序发展。将研发能力与科研成果分级管理,与政策支持和项目准入挂钩,激励高校聚焦加密流量关键技术攻关,持续提升创新水平,突破“卡脖子”瓶颈。同时为其他高校提供发展参照,为政府与企业提供可信依据,降低技术对接与资源整合成本,推动加密流量领域科研与产业需求精准匹配,形成“高校赋能—行业安全”的良性循环。高校还应充分发挥技术创新与人才培养优势,为网络安全产业健康发展提供坚实技术与人才支撑。
第二,构建一体化加密流量治理技术体系。将加密流量识别技术纳入国家网络空间安全治理的重点技术清单,作为战略性核心能力进行系统布局。通过推动跨区域监管平台的技术互通与标准统一,逐步形成全国范围内的加密流量治理技术,从而解决当前各地“样本孤岛”和规则不统一的问题,实现监管平台之间的高效协同,提升整体治理效能,为党政机关、金融机构、科研院所等单位提供标准化的防护方案。
第三,推动共建加密流量治理的国际规则。依托共建“一带一路”倡议,积极推动加密流量治理技术与共建“一带一路”国家共享,深化国际合作,参与制定全球加密流量安全治理标准。通过技术输出与标准共建,帮助相关国家应对跨境恶意加密流量的挑战,在国际规则制定中提升我国的话语权。将我国已有的技术经验转化为国际治理规则,从而打破欧美在加密技术标准上的垄断,塑造更加公平合理的全球网络生态治理格局。
未来,需要持续锚定国家网络安全战略需求,以技术创新为核心、以产学研协同为纽带,深化加密流量治理关键技术攻坚与成果转化,持续强化人才培养与国际协作力度;全力完善我国加密流量治理体系、提升网络空间安全保障能力,为维护国家网络主权贡献力量。
来源:中国网信杂志
