基于会话统计编码器的恶意加密流量检测方法研究

随着网络技术的发展和广泛应用,加密流量已成为保护用户隐私的关键技术。但同时,恶意软件和攻击者也利用加密流量来隐藏其行为,规避传统的网络入侵检测系统。现有的恶意加密流量检测方法存在一些问题,如基于统计特征的方法需要依赖专家经验进行特征提取,且不同协议的特征无法通用;基于原始输入的深度学习方法存在信息不完整和字段填充等数据问题,对加密流量交互行为的语义表征不足。为解决上述问题,提出了一种名为会话统计编码器模型(Conversation Statistic Encoder Model,CSEM)的方法。与传统的将字节流输入深度神经网络的模式不同,该方法借鉴了transformer-encoder模型,引入了一种新的流量包特征解析方式。所提方法能够针对每个流量包构建出固定长度的向量表示,并且无需进行零填充,同时避免了特征提取过程对具体加密协议的依赖,构建了一个混合深度神经网络,为恶意加密流量检测提供了一种新的思路。在DataCon和自建数据集上对所提模型进行了验证,其在DataCon公开数据集上的召回率达到了0.9911,精确率达到了0.9407,F1值达到了0.9652(相比随机森林模型F1值提升了9%),几项指标均达到了目前的最佳水平。

基于CNN的JSP类型Webshell检测

Webshell是一种隐蔽性较高的Web攻击工具,其作用是获取服务器的操作权限。目前针对JSP类型的Webshell检测较少,效果一般。针对这一现状,本文从文本分类的角度出发,提出一种基于CNN的Webshell检测方法。首先将JSP文件进行预处理,得到全文ASCII码,转换为灰度图像,使用CNN算法进行分类,以查全率与查准率作为评估标准。最终实验结果表明,CNN检测效果优于其他算法模型,证明该算法是可行的。