基于融合序列的远控木马流量检测模型

针对现有远控木马流量检测方法泛化能力较弱、表征能力有限和预警滞后等问题,提出了一种基于融合序列的远控木马流量检测模型。通过深入分析正常应用网络流量与远控木马流量在包长序列、包负载长度序列和包时间间隔序列方面的差异,将流量表征为融合序列。将融合序列输入Transformer模型,利用多头注意力机制与残差连接挖掘融合序列内在联系,学习木马通信行为模式,有效地提升了对远控木马流量的检测能力与模型的泛化能力。所提模型仅需提取网络会话的前20个数据包进行检测,就能够在木马入侵早期做出及时预警。对比实验结果表明,模型不仅在已知数据中具有优异的检测效果,在未知流量测试集上同样表现出色,相比当前已有的深度学习模型,各项检测指标有较大提升,在远控木马流量检测领域具备实际应用价值。

远控木马运行原理与流量特征分析

随着网络的飞速发展,人们日常生活日益离不开网络,计算机木马程序乘虚而入,严重危害了网络中的主机安全。文章主要针对远控类型木马,分析了其运行原理并总结出其流量特征,通过一系列测试对流量特征进行验证,所提出的远控木马流量特征为远控木马检测提供了一种新思路。

利用序列分析的远控木马早期检测方法研究

远控木马(RAT)是一类以窃取机密信息为主要目的的恶意程序,严重威胁着网络空间安全。现阶段基于网络的远控木马检测方法大多对数据流的完整性有较高的要求,其检测存在一定程度的滞后。在分析远控木马通信会话建立后初期流量的序列特性的基础上,提出了一种利用序列分析的远控木马早期检测方法。该方法以远控木马被控端和控制端交互中第一条TCP流为分析对象,重点关注流中由内部主机向外部网络发送且数据包传输层负载大于α字节的第一个数据包(上线包)及其后续数个数据包,从中提取包含传输负载大小序列、传输字节数和时间间隔在内的三维特征并运用机器学习算法构建了高效的早期检测模型。实验结果表明,该方法具备快速检测远控木马的能力,其通过远控木马会话建立后初期的少量数据包即可高准确率地检测出远控木马流量。

基于深度学习的Linux远控木马检测

远控木马作为一种高级形态的恶意代码,不仅能收集用户敏感信息,而且可以通过命令控制引发大规模的攻击。为高效准确地识别远控木马,通过结合静态分析和动态行为分析方法提取文件特征,利用深度学习对样本特征逐层抽取的能力,构建基于循环神经网络(RNN)的样本分类模型,以对Linux远控木马进行检测。为避免陷入局部最优,采用随机搜索参数的方法进行模型超参数选择。对基于RNN的分类模型及其他基于传统机器学习算法的模型分别进行实验,结果表明,在选取性能最佳的超参数配置下,基于RNN的样本分类模型具有更高的准确率与F1值。

远控型木马通信三阶段流量行为特征分析

随着互联网技术的发展,网络的应用也得到更好的普及,而保障网络安全成为亟待解决的问题。目前,木马是网络安全最严重的威胁之一,针对木马的主要检测方法是基于特征码的木马检测和基于行为的木马检测。文章从远程控制类型木马通信的3个阶段分析其流量行为特征,发现木马在建立连接阶段会有动态DNS行为,在数据传输时报文会置推送标志位PSH为1,导致PSH报文数量增大;在命令交互阶段,上下行流量不对称,小数据包比例大;在保持连接阶段会有心跳数据包。文章通过实验比较了正常应用通信流量与远程控制类型木马通信流量在上述特征上的表现行为,分析它们的异同点,从而为木马流量行为特征识别提供依据。

行为特征与流量特征相结合的远控木马检测

针对远控木马检测问题,提出一种基于行为特征与流量特征相结合的检测方法,系统通过持续性分析算法,判断主机与外部特定目标的通信行为是否具有持续性或重复性,提取出可疑的网络行为;通过半监督学习方法对可疑网络行为的流量特征进行分析,提取出感染木马的主机及控制服务器的地址。实验结果表明,该模型可有效检测出感染远控木马的主机,准确率达98.3%。

一种基于网络流量分析的快速木马检测方法

木马程序作为一种窃密工具,常在APT(Advanced Persistent Threat)攻击中被使用,其对网络空间的安全造成了严重的危害。对木马的检测也受到了研究者的广泛关注,研究者提出了许多基于网络流量分析的检测方法,然而目前的方法一般都需要分析完整的通信流量,因此会造成一定的检测延迟,从而导致防御措施不能及时被部署。为了尽早地保护内部敏感信息不被泄露,本文仅使用木马通信连接建立后的前5个数据包来抽取流量特征,并以此构建木马通信会话快速检测模型。实验结果表明,本文方法在分析通信早期数据的情况下,获得了较高的准确率和较低的误报率,验证了本文方法的有效性。

一种基于字符及解析特征的恶意域名检测方法

恶意域名被广泛应用于远控木马、钓鱼欺诈等网络攻击中,现有方法无法高效、准确地检测恶意域名。根据恶意域名与正常域名在字符组成、生成方法、解析过程等方面的差异,设计了域名的字符统计特征、相似度特征、解析特征,并结合机器学习算法提出了基于字符及解析特征的恶意域名检测方法,实现了自动化特征提取工具。通过对来源于国家互联网应急响应中心(CNCERT)的大量恶意域名进行检测,证实了这些特征在正常域名与恶意域名之间的区分度,在提高检测准确率的同时,降低了特征提取开销。因此,可利用多维度特征和机器学习算法实现恶意域名检测,保障网络安全。

基于DNS的感染主机分布监测技术研究

基于DNS的技术原理,通过各节点部署DNS节点监测系统,监测并分析各节点解析控制端目标域名的DNS的响应数据,多次尝试探测并对数据进行建模分析,最终获取感染主机的地区分布情况和感染木马类型.并通过优化的节点管理调度方案,在不借助第三方手段情况下掌握某种病毒的爆发情况,对病毒发作的预防和溯源都有很好的作用,进一步形成全球范围的病毒感染风险监测态势.