基于CNN的加密C&C通信流量识别方法

为实现恶意软件加密C& C通信流量的准确识别,分析正常网页浏览访问和C& C通信的https通信过程,发现恶意软件C& C通信的服务器独立性特征,提出https通信序列建模方法。针对加密通信的行为特点,利用密文十六进制字符的向量表示方法完成加密流量的向量化表达,并采用多窗口卷积神经网络提取加密C& C通信模式的特征,实现加密C& C通信数据流的识别与分类。实验结果表明,该方法识别恶意软件加密C& C流量的准确率高达91.07 %。

物联网DDoS僵尸网络C&C通信流量检测分析研究

物联网DDoS僵尸网络C&C通信检测是识别DDoS僵尸网络的重要组成部分。通过分析僵尸网络C&C通信流量总结出C&C通信数据分组较小和DNS通信的周期性的特点,从而提出基于网络通信流量的特性识别僵尸网络C&C通信的方法,提升了僵尸网络C&C通信识别的查准率。

基于LSTM模型的APT攻击信道检测方法

高级持续性威胁(APT)对网络安全构成了严重威胁。与种类多、变化快的攻击代码相比,APT攻击中的控制命令服务器(C&C服务器)间通信往往具有特定模式,黑客使用域名生成算法(DGA)生成C&C域名用来逃避域名黑名单检测。通过对APT攻击中使用的域名进行分析,利用大量C&C域名和高信誉域名作为黑白样本,训练LSTM算法模型,提出一种基于LSTM算法的APT攻击通信检测方法。实验结果表明,该方法对使用DGA算法生成C&C域名用来通信的APT攻击具有较好的检测效果。