-
题名基于融合序列的远控木马流量检测模型
- 1
-
-
作者
吴丰源
刘明
尹小康
蔡瑞杰
刘胜利
-
机构
郑州大学网络空间安全学院
信息工程大学网络空间安全学院
-
出处
《计算机科学》
CSCD
北大核心
2024年第6期434-442,共9页
-
基金
国家重点研发计划(2019QY1300)
科技委基础加强项目(2019-JCJQ-ZD-113)。
-
文摘
针对现有远控木马流量检测方法泛化能力较弱、表征能力有限和预警滞后等问题,提出了一种基于融合序列的远控木马流量检测模型。通过深入分析正常应用网络流量与远控木马流量在包长序列、包负载长度序列和包时间间隔序列方面的差异,将流量表征为融合序列。将融合序列输入Transformer模型,利用多头注意力机制与残差连接挖掘融合序列内在联系,学习木马通信行为模式,有效地提升了对远控木马流量的检测能力与模型的泛化能力。所提模型仅需提取网络会话的前20个数据包进行检测,就能够在木马入侵早期做出及时预警。对比实验结果表明,模型不仅在已知数据中具有优异的检测效果,在未知流量测试集上同样表现出色,相比当前已有的深度学习模型,各项检测指标有较大提升,在远控木马流量检测领域具备实际应用价值。
-
关键词
远控型木马检测
融合序列
Transformer模型
多头注意力机制
木马行为模式
-
Keywords
remote access trojan detection
Fusion sequences
Transformer model
Multi-head attention mechanism
trojan behavior patterns
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名远控型木马通信三阶段流量行为特征分析
被引量:16
- 2
-
-
作者
李巍
李丽辉
李佳
林绅文
-
机构
北京航空航天大学计算机学院
国家计算机网络应急技术处理协调中心
-
出处
《信息网络安全》
2015年第5期10-15,共6页
-
基金
国家自然科学基金[61171193]
国家科技支撑计划[2015BAK21B01]
-
文摘
随着互联网技术的发展,网络的应用也得到更好的普及,而保障网络安全成为亟待解决的问题。目前,木马是网络安全最严重的威胁之一,针对木马的主要检测方法是基于特征码的木马检测和基于行为的木马检测。文章从远程控制类型木马通信的3个阶段分析其流量行为特征,发现木马在建立连接阶段会有动态DNS行为,在数据传输时报文会置推送标志位PSH为1,导致PSH报文数量增大;在命令交互阶段,上下行流量不对称,小数据包比例大;在保持连接阶段会有心跳数据包。文章通过实验比较了正常应用通信流量与远程控制类型木马通信流量在上述特征上的表现行为,分析它们的异同点,从而为木马流量行为特征识别提供依据。
-
关键词
远控型木马
流量行为
特征分析
木马检测
-
Keywords
remote access trojan
traffic behavior
characteristics analysis
trojan detection
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名一种基于网络流量分析的快速木马检测方法
被引量:4
- 3
-
-
作者
宋紫华
郭春
蒋朝惠
-
机构
贵州大学计算机科学与技术学院
贵州省公共大数据重点实验室
-
出处
《计算机与现代化》
2019年第6期9-15,共7页
-
基金
国家自然科学基金资助项目(61540049)
贵州省科技计划项目([2017]1051,[2018]3001)
+1 种基金
贵州省公共大数据重点实验室开放课题(2017BDKFJJ025)
河南省科技攻关计划项目(182102210123)
-
文摘
木马程序作为一种窃密工具,常在APT(Advanced Persistent Threat)攻击中被使用,其对网络空间的安全造成了严重的危害。对木马的检测也受到了研究者的广泛关注,研究者提出了许多基于网络流量分析的检测方法,然而目前的方法一般都需要分析完整的通信流量,因此会造成一定的检测延迟,从而导致防御措施不能及时被部署。为了尽早地保护内部敏感信息不被泄露,本文仅使用木马通信连接建立后的前5个数据包来抽取流量特征,并以此构建木马通信会话快速检测模型。实验结果表明,本文方法在分析通信早期数据的情况下,获得了较高的准确率和较低的误报率,验证了本文方法的有效性。
-
关键词
木马检测
网络流量分析
特征分析
远控型木马
-
Keywords
trojan detection
network traffic analysis
characteristics analysis
remote access trojan
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名利用序列分析的远控木马早期检测方法研究
被引量:2
- 4
-
-
作者
王晨
郭春
申国伟
崔允贺
-
机构
贵州大学计算机科学与技术学院
公共大数据国家重点实验室
-
出处
《计算机科学与探索》
CSCD
北大核心
2021年第12期2315-2326,共12页
-
基金
国家自然科学基金(61802081)
贵州省科学技术基金(黔科合基础[2020]1Y268)。
-
文摘
远控木马(RAT)是一类以窃取机密信息为主要目的的恶意程序,严重威胁着网络空间安全。现阶段基于网络的远控木马检测方法大多对数据流的完整性有较高的要求,其检测存在一定程度的滞后。在分析远控木马通信会话建立后初期流量的序列特性的基础上,提出了一种利用序列分析的远控木马早期检测方法。该方法以远控木马被控端和控制端交互中第一条TCP流为分析对象,重点关注流中由内部主机向外部网络发送且数据包传输层负载大于α字节的第一个数据包(上线包)及其后续数个数据包,从中提取包含传输负载大小序列、传输字节数和时间间隔在内的三维特征并运用机器学习算法构建了高效的早期检测模型。实验结果表明,该方法具备快速检测远控木马的能力,其通过远控木马会话建立后初期的少量数据包即可高准确率地检测出远控木马流量。
-
关键词
远控木马(rat)
序列分析
早期检测
网络通信行为
-
Keywords
remote access trojan(rat)
sequence analysis
early detection
network communication behavior
-
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
-
-
题名基于特征行为的远程访问型木马阻断技术
被引量:1
- 5
-
-
作者
姜坚
袁家斌
-
机构
南京航空航天大学信息科学与技术学院
-
出处
《计算机与数字工程》
2008年第11期90-93,共4页
-
文摘
综合分析大量远程访问型木马样本,提取出关键的特征行为,提出通过阻断远程访问型木马特征行为来使远程访问型木马失效。通过进入系统内核模式,从系统底层挂接系统服务调度表来实现,并取得了良好的效果。
-
关键词
远程访问型木马
行为阻断
挂接
系统服务调度表
-
Keywords
remote access trojan, behavioral blocking, hook, system service dispatch table
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于深度学习的Linux远控木马检测
被引量:3
- 6
-
-
作者
李峰
舒斐
李明轩
王斌
杨慧婷
-
机构
国网新疆电力有限公司电力科学研究院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2020年第7期159-164,共6页
-
基金
国网新疆电力有限公司项目“电力行业工业控制系统安全监测与深度检测技术研究”(5230DK18000V)。
-
文摘
远控木马作为一种高级形态的恶意代码,不仅能收集用户敏感信息,而且可以通过命令控制引发大规模的攻击。为高效准确地识别远控木马,通过结合静态分析和动态行为分析方法提取文件特征,利用深度学习对样本特征逐层抽取的能力,构建基于循环神经网络(RNN)的样本分类模型,以对Linux远控木马进行检测。为避免陷入局部最优,采用随机搜索参数的方法进行模型超参数选择。对基于RNN的分类模型及其他基于传统机器学习算法的模型分别进行实验,结果表明,在选取性能最佳的超参数配置下,基于RNN的样本分类模型具有更高的准确率与F1值。
-
关键词
远控木马
静态分析
行为分析
循环神经网络
超参数
-
Keywords
remote access trojan(rat)
static analysis
behavior analysis
Recurrent Neural Network(RNN)
hyperparameter
-
分类号
TP391
[自动化与计算机技术—计算机应用技术]
-