CN112235242A - 一种c&c信道检测方法及系统 - Google Patents
一种c&c信道检测方法及系统 Download PDFInfo
- Publication number
- CN112235242A CN112235242A CN202010935414.9A CN202010935414A CN112235242A CN 112235242 A CN112235242 A CN 112235242A CN 202010935414 A CN202010935414 A CN 202010935414A CN 112235242 A CN112235242 A CN 112235242A
- Authority
- CN
- China
- Prior art keywords
- flow
- channel
- traffic
- tested
- similarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明实施例提供C&C信道检测方法及系统,基于白名单方法将待测试流量中正常网络流量进行过滤;基于流量自身相似性以及预设聚类算法将待测试流量归聚为网络活动;通过启发式规则将C&C流量进行标注,得到C&C流量识别结果以及第一C&C信道集合;获取基于迁移学习的C&C信道行为检测模型,将剩余流量部分输入至C&C信道行为检测模型,得到第二C&C信道集合,并综合得到C&C信道检测结果。本发明实施例无需准备与待检测目标相关的C&C训练数据以及预备检测环境下的正常通信训练数据,具备更佳适用性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种C&C信道检测方法及系统。
背景技术
在网络安全领域中,C&C信道(Command&Control Channel)是僵尸网络程序,以及木马等先进网络恶意程序的一种必不可少的功能组件。此类网络恶意程序在成功感染主机或设备后,需与攻击者控制服务器建立C&C信道链接,以不断获取最新操作与攻击命令,如更新自身代码、窃取数据并传送、下载攻击代码与工具、组成僵尸网络并协同发动大规模网络攻击等。同时,网络恶意程序也通过C&C信道不断反馈当前被感染主机与设备状态、命令执行结果等信息,以使攻击者充分掌握当前攻击态势、支撑后续攻击决策、实现组合攻击。C&C信道所承担的功能尤为重要、且不可或缺,故对C&C信道的精准检测与及时阻断,即能消除当前的网络恶意程序威胁,也能分析和提取C&C信道关键特征来用于对此类攻击的未来防范中,还能追溯和定位控制服务器乃至攻击者,意义十分重大。
而目前绝大多数C&C信道构建于互联网之上。针对于它们,传统的检测方法大多采用基于载荷识别的技术路线,即在网络流量载荷内容中,直接识别网络恶意程序中C&C信道特有的通信或攻击标识与特征来进行判断,著名的商业化或开源IDS/IPS产品如Snort、Suricata、和Rishi均可用于识别较为传统的C&C信道。除此之外,一些研究者也提出了更新的载荷识别检测方法,如ExecScent方法定义了控制协议模板(CPT)以捕捉恶意程序的HTTP类型的C&C信道请求。其可自动适应不同部署环境下的正常流量,以降低误报率,其大致工作过程是将C&C请求的载荷部分按结构归纳、聚类并生成CPT,再通过正常流量评估该CPT的特异性来保持高检测率并降低误报率。在运用CPT的实际检测过程中,若某流量与CPT高度相似,且该CPT特征性低,则认定该流为恶意程序C&C流。通过上述处理,ExecScent方法可针对不同场景自适应地筛选出质量上佳的CPT签名集以确保低误报率。Chiba等人则在ExecScent方法的基础上改进出了BotProfiler方法,其使用正则表达式替换了原有HTTP请求中的子字符串,实验结果表明其不但降低了误报率,同时还提高了检测率。
然而,传统的载荷识别方法无法应对采用加密C&C通信协议的恶意程序,且只关注于载荷层面的特点与差异,对其他角度的现象与特征有所忽略,难以发现愈发先进、隐蔽、狡猾的先进恶意程序。为此,当前主流方法采用了行为分析的技术路线,即从更多层次、更多角度对C&C信道所表现出的诸多行为特点进行分析、刻画与检测,以发现它们所特有的恶意行为或与正常网络通信迥然不同的行为模式。Bilge等人通过提取大量Netflow流记录中的流尺寸、客户端访问模式、及时序三类行为特征来刻画互联网服务器,配合机器学习方法以识别C&C服务器,并通过一系列额外措施有效降低了误报率。Lu等人的方法同样采取了监督学习的思路,其定义了55个行为特征刻画C&C会话流量,并采用了随机森林算法实现了较好的检测性能。Gadelrab等人在大量统计行为特征的基础上,针对不同类型的检测条件与场景选择了多个不同的特征子集,并在多个机器学习算法下充分评估了它们在C&C信道检测问题上的表现。简而言之,当前主流的行为检测方法大多通过各式行为特征来细致刻画C&C信道,并配合机器学习或深度学习方法来捕获其与正常网络通信的行为差异,并运用于检测中。
不难发现,当前主流方法的行为分析式C&C信道检测方法依然存在着一定缺陷,其最主要的问题是此类方法的检测能力在很大程度上依赖于C&C信道训练数据,即人们需要事先预备充足数量的C&C信道训练数据,以提取足够知识来构建起较为精密的行为检测模型。然而,在实际环境下的检测场景中,一方面当前泛滥的恶意程序类型多种多样,它们之间在各方面上均可能存在一定的行为差异,很难事先知悉拟对目标发动攻击的恶意程序类别与家族,并准备好相应或相关家族样本的C&C信道训练数据以构建针对性的行为检测模型;另一方面,在应对新式乃至未知家族的网络恶意程序威胁时,更加无法直接获得它们对应的C&C流量训练数据。再者,与特定检测场景相关的正常流量数据,尽管它们相比C&C流量这种恶意数据相对较易获得,然而多变的检测场景网络环境,以及大量的各式正常网络应用与程序都使得我们难以构建一个能囊括所有或绝大多数正常网络通信的训练数据集。简而言之,现有主流的行为分析式C&C信道检测方法对C&C训练数据,以及特点检测场景相关的正常训练数据集这两者均过于依赖,无法直接在真实复杂多变的网络环境中准确检测C&C信道。
发明内容
本发明实施例提供一种C&C信道检测方法及系统,用以解决现有技术中存在的缺陷。
第一方面,本发明实施例提供一种C&C信道检测方法,包括:
获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;
基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;
通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;
获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;
将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
进一步地,所述获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量,具体包括:
基于Alexa Top 1M列表对所述待测试流量中的合法DNS及HTTP请求进行过滤;
基于SSL/TLS证书对所述待测试流量中的合法SSL会话流量进行过滤。
进一步地,所述基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动,具体包括:
通过预设协议层行为特征对所述预处理后的待测试流量进行协议相似性聚类,得到协议相似性聚类结果;
通过预设通信层行为特征对所述预处理后的待测试流量进行通信相似性聚类,得到通信相似性聚类结果;
基于所述协议相似性聚类结果设定协议相似性流类簇集合,基于所述通信相似性聚类结果设定通信相似性流类簇集合,对所述协议相似性流类簇集合和所述通信相似性流类簇集合进行聚类关联,得到所述网络活动。
进一步地,所述通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合,具体包括:
分别采用持久性规则、隐蔽性规则和周期性规则对所述网络活动中的C&C流量进行标注,得到持久性标注结果、隐蔽性标注结果和周期性标注结果;
综合所述持久性标注结果、所述隐蔽性标注结果和所述周期性标注结果,获取所述C&C流量识别结果,并将所述C&C流量识别结果对应的信道作为所述第一C&C信道集合。
进一步地,所述分别采用持久性规则、隐蔽性规则和周期性规则对所述网络活动中的C&C流量进行标注,得到持久性标注结果、隐蔽性标注结果和周期性标注结果,具体包括:
计算所述网络活动的整体持续时间,将所述网络活动包含的所有流量数据按照时序划分至预设等长时间槽,将所述网络活动包含的拥有上下交互流量的时间槽设定为交互时间槽,并基于所述交互时间槽数目与所述预设等长时间槽总数的比例以及所述整体持续时间,获取所述持久性标注结果;
获取上下行流量尺寸比例小于预设值、且将至少一个方向载荷包平均尺寸小于预设字节数的TCP/UDP流认定为隐蔽流,以及隐蔽流占所述待测试流量的比例大于等于预设阈值的网络活动,作为所述隐蔽性标注结果;
获取同时满足起始时间间隔小于预设最大间隔值,以及满足由基于Min-Max标准化方法得到的时间间隔数分布及最多时间间隔数大于第一预设阈值,或最多时间间隔数与次多时间间隔数之和大于第二预设阈值的网络活动,作为所述周期性标注结果。
进一步地,所述获取基于迁移学习的C&C信道行为检测模型,具体包括:
获取C&C流量历史数据集,基于与载荷无关的统计行为特征,构建初始C&C历史数据的第一特征集合;
基于与载荷无关的统计行为特征,获取由所述第一C&C信道集合得到的第二特征集合;
采用相似性度量算法计算所述第一特征集合和所述第二特征集合的相似度,获取具有预设相似性的历史数据集合;
通过基于样例的迁移学习算法对所述历史数据集合进行知识补充,并采用预设决策树算法进行分类,建立所述C&C信道行为检测模型,对剩余待测试流量进行检测。
进一步地,所述采用相似性度量算法计算所述第一特征集合和所述第二特征集合的相似度,获取具有预设相似性的历史数据集合,具体包括:
若需要判断所述第一特征集合中的任一条流是否与所述第二特征集合中的流不冲突,则需要判断所述任一条流与所述第一特征集合中最相似流的拥有相同的标记属性是否相同;
若需要判断所述第一特征集合中的任一条流对于预测所述待测试流量除去所述C&C流量识别结果的流量部分是否有帮助,则需要判断所述任一条流与所述待测试流量除去所述C&C流量识别结果的流量部分流行为是否相似。
第二方面,本发明实施例还提供一种C&C信道检测系统,包括:
预处理模块,用于获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;
聚类模块,用于基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;
标注模块,用于通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;
检测模块,用于获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;
综合模块,用于将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述C&C信道检测方法的步骤。
第四方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述C&C信道检测方法的步骤。
本发明实施例提供的C&C信道检测方法及系统,通过提出的检测框架,无需准备与待检测目标相关的C&C训练数据,亦不需预备检测环境下的正常通信训练数据,可在保证良好C&C信道检测能力的前提下,具备更佳的适用性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种C&C信道检测方法的流程示意图;
图2是本发明实施例提供的C&C信道检测逻辑框架流程图;
图3是本发明实施例提供的历史数据流与待检测数据流之间相似度量算法过程图;
图4是本发明实施例提供的一种C&C信道检测系统的结构示意图;
图5是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
面向当前主流行为分析式C&C信道检测方法的过于依赖C&C信道训练数据和与检测场景相关的正常训练数据,在真实复杂多变的网络环境中适用性欠佳这一重大局限性。本发明提出了一种新的集成了启发式规则与迁移学习的C&C信道检测方法,将零散的流量还原为高层次的C&C信道活动。该方法提出了三条启发式规则来识别一部分真正C&C信道流量,此外,该方法基于迁移学习方法从大量的历史数据集筛选和补充对当前检测任务有所帮助的知识,最终构建起C&C信道行为检测模型来识别剩余未知流量中的C&C信道,并与规则发现的C&C信道相结合构成最终检测结果。
图1是本发明实施例提供的一种C&C信道检测方法的流程示意图,如图1所示,包括:
S1,获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;
S2,基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;
S3,通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;
S4,获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;
S5,将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
具体地,如图2所示,本发明实施例的整体方法框架包含了如下几个核心步骤:预处理、流量聚类、规则标注、历史样本选择以及行为检测模型构建。
首先,通过白名单方法标注并过滤掉部分正常网络通信流量;其次,基于C&C信道自身的两方面相似性以及聚类方法将零散的网络流量归聚为更高层次的网络活动,并通过组合三条启发式规则标注出部分真正的C&C流量;同时,该框架从历史数据集中筛选出对当前检测任务可能有所帮助的历史知识,并与之前的部分标注结果相结合以构建起C&C信道行为检测模型;最终,该C&C信道行为检测模型将负责识别出测试流量中剩余的C&C信道,并与之前启发式规则标注出的C&C信道一起作为最终的C&C信道检测结果。
本发明实施例通过提出的检测框架,无需准备与待检测目标相关的C&C训练数据,亦不需预备检测环境下的正常通信训练数据,可在保证良好C&C信道检测能力的前提下,具备更佳的适用性。
基于上述任一实施例,该方法中步骤S1具体包括:
基于Alexa Top 1M列表对所述待测试流量中的合法DNS及HTTP请求进行过滤;
基于SSL/TLS证书对所述待测试流量中的合法SSL会话流量进行过滤。
具体地,由于被网络恶意程序感染的设备可能访问部分正常网络服务,为减少后续流程中所需识别流量数目,以及构建后续的行为检测模型,需识别此部分正常网络流量并加以标注。本发明实施例采用了白名单方法来标注此类正常网络流量为非C&C,并加以滤除,具体从以下两方面进行了白名单过滤预处理:一方面是基于Alexa Top1M列表对合法DNS及HTTP请求进行了过滤;另一方面是基于SSL/TLS证书对合法SSL会话流量进行了过滤。
基于上述任一实施例,该方法中步骤S2具体包括:
通过预设协议层行为特征对所述预处理后的待测试流量进行协议相似性聚类,得到协议相似性聚类结果;
通过预设通信层行为特征对所述预处理后的待测试流量进行通信相似性聚类,得到通信相似性聚类结果;
基于所述协议相似性聚类结果设定协议相似性流类簇集合,基于所述通信相似性聚类结果设定通信相似性流类簇集合,对所述协议相似性流类簇集合和所述通信相似性流类簇集合进行聚类关联,得到所述网络活动。
具体地,为进一步将零散的C&C流还原为更高层次的C&C信道活动,并克服传统基于相同目的地址三元组的还原方法的局限性,本发明实施例提出了一种基于流量自身相似性的聚类关联方法。基于C&C信道以下两方面的内在相似性:1)特定网络恶意程序的C&C信道流量,是由嵌入恶意程序代码本身的C&C协议模块所生成的,因此这些C&C流量之间会在协议层面表现出相似性;2)同一僵尸网络内的被感染主机会在相似的时间窗口内针对特定的C&C命令产生相似乃至相同的回复消息,其意味着针对特定命令的C&C流会表现出通信相似性,因此某被网络恶意程序感染且长时间运行的设备,会因对重复或空白的C&C命令回复而产生一定数量的相似C&C流量。据此,可将呈现出上述两方面相似性的流量归聚,以对应疑似的C&C信道活动。为防止一方面的相似性归聚对另一方面产生干扰,本发明实施例采取了聚类关联的思路,具体进行如下聚类操作:
一、协议相似性聚类
为将相同或相似协议的网络流归聚,需先将流量转换为与网络协议相同的特征向量,运用以下十项统计特征来刻画每条TCP/UDP流的协议层面行为特点:流尺寸、流持续时间、流前向载荷包尺寸序列均值、流前向载荷包尺寸序列方差、流前向载荷包间隔序列均值、流前向载荷包尺寸序列查方差、流后向载荷包尺寸序列均值、流后向载荷包尺寸序列方差、流后向载荷包间隔序列均值以及流后向载荷包尺寸序列查方差。在聚类算法的选用问题上,选用了DBSCAN聚类算法。
二、通信相似性聚类
为刻画每条TCP/UDP流在通信层面的行为,本发明实施例另外使用了以下五项统计特征:传输层协议(pro)、流前向载荷包的数目(fc)、流后向载荷包的数目(bc)、流前向载荷包的总尺寸(fs)、以及流后向载荷包的总尺寸(bs)。此外,还定义了两个同类行为特征间距离dis_value的计算方法如下所示:
设a与b为两条TCP/UDP流转换而来的通信行为特征向量,则其距离dis_f low(a,b)计算方式如下所示。在上述距离定义的基础上,选用了Average-Linkage层次聚类算法对所有流量进行通信相似性上的归聚:
三、聚类关联
设P=p1,.....,pn与C=c1,.....,cm分别是协议相似性归聚与通信相似性聚类后的流类簇集合。为关联两者的结果,以将两方面均相似的流量最终归聚在一起,对于任意一对分别属于P与C的类簇,获取它们的交集并计算其包含的TCP/UDP流数目。倘若其包含至少3条流,则将该交集放入另一集合I中。由于针对不同C&C信道命令的通信行为模式间很可能存在差异,一个完整的C&C信道活动对应流量会被划分到多个通信类簇以及多个交集类簇中。因此,对任意一对属于I的交集类簇,倘若它们各自包含的TCP/UDP流外部通信地址与端口集合的交集不为空,则将两类簇融合。最后,为去除少量噪声流量偶然且错误地与其他流量归聚到一起这类情况,对于经融合处理后的I集合中的每个类簇,计算其每个外部通信地址所对应的TCP/UDP流数目,并将少于2条流的地址及相关流量自该类簇去除。将经过关联、融合与去噪后的I集合中的每个流量类簇,本发明实施例视其为一个网络活动。
本发明实施例通过基于C&C信道自身多重相似性,以及C&C信道自身典型特征,分别提出流量聚类关联方法,用于精准识别完全未标记的测试流量中的部分流量,包括C&C和非C&C,作为种子流量给后续的行为检测模型建立奠定良好的基础。
基于上述任一实施例,该方法中步骤S3具体包括:
分别采用持久性规则、隐蔽性规则和周期性规则对所述网络活动中的C&C流量进行标注,得到持久性标注结果、隐蔽性标注结果和周期性标注结果;
综合所述持久性标注结果、所述隐蔽性标注结果和所述周期性标注结果,获取所述C&C流量识别结果,并将所述C&C流量识别结果对应的信道作为所述第一C&C信道集合。
其中,所述分别采用持久性规则、隐蔽性规则和周期性规则对所述网络活动中的C&C流量进行标注,得到持久性标注结果、隐蔽性标注结果和周期性标注结果,具体包括:
计算所述网络活动的整体持续时间,将所述网络活动包含的所有流量数据按照时序划分至预设等长时间槽,将所述网络活动包含的拥有上下交互流量的时间槽设定为交互时间槽,并基于所述交互时间槽数目与所述预设等长时间槽总数的比例以及所述整体持续时间,获取所述持久性标注结果;
获取上下行流量尺寸比例小于预设值、且将至少一个方向载荷包平均尺寸小于预设字节数的TCP/UDP流认定为隐蔽流,以及隐蔽流占所述待测试流量的比例大于等于预设阈值的网络活动,作为所述隐蔽性标注结果;
获取同时满足起始时间间隔小于预设最大间隔值,以及满足由基于Min-Max标准化方法得到的时间间隔数分布及最多时间间隔数数大于第一预设阈值,或最多时间间隔数与次多时间间隔数之和大于第二预设阈值的网络活动,作为所述周期性标注结果。
具体地,在实际应用中,仅呈现协议相似与通信相似性的网络活动并不能都直接被认定为C&C信道活动。部分正常网络活动同样会呈现协议和通信相似性。例如,一个P2P文件传输程序会从多个通信节点下载相同尺寸的数据块,且与这些节点的网络通信基于统一的P2P文件传输协议。为此,需对经聚类关联得到的各网络活动进一步地筛选,以发现其中真正的C&C信道活动。为满足不依赖训练数据这一前提,本发明实施例同样采用了启发式规则,在所提出的混合式C&C信道检测方法中,使用启发式规则的目的是识别并滤去大量不符合典型C&C信道特征的非C&C流量,再将包含了真C&C流量与正常通信流量的规则过滤结果交由异常行为模型进一步精炼。但本发明实施例中采用启发式规则的目的,则是将严格遵循C&C信道典型特征的部分网络活动标注为C&C,即直接识别部分典型而纯净的C&C流量。尽管它们目的不同,但均构建于典型的C&C信道特征之上。此外,由于C&C信道活动并不仅仅是由各流量类簇中的相似流量所组成的,对于每个待检测的网络活动,本发明实施例进一步提取其包含的全部外部通信地址,并将它们对应的所有流量组成一个测试对象(Testing Object:TO),并基于如下三条启发式规则来判断其是否具备C&C信道的典型特性:
一、持久性(Persistent)规则
C&C信道的核心目的是为了使网络恶意程序持久可控并保持活跃。基于此,本发明计算网络活动整体ACT的持续时间Dur,将其包含的所有流量数据依时序划分至等长连续的时间槽中(单个时间槽50秒),并将包含上下交互流量的时间槽认定为交互时间槽,最后计算交互时间槽占全部时间槽的比例为perint,然后给定两个阈值λdur与λpers,ACT是否具有持久性的判断规则表达如下:
二、隐蔽性(Covert)规则
通常来说,数据传输类的正常网络活动也会表现出持久性。然而,此类活动也会呈现出整体流量尺寸较大,以及上下行流量尺寸悬殊这两个特性。其背后原因是由于此类传输活动中,单个通信端点负责将数据不断传送到另一端点,而另一端点则负责报告传输状态并请求下阶段数据。另一方面,C&C信道的一个潜在设计理念是尽可能保证其自身的隐蔽性。因而C&C信道活动的通信端点均会倾向于尽可能少地传输数据,以减少自身被识别、分析和提取特征的可能。基于此,本发明实施例将上下行流量尺寸比例小于4,且至少一个方向的载荷包平均尺寸小于256字节的TCP/UDP流认定为隐蔽流,从而筛选出更加纯净的C&C流量;同时设隐蔽流占该测试对象全部流的比例为Percov,在给定阈值λcov的前提下,其隐蔽性判断规则为:
三、周期性(Periodic)规则
由于C&C信道会定期尝试建立连接以及时获取最新的命令,即C&C信道会表现出一定的周期性,对于一个测试对象,计算其包含的所有TCP/UDP流的起始时间间隔,记录最大间隔值为MAXi,使用Min-Max标准化方法处理所有的时间间隔值,将标准化后的所有时间间隔值放入10个数值间隔中(0-0.1,0.1-0.2,......,0.9-1.0),计算各数值槽中时间间隔数占全部间隔数的比例,并记最大与第二大的比例值分别为Lp和SLp,在给定两阈值λperi1和λperi2的前提下,测试对象的周期性判别规则为如下公式。其中最大时间间隔的判断条件是用于滤除两个具有周期性但间隔过长的网络活动偶然被融合至一起的这类情况。由于C&C信道需要保证命令下达与攻击的时效性,存在过长间隔的网络活动不太可能是典型的C&C信道:
综上所述,在对测试对象进行了三种C&C信道典型特点的检测后,本发明实施例将同时具备三种特性的测试对象所包含的全部隐蔽流认定为C&C流。此外,对于一个具备持久但非周期的测试对象,倘若其包含的隐蔽流比例小于0.3,则将其包含的所有流量标注为非C&C。此类持久但非周期的网络活动通常是由用户操作生成的,如在特定网页上进行浏览等。同时,设定一个较小的隐蔽流比例阈值来进一步增加其对应非C&C活动的概率。
本发明实施例通过应用启发式规则,准确标准和识别各检测场景中不同类型C&C信道,具备很强的适用性。
基于上述任一实施例,所述获取基于迁移学习的C&C信道行为检测模型,具体包括:
获取C&C流量历史数据集,基于与载荷无关的统计行为特征,构建初始C&C历史数据的第一特征集合;
基于与载荷无关的统计行为特征,获取由所述第一C&C信道集合得到的第二特征集合;
采用相似性度量算法计算所述第一特征集合和所述第二特征集合的相似度,获取具有预设相似性的历史数据集合;
通过基于样例的迁移学习算法对所述历史数据集合进行知识补充,并采用预设决策树算法进行分类,建立所述C&C信道行为检测模型,对剩余待测试流量进行检测。
其中,所述采用相似性度量算法计算所述第一特征集合和所述第二特征集合的相似度,获取具有预设相似性的历史数据集合,具体包括:
若需要判断所述第一特征集合中的任一条流是否与所述第二特征集合中的流不冲突,则需要判断所述任一条流与所述第一特征集合中最相似流的拥有相同的标记属性是否相同;
若需要判断所述第一特征集合中的任一条流对于预测所述待测试流量除去所述C&C流量识别结果的流量部分是否有帮助,则需要判断所述任一条流与所述待测试流量除去所述C&C流量识别结果的流量部分流行为是否相似。
具体地,在上述实施例的基础上,已对部分测试流量进行了标注处理。在理想情况下,可基于当前标注流量直接构建一个C&C信道行为检测模型,进而对剩余未标注流量的属性进行判断。然而,既然剩余未标注的C&C流量不符合典型的C&C信道特点,其与经启发式规则标注的C&C信道间很有可能存在着一定的行为差异。此外,白名单中的正常网络流量也同样可能与剩余的非C&C流量存在不小的区别。简而言之,仅依赖上述步骤的部分标注结果直接构建起的行为检测模型,很可能无法足够准确地区分剩余未标注流量。尽管无法获得当前检测场景下的相应训练数据,且启发式规则所标注出的部分流量不充足,但除此之外,大量诸如公共数据集、早先捕获的C&C信道流量等历史数据,仍可能蕴含着与当前检测任务相似乃至相关的知识。它们应当被挖掘和用于补充启发式规则识别结果的不足,共同建立起一个当前任务下能力充足的行为检测模型。据此,本发明实施例基于迁移学习来实现这一目标,基于迁移学习概念的形式化定义,设整个当前检测任务下的测试流量为目标域对应数据T,其又由经上述步骤标注出的部分流量Tl以及剩余的未标注流量Tu所组成。此外,还有作为源域数据的历史数据S。因此,当前目标为如何基于Tl和S构建一个C&C信道行为检测模型,以准确识别Tu。
而在构建C&C信道行为检测模型之前,需要先将流量转换为相应的特征向量以细致刻画样本行为。为满足适用于不同恶意程序家族、通信架构和C&C协议的需求,本发明实施例使用了与载荷无关的统计行为特征。鉴于C&C信道通常构建于应用层协议之上,需要相比流量聚类步骤所采用的更为细粒度的特征方案。具体的,选用了NetMate工具所提出的44个特征,同样去除了:srcip,srcport,以及dstip这三个与通信地址相关的特征,并进一步补充了十个额外特征:前向载荷包中载荷部分的最小值、最大值、均值、方差、和总和,以及后向载荷包中载荷部分的最小值、最大值、均值、方差、和总和。对于一条TCP/UDP流,将其表示为(F1,...,F51,label),其中Fi(1≤i≤51)代表第i个特征。对于Tl和S中的流,其tabel属性被设为“C&C”或“非C&C”,Tu中流的属性则暂时未知。
为有效防止迁移学习应用过程中关键的负迁移现象,本发明提出了一种相似性度量算法来计算S中的网络流量与T中流量的相似度,以筛选较为相似的历史流数据作为有用的知识来进行迁移。此外,对历史数据的筛选也可有效减少历史样本的数量并提高后续模型训练的速度。该算法基于以下理念:
a)如果一条S中的流与Tl中的流不冲突,则Tl中与其最为相似流的label属性与该条流的label属性相同;
b)如果一条S中的流对于预测Tu有帮助,则其应当与部分Tu中的流行为相似。
设A与B是两条来自不同域的流,则定义A与B的相似度量函数为如下公式:
基于上述定义,一条S中的流s与T的相似度量过程如图3所示。
基于图3中的算法,可对S中每一条流到T相似度进行度量,并分别配合使用两个阈值来筛选相似度大于它们的历史C&C流量以及历史非C&C流量。经筛选后的历史流数据所组成的集合则记为Ssub。为了降低行为检测模型构建及检测过程中的性能开销并提高检测效率,本发明实施例具体选用了基于样例的迁移学习算法TrAdaBoost,并将经典的决策树算法作为TrAdaBoost的基础分类器。
本发明实施例通过构建基于迁移学习的C&C信道行为检测模型,能够有效筛选对当前检测任务有所帮助的历史数据,防止负迁移,且筛选后的历史样本数据能够有效提升当前场景下检测模型对C&C信道的检测性能,从而使得本发明的完整方法能够准确识别更多C&C流量。
基于上述任一实施例,本发明实施例采用了如下数据及方法进行了充分的实验评估:
获取CTU-13数据集进行实验,该数据集由捷克技术大学于2011年发布,其包含了13个具体的僵尸网络场景。每场景都由一台或多台感染了特定僵尸网络恶意程序的主机,在受监控情况下运行并收集其产生的所有网络流量数据。同时,该数据集也包含了大量同环境中的背景与其他流量。最为重要的是,CTU-13数据集对每条采集到的网络流进行了细粒度的类别标注,如C&C流、下载流、攻击流、正常通信流等等。该数据集亦被众多相关文献或发明所使用,因而被本发明选用作为评估数据集。另外,还基于自身生成的一个类似的僵尸网络数据集进行了实验。CTU-13数据集和生成数据集的详细信息如表1和表2所示。对于每个测试数据集,通过流量聚类及启发式规则标记其部分C&C流量,基于历史样本选择及迁移学习方法有效筛选历史数据集,构建行为检测模型并最终用于对剩余流量中C&C信道的检测,两阶段的C&C信道检测结果相结合生成最终结果。
表1
表2
经过实验评估,本发明实施例具备如下优点:
(1)由表3显示了本发明制定的流量聚类方法和三条启发式规则,对上述不同评估数据集的识别效果。可以看到,在CTU-13数据集上的识别准确率超过或等于99.6%,在生成数据集上的识别准确率则是100%。此结果极高的准确率对于后续行为模型的建立意义十分重大。
表3
(2)表4和表5分别显示了本发明制定的基于迁移学习的C&C信道行为检测模型,基于上述部分标识结果,在CTU-13数据集和生成数据集上取得的最终检测结果,亦是完整框架的检测结果。
除本发明实施例对应的完整检测框架TM外,还另外构建了三种不同的行为检测模型BM、NSM和CM。其中BM模型未采用历史数据,NSM模型未经过历史样本选择,CM模型只在经过历史样本选择后直接和部分标识结果相结合,未进行迁移。由两表可直观的看出,本发明对应的完整检测框架TM在综合了精确率于召回率的C&C信道F-measure值上始终表现最佳,其在CTU-13数据集上最佳检测结果为0.886,在生成数据集上最佳结果为0.967。该结果优于其他三个模型的结果表明本发明提出的基于迁移学习的C&C信道行为检测模型,能够有效筛选历史数据集中的有用知识,防止负迁移,并有效提升当前场景下检测器的性能,并最终带来优秀的C&C信道识别结果。
表4
表5
(3)选取三种基于纯启发式规则的C&C信道检测方法(Pers、Peri1和Peri2),以及两种行为分析式C&C信道检测模型(DZ、CS)。前三种规则与本发明实施例的完整框架进行了比对,后两种行为模型在相同训练和测试条件下于与本发明实施例框架中的BM模型进行了对比,表6显示了所有的性能对比结果。可以很直观的看出,本发明实施例对C&C信道检测结果的F-measure值均优于各其他方法表现,且性能优势明显。对比结果证明本发明实施例框架能够在完全不依赖场景相关训练数据的前提下,更准确地识别更多不同类型的C&C信道。
表6
下面对本发明实施例提供的C&C信道检测系统进行描述,下文描述的C&C信道检测系统与上文描述的C&C信道检测系统可相互对应参照。
图4是本发明实施例提供的一种C&C信道检测系统的结构示意图,如图4所示,包括:预处理模块41、聚类模块42、标注模块43、检测模块44和综合模块45;其中:
预处理模块41用于获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;聚类模块42用于基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;标注模块43用于通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;检测模块44用于获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;综合模块45用于将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
本发明实施例通过提出的检测框架,无需准备与待检测目标相关的C&C训练数据,亦不需预备检测环境下的正常通信训练数据,可在保证良好C&C信道检测能力的前提下,具备更佳的适用性。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(communicationinterface)520、存储器(memory)530和通信总线(bus)540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行C&C信道检测方法,该方法包括:获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的C&C信道检测方法,该方法包括:获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的C&C信道检测方法,该方法包括:获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种C&C信道检测方法,其特征在于,包括:
获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;
基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;
通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;
获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;
将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
2.根据权利要求1所述的C&C信道检测方法,其特征在于,所述获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量,具体包括:
基于Alexa Top 1M列表对所述待测试流量中的合法DNS及HTTP请求进行过滤;
基于SSL/TLS证书对所述待测试流量中的合法SSL会话流量进行过滤。
3.根据权利要求1或2所述的C&C信道检测方法,其特征在于,所述基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动,具体包括:
通过预设协议层行为特征对所述预处理后的待测试流量进行协议相似性聚类,得到协议相似性聚类结果;
通过预设通信层行为特征对所述预处理后的待测试流量进行通信相似性聚类,得到通信相似性聚类结果;
基于所述协议相似性聚类结果设定协议相似性流类簇集合,基于所述通信相似性聚类结果设定通信相似性流类簇集合,对所述协议相似性流类簇集合和所述通信相似性流类簇集合进行聚类关联,得到所述网络活动。
4.根据权利要求1所述的C&C信道检测方法,其特征在于,所述通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合,具体包括:
分别采用持久性规则、隐蔽性规则和周期性规则对所述网络活动中的C&C流量进行标注,得到持久性标注结果、隐蔽性标注结果和周期性标注结果;
综合所述持久性标注结果、所述隐蔽性标注结果和所述周期性标注结果,获取所述C&C流量识别结果,并将所述C&C流量识别结果对应的信道作为所述第一C&C信道集合。
5.根据权利要求4所述的C&C信道检测方法,其特征在于,所述分别采用持久性规则、隐蔽性规则和周期性规则对所述网络活动中的C&C流量进行标注,得到持久性标注结果、隐蔽性标注结果和周期性标注结果,具体包括:
计算所述网络活动的整体持续时间,将所述网络活动包含的所有流量数据按照时序划分至预设等长时间槽,将所述网络活动包含的拥有上下交互流量的时间槽设定为交互时间槽,并基于所述交互时间槽数目与所述预设等长时间槽总数的比例以及所述整体持续时间,获取所述持久性标注结果;
获取上下行流量尺寸比例小于预设值、且将至少一个方向载荷包平均尺寸小于预设字节数的TCP/UDP流认定为隐蔽流,以及隐蔽流占所述待测试流量的比例大于等于预设阈值的网络活动,作为所述隐蔽性标注结果;
获取同时满足起始时间间隔小于预设最大间隔值,以及满足由基于Min-Max标准化方法得到的时间间隔数分布及最多时间间隔数大于第一预设阈值,或最多时间间隔数与次多时间间隔数之和大于第二预设阈值的网络活动,作为所述周期性标注结果。
6.根据权利要求1所述的C&C信道检测方法,其特征在于,所述获取基于迁移学习的C&C信道行为检测模型,具体包括:
获取C&C流量历史数据集,基于与载荷无关的统计行为特征,构建初始C&C历史数据的第一特征集合;
基于与载荷无关的统计行为特征,获取由所述第一C&C信道集合得到的第二特征集合;
采用相似性度量算法计算所述第一特征集合和所述第二特征集合的相似度,获取具有预设相似性的历史数据集合;
通过基于样例的迁移学习算法对所述历史数据集合进行知识补充,并采用预设决策树算法进行分类,建立所述C&C信道行为检测模型,对剩余待测试流量进行检测。
7.根据权利要求6所述的C&C信道检测方法,其特征在于,所述采用相似性度量算法计算所述第一特征集合和所述第二特征集合的相似度,获取具有预设相似性的历史数据集合,具体包括:
若需要判断所述第一特征集合中的任一条流是否与所述第二特征集合中的流不冲突,则需要判断所述任一条流与所述第一特征集合中最相似流的拥有相同的标记属性是否相同;
若需要判断所述第一特征集合中的任一条流对于预测所述待测试流量除去所述C&C流量识别结果的流量部分是否有帮助,则需要判断所述任一条流与所述待测试流量除去所述C&C流量识别结果的流量部分流行为是否相似。
8.一种C&C信道检测系统,其特征在于,包括:
预处理模块,用于获取待测试流量,基于白名单方法将所述待测试流量中的正常网络流量进行过滤去除,得到预处理后的待测试流量;
聚类模块,用于基于流量自身相似性以及预设聚类算法将所述预处理后的待测试流量归聚为网络活动;
标注模块,用于通过启发式规则将所述网络活动中的C&C流量进行标注,得到C&C流量识别结果以及所述C&C流量识别结果对应的第一C&C信道集合;
检测模块,用于获取基于迁移学习的C&C信道行为检测模型,将所述待测试流量除去所述C&C流量识别结果的流量部分输入至所述C&C信道行为检测模型,得到第二C&C信道集合;
综合模块,用于将所述第一C&C信道集合和所述第二C&C信道集合进行综合,得到C&C信道检测结果。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述C&C信道检测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述C&C信道检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010935414.9A CN112235242A (zh) | 2020-09-08 | 2020-09-08 | 一种c&c信道检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010935414.9A CN112235242A (zh) | 2020-09-08 | 2020-09-08 | 一种c&c信道检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112235242A true CN112235242A (zh) | 2021-01-15 |
Family
ID=74116741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010935414.9A Pending CN112235242A (zh) | 2020-09-08 | 2020-09-08 | 一种c&c信道检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112235242A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037749A (zh) * | 2021-03-08 | 2021-06-25 | 中国科学院信息工程研究所 | 一种c&c信道判别方法及系统 |
| CN114884704B (zh) * | 2022-04-21 | 2023-03-10 | 中国科学院信息工程研究所 | 一种基于对合和投票的网络流量异常行为检测方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| US20160275151A1 (en) * | 2015-03-18 | 2016-09-22 | Alfredo Lovati | Method and System for Dashboard for Event Management |
| CN109740741A (zh) * | 2019-01-09 | 2019-05-10 | 上海理工大学 | 一种结合知识转移的强化学习方法及其应用于无人车自主技能的学习方法 |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
-
2020
- 2020-09-08 CN CN202010935414.9A patent/CN112235242A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| US20160275151A1 (en) * | 2015-03-18 | 2016-09-22 | Alfredo Lovati | Method and System for Dashboard for Event Management |
| CN109740741A (zh) * | 2019-01-09 | 2019-05-10 | 上海理工大学 | 一种结合知识转移的强化学习方法及其应用于无人车自主技能的学习方法 |
| CN110602044A (zh) * | 2019-08-12 | 2019-12-20 | 贵州电网有限责任公司 | 一种网络威胁分析方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| JIANGUO JIANG, ETAL.: "A New C&C Channel Detection Framework Using Heuristic Rule and Transfer Learning", 《IPCCC2019》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037749A (zh) * | 2021-03-08 | 2021-06-25 | 中国科学院信息工程研究所 | 一种c&c信道判别方法及系统 |
| CN114884704B (zh) * | 2022-04-21 | 2023-03-10 | 中国科学院信息工程研究所 | 一种基于对合和投票的网络流量异常行为检测方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
| Moustafa et al. | Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models | |
| CN106713371B (zh) | 一种基于DNS异常挖掘的Fast Flux僵尸网络检测方法 | |
| EP2725512B1 (en) | System and method for malware detection using multi-dimensional feature clustering | |
| CN113079143A (zh) | 一种基于流数据的异常检测方法及系统 | |
| US9584533B2 (en) | Performance enhancements for finding top traffic patterns | |
| US11095670B2 (en) | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane | |
| Iliofotou et al. | Graph-based p2p traffic classification at the internet backbone | |
| CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN111817982A (zh) | 一种面向类别不平衡下的加密流量识别方法 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
| Piskozub et al. | Malalert: Detecting malware in large-scale network traffic using statistical features | |
| CN113821793B (zh) | 基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
| Brahmi et al. | Towards a multiagent-based distributed intrusion detection system using data mining approaches | |
| Liu et al. | A distance-based method for building an encrypted malware traffic identification framework | |
| Patil et al. | S-DDoS: Apache spark based real-time DDoS detection system | |
| CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
| Daneshgadeh et al. | An empirical investigation of DDoS and Flash event detection using Shannon entropy, KOAD and SVM combined | |
| CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
| Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
| CN113037748A (zh) | 一种c&c信道混合检测方法及系统 | |
| Ongun et al. | PORTFILER: port-level network profiling for self-propagating malware detection | |
| Kosamkar et al. | Data Mining Algorithms for Intrusion Detection System: An Overview | |
| CN115277178A (zh) | 基于企业网网络流量的异常监测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210115 |