CN113656800B - 一种基于加密流量分析的恶意软件行为识别方法 - Google Patents

一种基于加密流量分析的恶意软件行为识别方法 Download PDF

Info

Publication number
CN113656800B
CN113656800B CN202110950651.7A CN202110950651A CN113656800B CN 113656800 B CN113656800 B CN 113656800B CN 202110950651 A CN202110950651 A CN 202110950651A CN 113656800 B CN113656800 B CN 113656800B
Authority
CN
China
Prior art keywords
malicious
behavior
malicious behavior
traffic
malware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110950651.7A
Other languages
English (en)
Other versions
CN113656800A (zh
Inventor
胡晓艳
朱成
程光
吴桦
龚俭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202110950651.7A priority Critical patent/CN113656800B/zh
Publication of CN113656800A publication Critical patent/CN113656800A/zh
Application granted granted Critical
Publication of CN113656800B publication Critical patent/CN113656800B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Biophysics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于加密流量分析的恶意软件行为识别方法,具体步骤包括:制作使用加密协议进行数据通信的恶意软件,自动化攻击并提取带标签的行为流量数据集;对采样流量进行特征提取,简单的进行特征筛选后使用三种深度神经网络进行训练;使用训练后的模型对恶意软件执行的恶意行为进行识别,最后输出执行的恶意行为类别。本发明提供了用于研究恶意软件内部的恶意行为流量数据集,并贡献了一种自动化采集带标签的恶意行为样本的方法;本发明能够通过加密流量准确地识别恶意软件内部的恶意行为,并拥有快速部署在网络边缘的能力,为网络管理员确定恶意软件入侵阶段提供新的解决方案,对未来将发生的危险行为针对性的防御。

Description

一种基于加密流量分析的恶意软件行为识别方法
技术领域
本发明属于网络空间安全技术领域,涉及一种基于加密流量分析的恶意软件行为识别方法。
背景技术
随着网络空间安全形势的日益严峻,恶意软件入侵的现象也频频发生。据统计,每年恶意软件对网络环境造成的损失达数万亿美元,其中恶意软件释放的攻击动作对计算机系统造成不同程度的破坏,如窃取私人数据,注入恶意代码等。因此,为了维护网络空间的安全,对恶意软件的恶意行为进行识别成为网络安全领域的研究热点之一。
对恶意软件内部具体的恶意行为的细粒度识别是极具困难并且也是有必要的。通常恶意软件释放到受害者操作系统中,会对其进行不同程度的破坏,准确识别这些恶意行为有助于提供针对性防御。然而现阶段大多只是对软件的恶意性识别或者检测恶意软件类别,识别上述恶意软件内部执行的具体恶意行为需要有着丰富的安全经验。随着加密恶意软件的流行,恶意行为执行时的通信流量基本都是加密的数据交互部分,非加密部分也只能体现应用协议的特征,没有特定于各行为的特征,给这项细粒度识别工作带来了困难。
国内外近年来针对恶意软件内部释放的恶意行为进行识别研究主要集中在安全日志事件和API序列配对方面,并且以机器学习方法为主。这些研究基本上都围绕恶意软件被攻击后在系统留下的痕迹或逆向分析恶意软件执行后的API序列来分析恶意软件的恶意行为,并选择合适的特征以机器学习算法进行训练。上述方法可以对恶意软件的行为获得很好的识别效果。但现有的方法存在如下主要问题:(1)目前的方法针对恶意软件执行完恶意行为后进行分析,此时系统已被恶意软件进行了不同程度的破坏,难以部署在网络边缘;(2)攻击者通常使用多种防检测手段,如在攻击完毕后修改日志文件,或者在恶意代码中添加混淆性的API 序列,这些手段将导致不能准确地识别出恶意软件的恶意行为。上述问题导致现有的方法无法实现对恶意软件具体的恶意行为快速识别,并且现阶段的研究没有恶意软件行为的流量数据集,难以从流量层面进行分析。
为了实现基于流量分析进行恶意软件行为的研究,本发明制作了使用加密协议进行数据通信的恶意软件,自动提取带标签的恶意行为流量数据集,并通过多种深度学习算法对恶意行为进行细粒度识别。
发明内容
为了加强对恶意软件的监管,实现对加密恶意软件内部的行为准确识别,本发明提出了一种基于加密流量分析的恶意软件行为识别方法,针对当前没有可供研究的恶意软件行为的加密流量数据集,制作使用加密协议进行数据通信的恶意软件,自动化攻击并提取带标签的行为流量,对采样流量进行特征提取,简单的进行特征筛选后使用三种深度神经网络进行训练,使用训练后的模型对恶意软件执行的恶意行为进行识别,最后输出恶意软件行为类别。
为了达到上述目的,本发明提供如下技术方案:
一种基于加密流量分析的恶意软件行为识别方法,其特征在于,包括如下步骤:
(1)搭建恶意软件执行恶意行为时的攻击环境,自动化采集恶意行为流量数据集;
(2)对步骤(1)中捕获的恶意行为流量数据进行特征提取、特征清理、特征标准化处理,分别输入到1d-CNN、2d-CNN及LSTM三种深度神经网络中进行训练;
(3)选择训练后表现最优异深度神经网络模型作为分类器,并识别已发生的恶意行为类别。
进一步地,所述步骤(1)具体包括如下子步骤:
(1.1)基于Kali平台制作恶意软件,并使用TLS1.2协议进行数据通信;
(1.2)将恶意软件释放在Windows受害者机器中;
(1.3)受害者执行该恶意软件后与攻击者进行通信连接,自动执行内部封装的恶意行为;
(1.4)恶意行为进行时采集相应通信的恶意行为流量,所有恶意行为执行完毕后停止采集,存储当前采集的恶意行为流量数据文件;
(1.5)重复(1.3)~(1.4)操作,直到采集到每种恶意行为执行200-250次的流量数据。
进一步地,所述步骤(1.1)具体包括如下子步骤:
(1.1.1)使用Msfvenom工具生成https负载的恶意软件;
(1.1.2)将恶意软件内部植入RSA2048位的SSL/TLS密钥证书;
(1.1.3)在恶意软件内部封装恶意行为的指令脚本。
进一步地,所述步骤(1.3)具体包括如下子步骤:
(1.3.1)在Windows受害者环境中设置定时执行恶意软件的任务;
(1.3.2)在攻击者环境编写每次执行恶意行为前发送一条端口号为80的http流量的代码脚本,该脚本的作用是确定恶意软件将发生的恶意行为类别,以生成相应的标签;
(1.3.3)在攻击者环境设置定时执行所述恶意软件内部封装的恶意行为的指令脚本,每种恶意行为自动执行200-250次。
进一步地,所述步骤(2)具体包括如下子步骤:
(2.1)首先对步骤(1)中捕获的恶意行为流量数据集进行过滤操作;
(2.2)使用CICflowmeter工具对过滤后的恶意行为流量数据提取提取84个流特征;
(2.3)综合考虑特征具有的干扰性,从步骤(2.2)所述的84个流特征中选取76个用于训练的特征,其为具有时序特征的数据集;
(2.4)将步骤(1)得到的恶意行为流量数据集,经过步骤(2.2)-步骤(2.3)的特征提取和选择后,输入到1d-CNN、2d-CNN及LSTM三种深度神经网络中进行训练。
进一步地,步骤(2.1)中所述过滤操作是指过滤掉在执行恶意行为前进行TLS握手产生的流量、执行恶意行为后释放连接的流量、SSDP协议产生的背景流量。
进一步地,所述步骤(2.4)具体包括如下子步骤:
(2.4.1)将步骤(2.3)中得到的的具有时序特征的数据输入到一维卷积神经网络(1d-CNN) 和长短时记忆神经网络(LSTM)中;
(2.4.2)将步骤(2.3)中的具有时序特征的数据转换为二维矩阵,输入到二维卷积神经网络(2d-CNN)中。
进一步地,所述步骤(2.3)中所述的具有时序特征的数据集,表示为:
F={f1,f2,f3,..,fn}(1≤n≤N)
其中fi(i=1,2,3,……n)表示恶意行为ei产生的通信流量,N表示恶意软件通信产生的流量总数,n表示恶意行为的类别条目数,其中每一个恶意行为所产生的流特征向量表示为:
fi={(x1,x2,..,xm),yc}(1≤m≤M,1≤c≤C)
其中xm表示第m个经过标准化的特征值,m表示所选择特征的维度,yc表示fi的类别, 1d-CNN、2d-CNN及LSTM三种深度神经网络的训练过程如下:
其中表示第l-1层神经网络的输入特征向量,i表示为流特征个数,/>表示第l-1 层神经网络的特征i权重值,bl为第l层神经网络的偏重值,f(·)表示神经网络的神经元处理函数。
进一步地,所述步骤(3)具体包括如下子步骤:
(3.1)在1d-CNN、2d-CNN及LSTM三种深度神经网络最后一层使用sigmoid激活函数输出每种恶意行为的类别概率P;sigmoid激活函数的表达式为:
其中P(X(i))表示恶意行为样本X(i)的预测概率;
(3.2)将预测概率值最大的恶意行为类别作为最终识别的恶意行为,识别过程表示为:
其中ypred表示为样本X(i)预测为恶意行为类别c的概率。
与现有技术相比,本发明具有如下优点和有益效果:
(1)本发明基于加密流量分析恶意软件的恶意行为,贡献了此研究领域的加密流量数据集和一种自动化采集带标签数据的方法。
(2)本发明能够精准的识别出多种恶意软件行为,为网络管理员确定恶意软件入侵阶段提供新的解决方案。
(3)本发明拥有快速部署在网络边缘的能力,有效针对突发的恶意软件入侵现象。
附图说明
图1为本发明提供的基于加密流量分析的恶意软件行为识别的方法框架。
图2为在分类模块中使用1d-CNN进行识别各恶意行为的混淆矩阵。
图3为在分类模块中使用2d-CNN进行识别各恶意行为的混淆矩阵。
图4为在分类模块中使用LSTM进行识别各恶意行为的混淆矩阵。
图5为三种神经网络在训练前三十轮对恶意行为的识别准确率曲线。
具体实施方式
以下将结合具体实施例对本发明提供的技术方案进行详细说明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
本发明提出了一种基于加密流量分析的恶意软件行为识别方法,识别框架如图1所示,包括三个部分,第一部分为训练数据集的构建和预处理操作,具体内容为捕获恶意行为流量,并对其进行数据清洗,使用CICflowmeter工具特征提取,经过简单的特征选择后生成可供训练的数据集;第二部分为分类器的训练,具体内容为将时序流量数据分别输入到1d-CNN、 2d-CNN及LSTM中进行训练;第三部分为恶意软件内部恶意行为的识别操作,最后输出恶意软件行为类别,具体为使用训练完成时表现最优异的深度学习模型对采样后的恶意行为流量进行分类,进行恶意行为的识别。在第一部分中,我们制作了一个恶意软件并使用加密通信来完成流量的采集工作。
具体地说,本发明方法有以下步骤:
(1)搭建恶意软件执行恶意行为时的攻击环境,自动化采集恶意行为流量数据集。
本步骤的具体过程如下:
(1.1)基于Kali平台制作恶意软件,并使用TLS1.2协议进行数据通信,具体过程如下:
(1.1.1)使用Msfvenom工具生成https负载的恶意软件;
(1.1.2)将恶意软件内部植入RSA2048位的SSL/TLS密钥证书;
(1.1.3)在恶意软件内部封装恶意行为的指令脚本,本实施例中以封装表1所示的十种恶意行为为例,包括检查攻击环境、查看隐私文件、上传数据等恶意行为。其中十种恶意行为的名称、具体描述以及攻击次数如下表1所示:
表1恶意软件内部的十种恶意行为
(1.2)将恶意软件释放在Windows受害者机器中;
(1.3)受害者执行该恶意软件后与攻击者进行通信连接,自动执行内部封装的恶意行为,具体过程如下:
(1.3.1)在Windows受害者环境中设置定时执行恶意软件的任务;
(1.3.2)在攻击者环境编写每次执行攻击前发送一条端口号为80的http流量的代码脚本,该脚本的作用是确定恶意软件将发生的恶意行为类别,以生成相应的标签;
(1.3.3)在攻击者环境设置定时执行上述十种攻击的脚本,每种攻击自动执行200-250 次;
(1.4)恶意行为进行时采集相应通信的恶意行为流量,所有恶意行为执行完毕后停止采集,存储当前采集的恶意行为流量数据文件;
(1.5)重复(1.3)~(1.4)操作,直到采集到每种恶意行为执行200-250次的流量数据。
(2)对捕获的恶意行为流量进行特征提取、特征清理等操作,输入到三种深度神经网络 (1d-CNN、2d-CNN及LSTM)中进行训练。
本步骤中具体过程如下:
(2.1)首先对步骤(1)中捕获的原始流量进行过滤操作,其中过滤流量包括在执行攻击动作前进行TLS握手产生的流量、执行恶意行为后释放连接的流量和SSDP协议产生的背景流量;
(2.2)使用CICflowmeter工具对过滤后的恶意行为流量集提取训练所用的特征,CICflowmeter工具中默认提取84个流特征,包括源IP地址,目的IP地址,端口号等;
(2.3)综合考虑特征具有的干扰性,选取合适的特征。简单筛选出对分类有影响的如源 IP地址、目的IP地址、端口号及时间戳等特征,最终选取76个用于训练的特征,其部分可用特征如下表2所示:
表2部分选取的训练特征
特征 含义
F1 恶意行为持续时间
F2 恶意行为执行时攻击者向受害者发送的数据包总数
F3 恶意行为执行时受害者向攻击者发送的数据包总数
F4 恶意行为执行时攻击者与受害者间通信数据包总大小
F5 恶意行为执行时攻击者向受害者发送的数据包最大大小
F6 恶意行为执行时攻击者向受害者发送的数据包最小大小
F7 恶意行为执行时攻击者向受害者发送的数据包平均大小
F8 恶意行为执行时攻击者向受害者发送的数据包标准差大小
F9 恶意行为执行时受害者向攻击者发送的数据包最大大小
F10 恶意行为执行时受害者向攻击者发送的数据包最小大小
F11 恶意行为执行时受害者向攻击者发送的数据包平均大小
F12 恶意行为执行时受害者向攻击者发送的数据包标准差大小
……
F76 恶意行为在激活之前空闲的最小时间
(2.4)将步骤(1)得到的原始数据,经过上述特征提取和选择后,输入到三种深度神经网络中进行训练。其中使用十折交叉验证划分训练数据集和测试数据集具体过程如下:
(2.4.1)将步骤(2.3)中的具有时序特征的数据输入到一维卷积神经网络(1d-CNN) 和长短时记忆神经网络(LSTM)中;
(2.4.2)将步骤(2.3)中的数据转换为二维矩阵,输入到二维卷积神经网络(2d-CNN) 中。其中,分类模块的输入为时序流量数据,表示为:
F={f1,f2,f3,..,fn}(1≤n≤N)
其中fi(i=1,2,3,……n)表示恶意行为ei产生的通信流量,N表示恶意软件通信产生的流量总数,n表示恶意行为的类别条目数,其中每一个恶意行为所产生的流特征向量表示为:
fi={(x1,x2,..,xm),yc}(1≤m≤M,1≤c≤C)
其中xm表示第m个经过标准化的特征值,m表示所选择特征的维度,yc表示fi的类别。
三种神经网络的训练过程如下:
其中表示第l-1层神经网络的输入特征向量,i表示为流特征个数,/>表示第 l-1层神经网络的特征i权重值,bl为第l层神经网络的偏重值,f(·)表示神经网络的神经元处理函数。
(3)选择训练后表现最优异深度神经网络模型作为分类器,并识别已发生的恶意行为类别。
本步骤具体包括以下过程:
(3.1)在神经网络最后一层使用sigmoid激活函数输出十种恶意行为的类别概率P,概率计算公式为:
其中P(X(i))表示恶意行为样本X(i)的预测概率;
(3.2)将预测概率值最大的恶意行为类别作为最终识别的恶意恶意行为,其恶意行为识别过程可表示为:
其中ypred表示为样本X(i)预测为恶意行为类别c的概率。通过计算各类别的识别准确率、召回率、精确率和F1分数来展现识别性能,结果如下表3所示:
表3使用三种深度神经网络对十种恶意行为的识别结果
同时,为了验证三种神经网络对各恶意行为的识别混淆性,其混淆矩阵结果分别如图2-图4 所示。
(4)为考虑本发明在网络边缘部署时所具有的效率,分别考虑三种分类模型训练前30轮所花费时间以及对单个恶意行为样本的测试时间,如下表4所示:
表4三种神经网络在前30轮训练所花费时间
以及前30轮训练的识别准确率,其结果如图5所示。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (4)

1.一种基于加密流量分析的恶意软件行为识别方法,其特征在于,包括如下步骤:
(1)搭建恶意软件执行恶意行为时的攻击环境,自动化采集恶意行为流量数据集;
(2)对步骤(1)中捕获的恶意行为流量数据进行特征提取、特征清理、特征标准化处理,分别输入到1d-CNN、2d-CNN及LSTM三种深度神经网络中进行训练;
(3)选择训练后表现最优异深度神经网络模型作为分类器,并识别已发生的恶意行为类别;
所述步骤(2)具体包括如下子步骤:
(2.1)首先对步骤(1)中捕获的恶意行为流量数据集进行过滤操作;
(2.2)使用CICflowmeter工具对过滤后的恶意行为流量数据提取提取84个流特征;
(2.3)综合考虑特征具有的干扰性,从步骤(2.2)所述的84个流特征中选取76个用于训练的特征,其为具有时序特征的数据集;
(2.4)将步骤(1)得到的恶意行为流量数据集,经过步骤(2.2)-步骤(2.3)的特征提取和选择后,输入到1d-CNN、2d-CNN及LSTM三种深度神经网络中进行训练;
步骤(2.1)中所述过滤操作是指过滤掉在执行恶意行为前进行TLS握手产生的流量、执行恶意行为后释放连接的流量、SSDP协议产生的背景流量;
所述步骤(2.4)具体包括如下子步骤:
(2.4.1)将步骤(2.3)中得到的的具有时序特征的数据输入到一维卷积神经网络(1d-CNN)和长短时记忆神经网络(LSTM)中;
(2.4.2)将步骤(2.3)中的具有时序特征的数据转换为二维矩阵,输入到二维卷积神经网络(2d-CNN)中;
所述步骤(2.3)中所述的具有时序特征的数据集,表示为:
F={f1,f2,f3,..,fn}(1≤n≤N)
其中fi(i=1,2,3,……n)表示恶意行为ei产生的通信流量,N表示恶意软件通信产生的流量总数,n表示恶意行为的类别条目数,其中每一个恶意行为所产生的流特征向量表示为:
fi={(x1,x2,..,xm),yc}(1≤m≤M,1≤c≤C)
其中xm表示第m个经过标准化的特征值,m表示所选择特征的维度,yc表示fi的类别,
1d-CNN、2d-CNN及LSTM三种深度神经网络的训练过程如下:
其中表示第l-1层神经网络的输入特征向量,i表示为流特征个数,/>表示第l-1层神经网络的特征i权重值,bl为第l层神经网络的偏重值,f(·)表示神经网络的神经元处理函数;
所述步骤(3)具体包括如下子步骤:
(3.1)在1d-CNN、2d-CNN及LSTM三种深度神经网络最后一层使用sigmoid激活函数输出每种恶意行为的类别概率P;sigmoid激活函数的表达式为:
其中表示恶意行为样本/>的预测概率;
(3.2)将预测概率值最大的恶意行为类别作为最终识别的恶意行为,识别过程表示为:
其中表示为样本X(i)预测为恶意行为类别c的概率。
2.根据权利要求1所述的基于加密流量分析的恶意软件行为识别方法,其特征在于,所述步骤(1)具体包括如下子步骤:
(1.1)基于Kali平台制作恶意软件,并使用TLS1.2协议进行数据通信;
(1.2)将恶意软件释放在Windows受害者机器中;
(1.3)受害者执行该恶意软件后与攻击者进行通信连接,自动执行内部封装的恶意行为;
(1.4)恶意行为进行时采集相应通信的恶意行为流量,所有恶意行为执行完毕后停止采集,存储当前采集的恶意行为流量数据文件;
(1.5)重复(1.3)~(1.4)操作,直到采集到每种恶意行为执行200-250次的流量数据。
3.根据权利要求2所述的基于加密流量分析的恶意软件行为识别方法,其特征在于,所述步骤(1.1)具体包括如下子步骤:
(1.1.1)使用Msfvenom工具生成https负载的恶意软件;
(1.1.2)将恶意软件内部植入RSA2048位的SSL/TLS密钥证书;
(1.1.3)在恶意软件内部封装恶意行为的指令脚本。
4.根据权利要求3所述的基于加密流量分析的恶意软件行为识别方法,其特征在于,所述步骤(1.3)具体包括如下子步骤:
(1.3.1)在Windows受害者环境中设置定时执行恶意软件的任务;
(1.3.2)在攻击者环境编写每次执行恶意行为前发送一条端口号为80的http流量的代码脚本,该脚本的作用是确定恶意软件将发生的恶意行为类别,以生成相应的标签;
(1.3.3)在攻击者环境设置定时执行所述恶意软件内部封装的恶意行为的指令脚本,每种恶意行为自动执行200-250次。
CN202110950651.7A 2021-08-18 2021-08-18 一种基于加密流量分析的恶意软件行为识别方法 Active CN113656800B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110950651.7A CN113656800B (zh) 2021-08-18 2021-08-18 一种基于加密流量分析的恶意软件行为识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110950651.7A CN113656800B (zh) 2021-08-18 2021-08-18 一种基于加密流量分析的恶意软件行为识别方法

Publications (2)

Publication Number Publication Date
CN113656800A CN113656800A (zh) 2021-11-16
CN113656800B true CN113656800B (zh) 2024-04-05

Family

ID=78481072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110950651.7A Active CN113656800B (zh) 2021-08-18 2021-08-18 一种基于加密流量分析的恶意软件行为识别方法

Country Status (1)

Country Link
CN (1) CN113656800B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378741B (zh) * 2022-10-25 2023-03-21 中国电子科技集团公司第三十研究所 一种轻量级的加密应用细粒度行为流量早期识别方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111523588A (zh) * 2020-04-20 2020-08-11 电子科技大学 基于改进的lstm对apt攻击恶意软件流量进行分类的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111523588A (zh) * 2020-04-20 2020-08-11 电子科技大学 基于改进的lstm对apt攻击恶意软件流量进行分类的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于深度学习的加密恶意流量检测研究";翟明芳等;《网络与信息安全学报》;第第6卷卷(第第3期期);第66-77页 *

Also Published As

Publication number Publication date
CN113656800A (zh) 2021-11-16

Similar Documents

Publication Publication Date Title
Elsayed et al. Ddosnet: A deep-learning model for detecting network attacks
CN111277578B (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
Rabbani et al. A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing
Sharma et al. DFA-AD: a distributed framework architecture for the detection of advanced persistent threats
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
CN109861957A (zh) 一种移动应用私有加密协议的用户行为精细化分类方法及系统
Vargas-Muñoz et al. Classification of network anomalies in flow level network traffic using Bayesian networks
Zhang et al. Detection of android malware based on deep forest and feature enhancement
CN112800424A (zh) 一种基于随机森林的僵尸网络恶意流量监测方法
Mubarak et al. Industrial datasets with ICS testbed and attack detection using machine learning techniques
US10805326B1 (en) Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion
CN113656800B (zh) 一种基于加密流量分析的恶意软件行为识别方法
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Ali et al. A generic machine learning approach for IoT device identification
Ageyev et al. Traffic monitoring and abnormality detection methods analysis
CN117749499A (zh) 一种网络信息系统场景下的恶意加密流量检测方法及系统
CN111211948B (zh) 基于载荷特征和统计特征的Shodan流量识别方法
CN117749426A (zh) 一种基于图神经网络的异常流量检测方法
Zhang et al. Malicious Traffic Classification for IoT based on Graph Attention Network and Long Short-Term Memory Network
CN115987687A (zh) 网络攻击取证方法、装置、设备及存储介质
Tashfeen Intrusion detection system using ai and machine learning algorithm
Wahal et al. Intrusion detection system in python
US20230275908A1 (en) Thumbprinting security incidents via graph embeddings
CN113542222B (zh) 一种基于双域vae的零日多步威胁识别方法
Aljohani et al. An intrusion detection system model in a local area network using different machine learning classifiers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant