【技术实现步骤摘要】
基于多模态的C&C通信流量检测方法及装置
[0001]本专利技术属于网络通信安全
,特别涉及一种基于多模态的C&C通信流量检测方法及装置。
技术介绍
[0002]在恶意代码网络行为链的命令控制(Command and Control,C&C)阶段,攻击者利用C&C通信控制受害者主机,进行机密信息窃取、文件破坏、漏洞攻击等一系列恶意行为,为国家、企业和个人带来了严重的安全隐患。C&C通信是指感染主机上的恶意代码和C&C服务器之间的通讯过程,攻击者通过C&C 服务器来管理控制感染主机,感染主机从C&C服务器获取攻击指令并进行敏感信息回传、拒绝服务攻击等恶意行为。C&C通信流量的准确检测对维护网络安全具有重要的作用,但随着网络攻防博弈不断升级,恶意代码为了逃避当前的检测手法,不断对C&C通信技术进行迭代更新,使得C&C通信流量越来越隐蔽。
[0...
【技术保护点】
【技术特征摘要】
1.一种基于多模态的C&C通信流量检测方法,其特征在于,包含以下步骤:将原始流量文件分割为会话流,该会话流由双向的数据流组成;基于会话流分别提取流量统计信息、流量原始载荷和通信行为序列这三个模态的数据;根据这三个模态的数据特点分别构建深层神经网络子模型、卷积神经网络子模型和长短时记忆网络子模型进行相应的特征向量提取,将这三种子模型得到的特征向量进行拼接融合;将拼接融合后的特征向量输入多层神经网络检测C&C通信流量。2.根据权利要求1所述的基于多模态的C&C通信流量检测方法,其特征在于,所述C&C通信过程包括命令交互阶段和保持连接阶段,在命令交互阶段,C&C信道主要用来控制感染主机进行信息窃取的恶意行为;在保持连接阶段,C&C服务器为与感染主机维持会话连接,存在互发心跳包的行为。3.根据权利要求2所述的基于多模态的C&C通信流量检测方法,其特征在于,所述流量统计信息包括上下行流量相关统计信息、PSH数据包比例、数据包大小及数据包间隔时间相关统计信息、会话持续时间及会话数据包总数相关统计信息和心跳行为检测;所述上下行流量相关统计信息是指在C&C信道建立连接后,攻击者通过C&C服务器发送控制命令,受控主机按照C&C服务器发送的控制命令进行相应动作,回传敏感数据,此时C&C信道的上行流量大于下行流量;所述PSH数据包是TCP头部带psh标志的数据包,psh标志用来通知接收方在收到该数据包后立即传递到上层应用,当C&C服务器希望发送的数据立刻得到受控主机响应时,会将TCP报头中的psh标志位置1,C&C通信的会话流中有较多的PSH数据包;所述数据包大小及数据包间隔时间相关统计信息,在命令交互阶段,C&C服务器向受控主机发送控制命令,数据包较小,而在受控主机响应控制命令,返回内容较大的数据时,数据包较大,通过对大量C&C通信数据包的分析,小数据包为大小不超过200字节的数据包,大数据包为大小不小于1000字节的数据包;在保持连接阶段,C&C服务器每隔固定时间发送小数据包对受控主机进行探活,反映在C&C通信流量上的结果就是小数据包较多,数据包间隔时间基本一致;所述会话持续时间及会话数据包总数相关统计信息在C&C通信过程中的会话持续时间和数据包总数呈现两极分化的特征;所述心跳行为检测,将数据包按照通信时间间隔进行分簇,并定义簇的属性为簇中数据包数量和簇中数据包总大小,如果属性相同的簇大于3个,就认为通信过程中存在心跳行为,并将该类别值置1。4.根据权利要求1所述的基于多模态的C&C通信流量检测方法,其特征在于,所述流量原始载荷在输入到卷积神经网络子模型之前需进行预处理,将流量原始载荷转化成模型输入张量,包含以下步骤:将原始PCAP文件按照会话流进行分割,考虑到一...
【专利技术属性】
技术研发人员:祝跃飞,翟懿,芦斌,刘龙,费金龙,李小伟,郭茂华,李玎,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。