面向加密流量的惡意RAT攻擊行為識(shí)別方法

編者薦語

本文聚焦遠(yuǎn)程控制木馬（RAT）這一網(wǎng)絡(luò)安全重大威脅，針對(duì)其攻擊行為識(shí)別中的混淆難題，創(chuàng)新性地提出加密流量下的精細(xì)化分割方法及兩種神經(jīng)網(wǎng)絡(luò)分類模型。

雷軒 , 劉華飛 , 田崢 , 等 . 面向加密流量的惡意RAT攻擊行為識(shí)別方法[J]. 信息安全與通信保密 ,2024(10):127-143.

摘　要

遠(yuǎn)程控制木馬（Remote Access Trojan，RAT）是一類能夠遠(yuǎn)程控制和監(jiān)視計(jì)算機(jī)的惡意軟件，廣泛用于各種網(wǎng)絡(luò)攻擊。由于其危險(xiǎn)性和隱蔽性，現(xiàn)已成為網(wǎng)絡(luò)安全領(lǐng)域的重要關(guān)注點(diǎn)。針對(duì)細(xì)粒度惡意RAT攻擊行為識(shí)別混淆程度更高的問題，提出一種面向加密流量的惡意RAT攻擊行為識(shí)別方法。首先，提出一種加密惡意RAT攻擊行為精細(xì)化分割方法，基于滑動(dòng)窗口算法分析報(bào)文序列相似度，通過相對(duì)熵變化來尋找行為分割點(diǎn)；其次，設(shè)計(jì)基于報(bào)文負(fù)載長度序列的2種神經(jīng)網(wǎng)絡(luò)分類模型LS-CNN和LS-LSTM，用于提取不同攻擊行為流量中的深層空間特征來識(shí)別不同惡意攻擊行為。通過在自建的真實(shí)數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)，結(jié)果表明，提出的方法能夠以92.08%的準(zhǔn)確率識(shí)別出不同惡意RAT攻擊行為。

論文結(jié)構(gòu)

0　引　言

1　相關(guān)工作

1.1　加密惡意流量識(shí)別

1.2　RATs和加密流量行為識(shí)別

1.3　研究現(xiàn)狀總結(jié)

2　惡意RAT攻擊行為識(shí)別方法

2.1　報(bào)文精細(xì)化分割方法

2.2　基于報(bào)文負(fù)載長度序列的識(shí)別模型

3　實(shí)驗(yàn)與分析

3.1　實(shí)驗(yàn)環(huán)境

3.2　數(shù)據(jù)集構(gòu)建

3.3　評(píng)價(jià)指標(biāo)

3.4　參數(shù)優(yōu)化分析

3.5　實(shí)驗(yàn)結(jié)果

4　結(jié)　語

作者簡介

• 雷　軒（1998—），男，碩士，助理工程師，主要研究方向?yàn)榧用芫W(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)安全、態(tài)勢(shì)感知；
• 劉華飛（1982—），通信作者，男，碩士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；
• 田　崢（1983—），男，博士，正高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；
• 唐澤華（1989—），男，碩士，工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；
• 李愛元（1977—），女，學(xué)士，高級(jí)工程師，主要研究方向?yàn)殡娏Υ髷?shù)據(jù)應(yīng)用；
• 許　路（1988—），男，學(xué)士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。