| 利用序列分析的远控木马早期检测方法研究 |
| |
| 引用本文: | 王晨,郭春,申国伟,崔允贺.利用序列分析的远控木马早期检测方法研究[J].计算机科学与探索,2021,15(12):2315-2326. |
| |
| 作者姓名: | 王晨 郭春 申国伟 崔允贺 |
| |
| 作者单位: | 贵州大学 计算机科学与技术学院,贵阳 550025;公共大数据国家重点实验室,贵阳 550025 |
| |
| 摘 要: | 远控木马(RAT)是一类以窃取机密信息为主要目的的恶意程序,严重威胁着网络空间安全.现阶段基于网络的远控木马检测方法大多对数据流的完整性有较高的要求,其检测存在一定程度的滞后.在分析远控木马通信会话建立后初期流量的序列特性的基础上,提出了一种利用序列分析的远控木马早期检测方法.该方法以远控木马被控端和控制端交互中第一条TCP流为分析对象,重点关注流中由内部主机向外部网络发送且数据包传输层负载大于α字节的第一个数据包(上线包)及其后续数个数据包,从中提取包含传输负载大小序列、传输字节数和时间间隔在内的三维特征并运用机器学习算法构建了高效的早期检测模型.实验结果表明,该方法具备快速检测远控木马的能力,其通过远控木马会话建立后初期的少量数据包即可高准确率地检测出远控木马流量.
|
| 关 键 词: | 远控木马(RAT) 序列分析 早期检测 网络通信行为 |
Research of Remote Access Trojan Early Detection Method Using Sequence Analysis |
| |
| WANG Chen,GUO Chun,SHEN Guowei,CUI Yunhe.Research of Remote Access Trojan Early Detection Method Using Sequence Analysis[J].Journal of Frontier of Computer Science and Technology,2021,15(12):2315-2326. |
| |
| Authors: | WANG Chen GUO Chun SHEN Guowei CUI Yunhe |
| |
| Abstract: | |
| |
| Keywords: | |
| 本文献已被 万方数据 等数据库收录! |
|
