面向加密流量的恶意RAT攻击行为识别方法

编者荐语

本文聚焦远程控制木马（RAT）这一网络安全重大威胁，针对其攻击行为识别中的混淆难题，创新性地提出加密流量下的精细化分割方法及两种神经网络分类模型。

雷轩 , 刘华飞 , 田峥 , 等 . 面向加密流量的恶意RAT攻击行为识别方法[J]. 信息安全与通信保密 ,2024(10):127-143.

摘　要

远程控制木马（Remote Access Trojan，RAT）是一类能够远程控制和监视计算机的恶意软件，广泛用于各种网络攻击。由于其危险性和隐蔽性，现已成为网络安全领域的重要关注点。针对细粒度恶意RAT攻击行为识别混淆程度更高的问题，提出一种面向加密流量的恶意RAT攻击行为识别方法。首先，提出一种加密恶意RAT攻击行为精细化分割方法，基于滑动窗口算法分析报文序列相似度，通过相对熵变化来寻找行为分割点；其次，设计基于报文负载长度序列的2种神经网络分类模型LS-CNN和LS-LSTM，用于提取不同攻击行为流量中的深层空间特征来识别不同恶意攻击行为。通过在自建的真实数据集上进行实验，结果表明，提出的方法能够以92.08%的准确率识别出不同恶意RAT攻击行为。

论文结构

0　引　言

1　相关工作

1.1　加密恶意流量识别

1.2　RATs和加密流量行为识别

1.3　研究现状总结

2　恶意RAT攻击行为识别方法

2.1　报文精细化分割方法

2.2　基于报文负载长度序列的识别模型

3　实验与分析

3.1　实验环境

3.2　数据集构建

3.3　评价指标

3.4　参数优化分析

3.5　实验结果

4　结　语

作者简介

• 雷　轩（1998—），男，硕士，助理工程师，主要研究方向为加密网络流量分析、网络安全、态势感知；
• 刘华飞（1982—），通信作者，男，硕士，高级工程师，主要研究方向为网络与信息安全；
• 田　峥（1983—），男，博士，正高级工程师，主要研究方向为网络与信息安全；
• 唐泽华（1989—），男，硕士，工程师，主要研究方向为网络与信息安全；
• 李爱元（1977—），女，学士，高级工程师，主要研究方向为电力大数据应用；
• 许　路（1988—），男，学士，高级工程师，主要研究方向为网络与信息安全。