編者薦語

本文聚焦遠程控制木馬（RAT）這一網(wǎng)絡(luò)安全重大威脅，針對其攻擊行為識別中的混淆難題，創(chuàng)新性地提出加密流量下的精細化分割方法及兩種神經(jīng)網(wǎng)絡(luò)分類模型。

雷軒 , 劉華飛 , 田崢 , 等 . 面向加密流量的惡意RAT攻擊行為識別方法[J]. 信息安全與通信保密 ,2024(10):127-143.

摘　要

遠程控制木馬（Remote Access Trojan，RAT）是一類能夠遠程控制和監(jiān)視計算機的惡意軟件，廣泛用于各種網(wǎng)絡(luò)攻擊。由于其危險性和隱蔽性，現(xiàn)已成為網(wǎng)絡(luò)安全領(lǐng)域的重要關(guān)注點。針對細粒度惡意RAT攻擊行為識別混淆程度更高的問題，提出一種面向加密流量的惡意RAT攻擊行為識別方法。首先，提出一種加密惡意RAT攻擊行為精細化分割方法，基于滑動窗口算法分析報文序列相似度，通過相對熵變化來尋找行為分割點；其次，設(shè)計基于報文負載長度序列的2種神經(jīng)網(wǎng)絡(luò)分類模型LS-CNN和LS-LSTM，用于提取不同攻擊行為流量中的深層空間特征來識別不同惡意攻擊行為。通過在自建的真實數(shù)據(jù)集上進行實驗，結(jié)果表明，提出的方法能夠以92.08%的準確率識別出不同惡意RAT攻擊行為。

論文結(jié)構(gòu)

0　引　言

1　相關(guān)工作

1.1　加密惡意流量識別

1.2　RATs和加密流量行為識別

1.3　研究現(xiàn)狀總結(jié)

2　惡意RAT攻擊行為識別方法

2.1　報文精細化分割方法

2.2　基于報文負載長度序列的識別模型

3　實驗與分析

3.1　實驗環(huán)境

3.2　數(shù)據(jù)集構(gòu)建

3.3　評價指標

3.4　參數(shù)優(yōu)化分析

3.5　實驗結(jié)果

4　結(jié)　語

作者簡介

• 雷　軒（1998—），男，碩士，助理工程師，主要研究方向為加密網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)安全、態(tài)勢感知；
• 劉華飛（1982—），通信作者，男，碩士，高級工程師，主要研究方向為網(wǎng)絡(luò)與信息安全；
• 田　崢（1983—），男，博士，正高級工程師，主要研究方向為網(wǎng)絡(luò)與信息安全；
• 唐澤華（1989—），男，碩士，工程師，主要研究方向為網(wǎng)絡(luò)與信息安全；
• 李愛元（1977—），女，學士，高級工程師，主要研究方向為電力大數(shù)據(jù)應(yīng)用；
• 許　路（1988—），男，學士，高級工程師，主要研究方向為網(wǎng)絡(luò)與信息安全。