面向后渗透攻击行为的网络恶意流量检测研究

作     者：梁松林 林伟 王珏 杨庆 LIANG Songlin;LIN Wei;WANG Jue;YANG Qing

作者机构：信息工程大学网络空间安全学院河南郑州450001 

出 版 物：《计算机工程》 (Computer Engineering)

年 卷 期：2024年第50卷第5期

页      面：128-138页

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划前沿科技创新专项基金(2019QY1300) 国家自然科学基金(62302520) 

主　　题：后渗透攻击 流量分析 多特征融合 特征提取 恶意流量检测 

摘      要：现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。