基于全局特征学习的挖矿流量检测方法

作     者：魏金侠 黄玺章 付豫豪 李婧 龙春 WEI Jinxia;HUANG Xizhang;FU Yuhao;LI Jing;LONG Chun

作者机构：中国科学院计算机网络信息中心北京100083 中国科学院大学计算机科学与技术学院北京100049 

出 版 物：《信息网络安全》 (Netinfo Security)

年 卷 期：2024年第24卷第10期

页      面：1506-1514页

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：中国科学院青年创新促进会项目 中国科学院网络安全和信息化专项[CAS-WX2022GC-04] 

主　　题：挖矿木马 流量分类 深度学习 序列处理 

摘      要：挖矿流量检测属于变长数据分类任务,现有的检测方案如关键字匹配、N-gram特征签名等基于局部特征的分类方法未能充分利用流量的全局特征。使用深度学习模型对挖矿流量进行建模,可以提取挖矿流量的全局特征,提高挖矿流量检测的准确率。文章提出的流量分类模型,使用Transformer编码器提取流量全局特征,然后使用序列总结器处理编码结果,获得用于分类的定长表示。由于挖矿样本在数据集中占比低于3%,使用准确率衡量模型的分类效果偏差较大,因此,文章综合考虑了模型的精确率和召回率,使用F1分数对模型的分类效果进行评估。在模型的编码器中使用正余弦位置编码可使模型在测试集上取得99.84%的F1分数,精确率达到100%。