[发明专利]基于多模态的CC通信流量检测方法及装置

权利要求书

1.一种基于多模态的CC通信流量检测方法，其特征在于，包含以下步骤：

步骤1，将原始流量文件分割为会话流，该会话流由双向的数据流组成；

步骤2，基于会话流分别提取流量统计信息、流量原始载荷和通信行为序列这三个模态的数据；

其中通信行为序列刻画通信过程中双方交互状态的变化，对于通信行为序列建模需要会话流中每个数据包的三个特征：数据包方向、数据包长度和数据包到达时间间隔，具体建模过程如下：

首先按照数据包方向将会话流中的数据包分为从源到目的和从目的到源两种情况；

再将数据包长度和数据包到达时间间隔按照各自阈值进行离散化，其中数据包长度按阈值区分了4种情况，数据包达到时间间隔按阈值区分了5种情况，再加上无数据包传输这1种特殊情况，得到了41种不同的状态；

为每一个数据包分配一个状态符号，这样每个会话连接都会获得相应的符号字符串作为该会话的通信行为序列；

步骤3，根据这三个模态的数据特点分别构建深层神经网络子模型、卷积神经网络子模型和长短时记忆网络子模型进行相应的特征向量提取，将这三种子模型得到的特征向量进行拼接融合；

所述深层神经网络子模型用于提取流量统计信息的特征向量，所述深层神经网络子模型包含3个隐含层，最终得到30维的向量输出；所述卷积神经网络子模型用于提取流量原始载荷的特征向量，所述卷积神经网络子模型包括两个一维卷积层、池化层、Flatten层和全连接层，最终得到40维的向量输出；所述长短时记忆网络子模型用于提取通信行为序列中的特征向量，所述长短时记忆网络子模型包括嵌入层、双向长短时记忆网络、拼接层、池化层和全连接层，最终得到10维的向量输出；

步骤4，将拼接融合后的特征向量输入多层神经网络检测CC通信流量，包括：

将深层神经网络子模型输出的30维特征向量、卷积神经网络子模型输出的40维特征向量和长短时记忆网络子模型输出的10维特征向量进行聚合拼接，构成一个80维的特征向量，再使用多层神经网络对该特征向量进行处理。

2.根据权利要求1所述的基于多模态的CC通信流量检测方法，其特征在于，所述CC通信过程包括命令交互阶段和保持连接阶段，在命令交互阶段，CC信道主要用来控制感染主机进行信息窃取的恶意行为；在保持连接阶段，CC服务器为与感染主机维持会话连接，存在互发心跳包的行为。

3.根据权利要求2所述的基于多模态的CC通信流量检测方法，其特征在于，所述流量统计信息包括上下行流量相关统计信息、PSH数据包比例、数据包大小及数据包间隔时间相关统计信息、会话持续时间及会话数据包总数相关统计信息和心跳行为检测；

所述上下行流量相关统计信息是指在CC信道建立连接后，攻击者通过CC服务器发送控制命令，受控主机按照CC服务器发送的控制命令进行相应动作，回传敏感数据，此时CC信道的上行流量大于下行流量；

所述PSH数据包是TCP头部带psh标志的数据包，psh标志用来通知接收方在收到该数据包后立即传递到上层应用，当CC服务器希望发送的数据立刻得到受控主机响应时，会将TCP报头中的psh标志位置1，CC通信的会话流中有较多的PSH数据包；

所述数据包大小及数据包间隔时间相关统计信息，在命令交互阶段，CC服务器向受控主机发送控制命令，数据包较小，而在受控主机响应控制命令，返回内容较大的数据时，数据包较大，通过对大量CC通信数据包的分析，小数据包为大小不超过200字节的数据包，大数据包为大小不小于1000字节的数据包；在保持连接阶段，CC服务器每隔固定时间发送小数据包对受控主机进行探活，反映在CC通信流量上的结果就是小数据包较多，数据包间隔时间基本一致；

所述会话持续时间及会话数据包总数相关统计信息在CC通信过程中的会话持续时间和数据包总数呈现两极分化的特征；

所述心跳行为检测，将数据包按照通信时间间隔进行分簇，并定义簇的属性为簇中数据包数量和簇中数据包总大小，如果属性相同的簇大于3个，就认为通信过程中存在心跳行为，并将类别值置1。