[发明专利]基于多模态的CC通信流量检测方法及装置

说明书

本发明属于网络通信安全技术领域，特别涉及一种基于多模态的CC通信流量检测方法及装置，该方法包括将原始流量文件分割为会话流，该会话流由双向的数据流组成；基于会话流分别提取流量统计信息、流量原始载荷和通信行为序列这三个模态的数据；根据这三个模态的数据特点分别构建深层神经网络子模型、卷积神经网络子模型和长短时记忆网络子模型进行相应的特征向量提取，将这三种子模型得到的特征向量进行拼接融合；将拼接融合后的特征向量输入多层神经网络检测CC通信流量。本发明从流量统计信息、流量原始载荷和通信行为序列这三个模态综合提取网络流量特征，并对CC流量不同模态的信息构建相适宜的神经网络子模型，实现CC通信流量的准确检测。

技术领域

本发明属于网络通信安全技术领域，特别涉及一种基于多模态的CC通信流量检测方法及装置。

背景技术

在恶意代码网络行为链的命令控制(Command and Control，CC)阶段，攻击者利用CC通信控制受害者主机，进行机密信息窃取、文件破坏、漏洞攻击等一系列恶意行为，为国家、企业和个人带来了严重的安全隐患。CC通信是指感染主机上的恶意代码和CC服务器之间的通讯过程，攻击者通过CC 服务器来管理控制感染主机，感染主机从CC服务器获取攻击指令并进行敏感信息回传、拒绝服务攻击等恶意行为。CC通信流量的准确检测对维护网络安全具有重要的作用，但随着网络攻防博弈不断升级，恶意代码为了逃避当前的检测手法，不断对CC通信技术进行迭代更新，使得CC通信流量越来越隐蔽。

现实世界中，人类的认知过程是复杂多变的，个体往往通过视觉、听觉、嗅觉和触觉等不同模态的信息对当前场景进行快速感知与理解。例如，安全研究人员在对恶意流量进行审计分析或对攻击行为进行追踪溯源时，往往通过威胁情报、异常的流量特征、流量载荷内容和通信交互过程等多个渠道的信息综合做出判断。多模态学习，旨在通过机器学习和深度学习的方法实现处理和理解多模态信息的能力，与传统依靠单一模态的机器学习方法相比，多模态学习更贴近人类认识世界、了解世界的一般规律。

发明内容

针对现有技术中存在的问题，本发明提出一种基于多模态的CC通信流量检测方法及装置，从流量统计信息、流量原始载荷和通信行为序列这三个模态综合提取网络流量特征，并对CC流量不同模态的信息构建相适宜的神经网络子模型，能够综合CC通信流量在不同模态下的深层知识，实现CC通信流量的准确检测。

为了实现上述目的，本发明采用以下的技术方案：

本发明提供了一种基于多模态的CC通信流量检测方法，包含以下步骤：

将原始流量文件分割为会话流，该会话流由双向的数据流组成；

基于会话流分别提取流量统计信息、流量原始载荷和通信行为序列这三个模态的数据；

根据这三个模态的数据特点分别构建深层神经网络子模型、卷积神经网络子模型和长短时记忆网络子模型进行相应的特征向量提取，将这三种子模型得到的特征向量进行拼接融合；

将拼接融合后的特征向量输入多层神经网络检测CC通信流量。

进一步地，所述CC通信过程包括命令交互阶段和保持连接阶段，在命令交互阶段，CC信道主要用来控制感染主机进行信息窃取的恶意行为；在保持连接阶段，CC服务器为与感染主机维持会话连接，存在互发心跳包的行为。

进一步地，所述流量统计信息包括上下行流量相关统计信息、PSH数据包比例、数据包大小及数据包间隔时间相关统计信息、会话持续时间及会话数据包总数相关统计信息和心跳行为检测；

所述上下行流量相关统计信息是指在CC信道建立连接后，攻击者通过 CC服务器发送控制命令，受控主机按照CC服务器发送的控制命令进行相应动作，回传敏感数据，此时CC信道的上行流量大于下行流量；