10.3969/j.issn.1006-2475.2019.06.002
一种基于网络流量分析的快速木马检测方法
木马程序作为一种窃密工具,常在APT(Advanced Persistent Threat)攻击中被使用,其对网络空间的安全造成了严重的危害.对木马的检测也受到了研究者的广泛关注,研究者提出了许多基于网络流量分析的检测方法,然而目前的方法一般都需要分析完整的通信流量,因此会造成一定的检测延迟,从而导致防御措施不能及时被部署.为了尽早地保护内部敏感信息不被泄露,本文仅使用木马通信连接建立后的前5个数据包来抽取流量特征,并以此构建木马通信会话快速检测模型.实验结果表明,本文方法在分析通信早期数据的情况下,获得了较高的准确率和较低的误报率,验证了本文方法的有效性.
木马检测、网络流量分析、特征分析、远控型木马
TP393.08(计算技术、计算机技术)
国家自然科学基金资助项目61540049;贵州省科技计划项目[2017]1051,[2018]3001;贵州省公共大数据重点实验室开放课题2017BDKFJJ025;河南省科技攻关计划项目182102210123
2019-06-19(万方平台首次上网日期,不代表论文的发表时间)
共7页
9-15
