基于多模态的C&C通信流量检测方法及装置

技术特征：
1.一种基于多模态的c&c通信流量检测方法，其特征在于，包含以下步骤：将原始流量文件分割为会话流，该会话流由双向的数据流组成；基于会话流分别提取流量统计信息、流量原始载荷和通信行为序列这三个模态的数据；根据这三个模态的数据特点分别构建深层神经网络子模型、卷积神经网络子模型和长短时记忆网络子模型进行相应的特征向量提取，将这三种子模型得到的特征向量进行拼接融合；将拼接融合后的特征向量输入多层神经网络检测c&c通信流量。2.根据权利要求1所述的基于多模态的c&c通信流量检测方法，其特征在于，所述c&c通信过程包括命令交互阶段和保持连接阶段，在命令交互阶段，c&c信道主要用来控制感染主机进行信息窃取的恶意行为；在保持连接阶段，c&c服务器为与感染主机维持会话连接，存在互发心跳包的行为。3.根据权利要求2所述的基于多模态的c&c通信流量检测方法，其特征在于，所述流量统计信息包括上下行流量相关统计信息、psh数据包比例、数据包大小及数据包间隔时间相关统计信息、会话持续时间及会话数据包总数相关统计信息和心跳行为检测；所述上下行流量相关统计信息是指在c&c信道建立连接后，攻击者通过c&c服务器发送控制命令，受控主机按照c&c服务器发送的控制命令进行相应动作，回传敏感数据，此时c&c信道的上行流量大于下行流量；所述psh数据包是tcp头部带psh标志的数据包，psh标志用来通知接收方在收到该数据包后立即传递到上层应用，当c&c服务器希望发送的数据立刻得到受控主机响应时，会将tcp报头中的psh标志位置1，c&c通信的会话流中有较多的psh数据包；所述数据包大小及数据包间隔时间相关统计信息，在命令交互阶段，c&c服务器向受控主机发送控制命令，数据包较小，而在受控主机响应控制命令，返回内容较大的数据时，数据包较大，通过对大量c&c通信数据包的分析，小数据包为大小不超过200字节的数据包，大数据包为大小不小于1000字节的数据包；在保持连接阶段，c&c服务器每隔固定时间发送小数据包对受控主机进行探活，反映在c&c通信流量上的结果就是小数据包较多，数据包间隔时间基本一致；所述会话持续时间及会话数据包总数相关统计信息在c&c通信过程中的会话持续时间和数据包总数呈现两极分化的特征；所述心跳行为检测，将数据包按照通信时间间隔进行分簇，并定义簇的属性为簇中数据包数量和簇中数据包总大小，如果属性相同的簇大于3个，就认为通信过程中存在心跳行为，并将该类别值置1。4.根据权利要求1所述的基于多模态的c&c通信流量检测方法，其特征在于，所述流量原始载荷在输入到卷积神经网络子模型之前需进行预处理，将流量原始载荷转化成模型输入张量，包含以下步骤：将原始pcap文件按照会话流进行分割，考虑到一次完整的tcp连接至少包含3个握手包和4个挥手包，剔除了所有数据包总数小于7的会话流；去除以太网包头、ip地址干扰信息；截取每条会话流前n个数据包的前m个字节，超出部分进行截断，不足则用0填充；
将会话流量数据转化成n
×
m维的矩阵数据。5.根据权利要求1所述的基于多模态的c&c通信流量检测方法，其特征在于，所述通信行为序列刻画通信过程中双方交互状态的变化，对于通信行为序列建模需要会话流中每个数据包的三个特征：数据包方向、数据包长度和数据包到达时间间隔，具体建模过程如下：首先按照数据包方向将会话流中的数据包分为从源到目的和从目的到源两种情况；再将数据包长度和数据包到达时间间隔按照各自阈值进行离散化，其中数据包长度按阈值区分了4种情况，数据包达到时间间隔按阈值区分了5种情况，再加上无数据包传输这1种特殊情况，得到了41种不同的状态；为每一个数据包分配一个状态符号，这样每个会话连接都会获得相应的符号字符串作为该会话的通信行为序列。6.根据权利要求1所述的基于多模态的c&c通信流量检测方法，其特征在于，所述深层神经网络子模型用于提取流量统计信息的特征向量，所述深层神经网络子模型包含3个隐含层，最终得到30维的向量输出。7.根据权利要求6所述的基于多模态的c&c通信流量检测方法，其特征在于，所述卷积神经网络子模型用于提取流量原始载荷的特征向量，所述卷积神经网络子模型包括两个一维卷积层、池化层、flatten层和全连接层，最终得到40维的向量输出。8.根据权利要求7所述的基于多模态的c&c通信流量检测方法，其特征在于，所述长短时记忆网络子模型用于提取通信行为序列中的特征向量，所述长短时记忆网络子模型包括嵌入层、双向长短时记忆网络、拼接层、池化层和全连接层，最终得到10维的向量输出。9.根据权利要求8所述的基于多模态的c&c通信流量检测方法，其特征在于，所述将这三种子模型得到的特征向量进行拼接融合，将拼接融合后的特征向量输入多层神经网络检测c&c通信流量包括：将深层神经网络子模型输出的30维特征向量、卷积神经网络子模型输出的40维特征向量和长短时记忆网络子模型输出的10维特征向量进行聚合拼接，构成一个80维的特征向量，再使用多层神经网络对该特征向量进行处理。10.一种基于多模态的c&c通信流量检测装置，其特征在于，包括：原始流量文件分割模块，用于将原始流量文件分割为会话流，该会话流由双向的数据流组成；多模态信息提取模块，用于基于会话流分别提取流量统计信息、流量原始载荷和通信行为序列这三个模态的数据；特征向量提取融合模块，用于根据这三个模态的数据特点分别构建深层神经网络子模型、卷积神经网络子模型和长短时记忆网络子模型进行相应的特征向量提取，将这三种子模型得到的特征向量进行拼接融合；c&c通信流量检测模块，用于将拼接融合后的特征向量输入多层神经网络检测c&c通信流量。

技术总结
本发明属于网络通信安全技术领域，特别涉及一种基于多模态的C&C通信流量检测方法及装置，该方法包括将原始流量文件分割为会话流，该会话流由双向的数据流组成；基于会话流分别提取流量统计信息、流量原始载荷和通信行为序列这三个模态的数据；根据这三个模态的数据特点分别构建深层神经网络子模型、卷积神经网络子模型和长短时记忆网络子模型进行相应的特征向量提取，将这三种子模型得到的特征向量进行拼接融合；将拼接融合后的特征向量输入多层神经网络检测C&C通信流量。本发明从流量统计信息、流量原始载荷和通信行为序列这三个模态综合提取网络流量特征，并对C&C流量不同模态的信息构建相适宜的神经网络子模型，实现C&C通信流量的准确检测。通信流量的准确检测。通信流量的准确检测。


技术研发人员：祝跃飞 翟懿 芦斌 刘龙 费金龙 李小伟 郭茂华 李玎
受保护的技术使用者：中国人民解放军战略支援部队信息工程大学
技术研发日：2021.12.30
技术公布日：2022/4/29