观成科技:基于深度学习技术的APT加密流量检测与分类检测方案

最新推荐文章于 2025-02-20 16:59:47 发布
最新推荐文章于 2025-02-20 16:59:47 发布
阅读量1.3k 收藏 31
点赞数 22
文章标签: 科技 深度学习 分类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GCKJ_0824/article/details/139599758
版权
一、前言

近年来APT攻击的案例屡见不鲜,给国家、企业以及个人的利益造成极大威胁。随着流量加密技术的不断成熟,许多APT组织倾向于将流量加密后进行传输,从而保护传输内容。由于加密流量的实际载荷已被加密,故采用原始的流量检测方法,如深度包检测等方法,对于加密流量而言基本无效。业内尝试采用机器学习算法,通过专家经验手工提取特征的方法进行检测,但该方法存在耗时多、容易出现人为错误等问题,因此,转向深度学习技术,对流量自身进行表征学习,从而提取深度特征进行检测,具有比传统机器学习更优异的检测能力。首先,采用堆叠自编码器算法进行无监督学习,区分APT加密流量与正常流量。其次,对被检测出来的APT加密流量,采用卷积神经网络算法进行多分类任务,确定该流量属于何种APT组织。经过实验验证,该方案可以有效的检测APT加密流量,并且具有很强的APT组织分类能力。

二、问题描述

本方案主要解决两个问题:APT加密流量的识别和APT加密流量所属组织的分类。

  1. APT加密流量的识别

业内普遍的解决方案是采用有监督学习方法,即收集一定数量的正常流量与APT流量,并打上不同的标签,然后采用有监督算法(例如逻辑回归、随机森林等)进行训练,生成模型用于检测。但是在实际应用中,会出现一个问题:由于收集到的APT黑流量数量有限,故而当采集的白流量数量远多于黑流量时,则会由于数据不平衡问题而使检测能力明显下降;若采集与黑流量数量相近的白流量,则可能因为白流量缺乏代表性则造成模型过拟合,进而产生大量误报。

面对这一问题,本方案采用无监督学习的方法进行检测,无监督学习是指无需预先定义目标变量,而是通过算法从无标签的数据中发现隐藏的结构和模式。这里采用无监督学习仅对掌握的APT加密流量进行训练,学习到APT加密流量的特有模式,然后用于流量检测,能够有效的利用现有APT流量,识别现网中的APT流量,同时规避白流量的选择问题。

最低0.47元/天 解锁文章
GCKJ_0824
关注
恶意加密流量检测
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
11-29 715
互联网的加密数据逐年上升,Gartner估计2019年80%以上的是加密流量.传统的安全产品已无法满足现有的安全态势需求,如何利用机器学习快速检测未知威胁,并尽快做出响应,是网络安全态势感知中的关键问题。目前行业的方法主要分为3类:基于统计学习方法,基于joy工具提取特征的分类方法,基于pcap转图像的分类方法.“TLS 恶意流量”指采用 TLS (TLS,transport layer security)协议加密的恶意流量。TLS 协议是由握手协议、记录协议、更改密文协议和警报协议组的。
[网络安全自学篇] 七十七.恶意代码APT攻击中的武器
热门推荐
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
基于深度学习的加密恶意流量检测
qq_51580006的博客
09-15 3389
摘录自:Mingfang ZHAI,Xingming ZHANG,Bo ZHAO. Survey of encrypted malicious traffic detection based on deep learning[J]. Chinese Journal of Network and Information Security, 2020, 6(3): 66-77.
读文献—基于流网络分析技术深度学习APT攻击检测
qq_53644983的博客
05-22 683
为了使用MLP对流量网络上的APT攻击IP和正常IP进行分类,要提取IP的代表性特征来输入分类模型。流的特性被完全提取出来,并将它们加在一起形IP的代表性特征向量。基于MLP和GCN构IP特征的主要缺点是没有利用时间索引。这里可以使用BiLSTM以重建IP的信息。APT攻击检测的主要困难:攻击方法的演变、缺乏公布的APT攻击数据库。根据APT本身的生命周期和阶段,有三种基本的检测apt攻击的方法。长短期记忆和图卷积网络的组合模型。APT检测的前人工作。
基于eBPF的零信任API网关:重塑云原生时代的安全通信范式
最新发布
桂月二二博客
02-20 1624
监控数据显示,该网关在50万QPS压力下实现全流量TLS 1.3解密仅消耗3.2% CPU,同时阻止了2147次零日攻击尝试。通过动态策略注入技术,API异常访问的检测响应时间从17秒压缩至29毫秒,重新定义了零信任架构的实现路径。当某政务云平台利用eBPF截获并阻止了伪装合法gRPC流量的APT攻击时,其背后是。●《零信任架构白皮书》eBPF增强版。● API安全Ops实战手册。● 国密算法TLS集指南。
基于卷积神经网络的复杂网络加密流量识别.pdf
04-10
通信中的流量识别工作将直接影响网络管理整体效率. 针对复杂网络中的加密流量识别问题,结合网络流 量文本结构相似性,提出一种基于卷积神经网络的优化识别模型. 综合考虑数据包的多样性,对原始网络数据进 行预处理,以保证算法输入数据结构的一致性. 同时,算法增加卷积操作,以提高模型特征提取效率. 仿真结果表 明,提出的卷积神经网络模型在复杂网络环境中,加密流量的服务识别应用识别都有较高准确率. 关键词:流量识别;复杂网络;加密;卷积神经网络;预处理;特征提取
加密恶意流量检测
m0_52979514的博客
06-07 1029
机器学习分类检测任务,关注于加密恶意流量检测,同时研究特征的轻量化
DeepPacket:使用深度学习加密流量分类
05-08
PyTorch实施描述的方法 2017, Lotfollahi et al., Deep Packet: A Novel Approach For Encrypted Traffic Classification Using Deep Learning
【研究型论文】结合多特征识别的恶意加密流量检测方法(中文论文_信息安全学报)
一个努力生活的人的博客
09-27 4600
信息安全学报_结合多特征识别的恶意加密流量检测方法(中文论文)
【数据安全libxl】:加密保护技术的专家级探讨
[【数据安全libxl】:加密保护技术的专家级探讨](https://rickhw.github.io/images/ComputerScience/HTTPS-TLS/ProcessOfDigitialCertificate.png) # 摘要 随着数字信息的快速增长,数据安全已为企业和个人...
【系统管理员防护指南】:secdrv.sys漏洞深度学习应对策略
[【系统管理员防护指南】:secdrv.sys漏洞深度学习应对策略](https://attackerkb.com/og/dG9waWNzLzhiMThkMzhkLTU4MzYtNGU5Ni05NTM0LWIzMDcyMWJlMmQyYQ.png) # 摘要 secdrv.sys漏洞是特定于Windows操作系统的安全...
AI人工智能 Agent:对国家安全的影响
AI天才研究院
06-11 790
人工智能(AI)技术的飞速发展正在深刻地改变着我们的世界。随着AI在各个领域的广泛应用,其对国家安全的影响也日益凸显。AI Agent作为人工智能的一个重要分支,具有自主学习、决策和执行任务的能力,在国家安全领域扮演着越来越重要的角色。本文将深入探讨AI Agent对国家安全的多方面影响,包括其在网络安全、军事应用、情报分析等方面的应用,以及由此带来的机遇挑战。在当今复杂的国际环境中,国家安全已不再局限于传统的军事和外交领域,而是扩展到了经济、科技、信息等多个维度。
加密流量测量和分析
weixin_44275663的博客
01-11 3266
加密流量测量和分析》读书笔记: 第一章加密流量研究现状 1.4 相关研究目标和内容 1.4.1 加密协议分析: 网络安全加密协议按照网络层次中的划分,分为链路层安全协议、网络层安全协议、传输层安全协议、应用层安全协议。 协议名称 类别 简介 IPSec 网络层隧道加密协议 包括报文首部认证协议AH、ESP、IKE和一些用于网络认证及加密的算法。 TLS 传输层加密协议 前身是...
加密流量分类检测
a533855的博客
12-02 1226
在网络安全中是两个密切相关但又有所区别的任务。它们都处理加密流量,但目标和方法有所不同。:无论是加密流量检测还是分类,传统的DPI技术由于加密的存在,无法直接查看加密流量的内容。:加密流量的普遍使用为恶意流量的隐藏提供了一个有力的工具。因此,检测分类任务都需要能够有效识别。则侧重于识别加密流量的协议类型或应用类型。两者相辅相,但目标和方法有所不同。(如源和目标IP地址、端口号、包大小、流量时序等)来进行分析。侧重于从加密流量中识别出潜在的恶意行为或攻击,而。,如僵尸网络、数据泄露、恶意软件下载等。
加密流量检测公司 | 点开这篇推文,明天我们就是同事啦
GCKJ_0824的博客
03-30 413
加密流量分析检测方法汇总
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
09-11 765
加密流量分析和检测方法是网络安全领域的重要组部分,尤其在面对日益增长的加密流量时,确保网络安全和合规性变得更加复杂。
毕业设计-基于深度学习的加密及异常网络流量检测系统
Hai_Lang_IT的博客
03-24 2050
毕业设计-基于深度学习的加密及异常网络流量检测系统:网络流量是网络信息传递的载体,通过分析流量,可以获取业务类型、感知异常行为、 检测恶意攻击、预测链路带宽等,因此,流量检测分析是网络领域中最重要的任务之一,是 实现网络流量工程,网络空间安全管理、服务质量等的重要前提。如何通过流量分析,感知 网络的势态,检测网络异常,进而高效管理网络资源,增强网络应急响应能力,抵御网络攻 击,为了网络领域热门的研究话题,长期以来,吸引了众多来自学术和工业界的研究者的 注意。 然而,随着人们在安全性和隐私性方面的需求越来越
科技-基于自适应学习的人工智能加密流量检测技术
GCKJ_0824的博客
03-13 1318
在自适应模型中,使用历史数据构建的数据集训练模型后,在现网环境中会周期性收集客户现网的白流量(因为客户侧绝大多数的流量都是白流量),而后采用增量学习的方式将其加入到原有模型中,以完模型的动态更新。针对目前基于预先训练模型的机器学习技术检测恶意流量在现网特定网络环境中存在误报率偏高的现象,引入基于增量学习的自适应学习技术,通过在一定时间周期内提取客户现场的白流量,我们使得原有的固化模型能够学习到最新的流量知识,从而大大减少了误报率,提升了检测能力。为了进一步提高固化模型的实际效果,可以采用自适应模型。
CBS:一种具有混合时空和统计特征的加密流量分类深度学习方法
weixin_46711536的博客
03-12 2415
随着互联网和在线应用的快速发展,流量分类为计算机网络中越来越重要的话题。管理网络资源、提高服务质量和增强网络安全至关重要。由于流量加密技术,传统的流量分类方法变得无效且不准确。因此,科学界认为深度学习是一种对加密流量进行分类的高性能方法。该文提出了一种基于深度学习技术加密流量分类方法CBS。CBS 可以使用 1D-CNN、基于注意力的 Bi-LSTM 和 SAE 深度网络模型在两个级别对加密流量进行分类。所提出的模型根据一组全面的会话和数据包级特征对流量类型和应用进行分类
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值