分享自:

基于图网络分析的加密恶意软件流量检测

期刊:25th International Symposium on Research in Attacks, Intrusions and Defenses (RAID 2022)DOI:10.1145/3545948.3545983

这篇文档属于类型a,即报告了一项原创研究的学术论文。以下是针对该研究的学术报告:

主要作者及机构
本文的主要作者包括Zhuoqun Fu、Mingxuan Liu、Yue Qin、Jia Zhang、Yuan Zou、Qilei Yin、Qi Li和Haixin Duan。他们分别来自清华大学网络科学与网络空间研究院、印第安纳大学布鲁明顿分校、GeekSec安全小组和奇安信集团。该研究于2022年10月26日至28日在第25届国际攻击、入侵与防御研讨会(RAID 2022)上发表。

学术背景
随着互联网恶意活动的增加,尤其是具有远程控制功能的恶意软件(malware)对社会构成了严重威胁。传统的基于流量特征的恶意软件检测方法在面对加密和逃避技术时,效果显著下降。本文旨在解决这一问题,提出了一种基于图表示学习算法的ST-Graph方法,通过探索网络行为的时空特征,整合所有可用信息,以提高检测的准确性和鲁棒性。

研究流程
研究分为以下几个步骤:
1. 数据预处理:原始流量数据通常以pcap格式捕获。研究首先通过流重组恢复完整的通信,并提取TLS(Transport Layer Security)协议的握手信息,包括TLS版本、支持的加密套件等。
2. 图构建:构建了一个异构图(heterogeneous graph)来表示主机和服务器之间的通信关系。图的节点表示内部主机和外部服务器,边表示它们之间的通信流。
3. 边嵌入:通过随机游走(random walk)算法生成边嵌入(edge embedding),将流特征和时空特征整合到边的表示中。
4. 主机表示:通过传播与主机相关的流信息,生成主机的数值表示,用于后续的检测。
5. 检测器:采用随机森林(Random Forest)算法对主机进行分类,判断其是否被感染。

主要结果
研究在两个数据集上进行了评估,结果表明ST-Graph在恶意软件检测和恶意软件家族分类任务中均表现出色。具体来说,ST-Graph的精确率(precision)和召回率(recall)均超过99%,误报率(false positive rate)比基线模型低两个数量级。此外,ST-Graph在真实网络场景中的部署也表现出高效性,处理5分钟流量的时间成本仅为160秒。

结论
ST-Graph通过整合多流特征,显著提高了加密流量下恶意软件检测的准确性和鲁棒性。其高效的图表示学习算法和低误报率使其在实际应用中具有重要价值。研究还揭示了ST-Graph在检测未知恶意软件家族和新兴恶意流量类型方面的潜力。

研究亮点
1. 多流特征整合:ST-Graph通过探索时空特征,整合了多流信息,显著提升了检测效果。
2. 高效算法:研究提出了一种基于随机游走的图嵌入算法,显著降低了计算复杂度,满足了实时检测的需求。
3. 实际应用价值:ST-Graph在真实网络场景中的部署证明了其高效性和实用性,能够有效检测出其他系统无法发现的恶意案例。

其他有价值的内容
研究还探讨了ST-Graph在面对现有攻击(如伪装攻击和混淆攻击)时的防御能力,表明其在复杂网络环境中的鲁棒性。此外,研究还提出了未来工作的方向,包括探索更高效的流量特征表示方法以及扩展对通用加密流量的检测能力。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com