针对现有远控木马流量检测方法泛化能力较弱、表征能力有限和预警滞后等问题，提出了一种基于融合序列的远控木马流量检测模型。通过深入分析正常应用网络流量与远控木马流量在包长序列、包负载长度序列和包时间间隔序列方面的差异，将流量表征为融合序列。将融合序列输入Transformer模型利用多头注意力机制与残差连接挖掘融合序列内在联系，学习木马通信行为模式，有效地提升了对远控木马流量的检测能力与模型的泛化能力。所提模型仅需提取网络会话的前20个数据包进行检测，能够在木马入侵早期做出及时预警。对比实验结果表明，模型不仅在已知数据中具有优异的检测效果，在未知流量测试集上同样表现出色，相比当前已有的深度学习模型，各项检测指标有较大提升，在远控木马流量检测领域具备实际应用价值。

• 单位
  郑州大学; 信息工程大学