木马程序作为一种窃密工具,常在APT(Advanced Persistent Threat)攻击中被使用,其对网络空间的安全造成了严重的危害。对木马的检测也受到了研究者的广泛关注,研究者提出了许多基于网络流量分析的检测方法,然而目前的方法一般都需要分析完整的通信流量,因此会造成一定的检测延迟,从而导致防御措施不能及时被部署。为了尽早地保护内部敏感信息不被泄露,本文仅使用木马通信连接建立后的前5个数据包来抽取流量特征,并以此构建木马通信会话快速检测模型。实验结果表明,本文方法在分析通信早期数据的情况下,获得了较高的准确率和较低的误报率,验证了本文方法的有效性。

• 单位
  贵州大学