为实现恶意软件加密C&C通信流量的准确识别,分析正常网页浏览访问和C&C通信的https通信过程,发现恶意软件C&C通信的服务器独立性特征,提出https通信序列建模方法。针对加密通信的行为特点,利用密文十六进制字符的向量表示方法完成加密流量的向量化表达,并采用多窗口卷积神经网络提取加密C&C通信模式的特征,实现加密C&C通信数据流的识别与分类。实验结果表明,该方法识别恶意软件加密C&C流量的准确率高达91.07%。

• 单位
  华东理工大学