Identifying Encrypted Malware Traffic with Contextual Flow Data
识别加密网络流量中包含的威胁会带来一系列独特的挑战。监视此流量中是否存在威胁和恶意软件很重要,但是必须以保持加密完整性的方式进行监视。由于模式匹配无法对加密数据进行操作,因此以前的方法已经利用了从流中收集的可观察到的元数据,例如流的数据包长度和到达时间。在这项工作中,我们通过考虑数据全能性来扩展当前的最新技术方法。为此,我们开发了受监督的机器学习模型,这些模型利用了一组独特且多样化的网络流数据功能。这些数据功能包括TLS握手元数据,链接到加密流的DNS上下文流以及5分钟内来自同一源IP地址的HTTP上下文流的HTTP标头。
我们首先展示数百万个唯一流上恶意流量和良性流量对TLS,DNS和HTTP的使用之间的区别。本研究用于设计具有最大区分能力的功能集。然后,我们表明,将这种上下文信息合并到有监督的学习系统中,可以对分类为加密的恶意流的问题以0.00%的错误发现率显着提高性能。我们还将在一个独立的真实数据集中验证我们的误报率。
2022-04-26 18:08:24
176KB
1
用法示例
要分析包含设备和服务器之间流量的pcap文件,请指定其路径和IP地址:
./pcap_analysis.py --pcap trace-mup-PUB-UPDATE-IMAGE.pcap --device-addr 00:12:4b:00:04:13:3d:f0 --broker-addr 00:12:4b:00:04:13:36:c1
要分析应用程序层有效负载,请另外指定要使用的有效负载分析器模块的名称:
--payload-analyser myno
要使用特定的tshark二进制文件和MQTT版本,请另外指定二进制文件的路径和版本:
--tshark /home/vagrant/iot/wireshark-3.3.0rc0-1711-gc099892700eb/build/run/tshark --mqtt-version 5.0
注意:首选项“ mqtt.de
2022-03-17 17:34:10
28KB
1
介绍
基于C语言网络流量在线分析系统
实验环境
1.操作系统:macOS Sierra 10.12.5
2.编程语言:C语言
3.网络数据包捕获函数包:libpcap
4.Xcode 8.3.3 + mac终端
环境配置
1.tcpdump网站( 版本
2.解压之后,在软件目录下执行。/configure
3.执行make
4.执行make install,此时,在/ usr / local / lib目录下会生成libpcap的动态链接库,如:libpcap.dylib
5.执行export DYLD_LIBRARY_PATH = / usr / local / lib插入目录加入动态链接库的CLASSPATH
6.编写测试代码测试是否可用:
// vim device.c
# include
# include
int main(i
2022-03-03 10:00:53
8KB
1
《网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析》专栏的数据包资源
2022-01-29 20:51:53
110.28MB
1