命令与控制(Command and Control,C2)通信在现代高级持续性威胁(Advanced Persistent Threat,APT)中扮演着核心角色,是APT实现长期潜伏和持续控制的关键通信纽带。C2流量检测对于防御APT攻击、保护网络安全至关重要。然而,现有...
详细信息
命令与控制(Command and Control,C2)通信在现代高级持续性威胁(Advanced Persistent Threat,APT)中扮演着核心角色,是APT实现长期潜伏和持续控制的关键通信纽带。C2流量检测对于防御APT攻击、保护网络安全至关重要。然而,现有的C2流量检测方法主要基于传统机器学习与深度学习,其中特征工程依赖于专家经验,主观性强且极易产生遗漏,对快速演变的攻击形态和流量模式适应性较差;而传统深度学习模型对深层复杂特征捕捉能力较差,同时对标注数据和训练资源具有较强依赖。为解决以上问题,本文提出一种基于Transformer双向编码表示的C2流量检测方法(C2BT),不同于传统基于特征工程的检测方法,本方法利用双向编码器表示技术(Bidirectional Encoder Representations from Transformers,BERT)大模型自动学习并捕获网络远程控制流量上下文深层特征,进一步引入单独训练的Transformer解码器进行重构和误差计算,以评估编码器的表现质量,并将重构误差融入编码器后续优化训练过程,进一步提升模型的检测效果和鲁棒性。通过在多个不同C2流量数据集上的广泛实验,本方法展现出卓越的性能和强大的泛化能力,准确率、精确率、F1分数分别达98.47%、95.82%和95.91%,并在全新的数据集上保持稳定的效果,证明了本方法在C2流量检测中的有效性。此外,通过引入解码器重构误差评估机制,验证编码器的鲁棒性,进一步提升了检测结果的有效性,为构建更高效的网络安全检测防御体系提供了新的技术路径。
暂无评论