加密流量恶意行为检测系统
SYSTEM PREMISE项目命题

看不见明文,依然看得见攻击

面向加密通信环境的端到端恶意行为检测技术体系设计与实现

HTTPSSSHDoH

加密隐藏了内容,时间、方向和包长仍然可见

CONTENT HIDDENBEHAVIOR VISIBLE
内容不可读取 URL / PATHGET /admin/loginGET /*********** CREDENTIALpassword=demo_accesspassword=*********** DNS QUERYdns-query=tunnel.exampledns-query=************** COMMANDcommand=powershell.execommand=************
时间
方向
包长
不破解加密读取通信留下的行为外观

重复、心跳、比例与阶段变化构成攻击识别信号

暴力破解重复连接
Botnet C2周期心跳
DoH 隧道比例异常
入侵后活动阶段变化

固定低误报后,恶意召回仍达到 99.9328%

TEST FPR0.9000%
RECALL99.9328%
PRECISION97.1745%
MACRO-F198.1644%
验证集确定阈值LOCKED测试集固定使用

一次推理同时判断是否恶意与具体行为

这段流量是否恶意?它属于哪一种行为?
共享表征192D
恶意概率MALICIOUS
行为类别DoH Tunnel

从原始 PCAP 到 Windows 告警,检测链路已经完整运行

不解密双任务端到端
捕获PCAP
组织双向 flow
表达116D
构造16 steps
学习多任务 TCN
原始证据
会话结构
流级特征
时序样本
风险 + 行为
产品动作

7 个来源被统一映射为5 类行为

75
HIKARIDoHBrwFriday BotThursdayTuesdayCTU-13HKD
统一语义层[16,116]
BENIGNbrute_forcebotnet_c2doh_tunnelinfiltration_post_compromise

3,095,414 条记录经过准入,3,087,563 条进入训练、验证与测试划分

ADMISSION可信准入
ADMITTED3,087,563
EXCLUDED7,851
TRAIN2,222,458 VALIDATION431,149 TEST433,956

标签只负责监督对齐,不进入 116 维模型输入

原始 PCAP自研 flow 与特征MODEL INPUT
官方标签 · 时间窗监督对齐STOP
LABEL FIREWALL

116 维特征用八组统计描述单条 flow

禁用字段命中0
规模IAT包长FlagsActive / Idle速率与比例TCP / BulkFlow Delta
SYN 密度重复连接节奏周期沉默C2 心跳外观上下行比例隧道通信异常

单条 flow 难以充分识别攻击,连续 16 条更能呈现行为模式

单条连接
局部外观相似
连续 16 条 flow
重复 · 周期 · 阶段变化
CONTEXT REVEALS BEHAVIOR行为存在于过程,而不是一个快照

窗口每次移动 8 条 flow统一生成 [16,116] 样本

16 FLOWSSAMPLE 01
STRIDE 8SAMPLE 02
统一张量[16,116]
16sequence length8stride不足 16 条零填充flow_present区分真实 flow / padding

TCN 以 1 / 2 / 4 三种跨度观察局部与阶段变化

dilation 1
连续局部
dilation 2
中段重复
dilation 4
长程阶段

共享 TCN 一次输出恶意概率与五类行为

764,934parameters
INPUT[16,116]→ 192D
TCN × 3dilation 1 · 2 · 4
MEANMAX384 → 192
BINARY HEAD恶意概率
BEHAVIOR HEAD五类行为

8 轮训练完成,4 轮模型被保存为最佳模型

175.654sCUDA 总耗时
选模流程示意不代表逐轮真实指标数值
01EPOCH02EPOCH03EPOCH04BEST MODEL 05EPOCH06EPOCH07EPOCH08EPOCH
每轮 Validation1% FPR Recall · 行为 Macro-F1 · 分 family 指标→ best_model.pt
family × behavior
加权采样
500,000 序列
训练集归一化
binary + 0.8 behavior
联合损失
Validation
逐轮选模

四项隔离让高分来自行为,而不是数据捷径

INPUT字段隔离
NORMTrain-only
THRESHOLDValidation-only
SPLITSample ID 审计
3,087,563 条 admitted sequence跨 split 完全重复:0

默认采用 1% 工作点避免多出 6,963 个正常误报

VAL 1% → TESTFPR 0.9000%FP 2,982 · FN 69
VAL 3% → TESTFPR 3.0015%FP 9,945 · FN 51
LOCKED
少漏检 18增加正常误报 6,963 个

102,626 个恶意序列中,102,557 个被检出

漏检69Precision97.1745%
331,330 个正常序列误报 2,982

五类行为 Macro-F1 达到 98.1644%主要短板是入侵后活动

OVERALL ACCURACY99.8350%
BENIGN99.9047%
brute_force99.9117%
botnet_c299.3355%
doh_tunnel99.6833%
infiltration_post_compromise91.9868%主要边界:BENIGN ↔ infiltration_post_compromise

序列上下文把漏检从 32,117 降至 264,TCN 进一步降至 69

RECALL (%)TEST FPR 0.9000%–0.9667%
单 flow + MLP68.7048%FPR 0.9667% · FN 32,117
16 步 + MLP99.7428%FPR 0.9543% · FN 264
16 步 + TCN,无 delta99.9298%FPR 0.9477% · FN 72
8 步 + TCN99.5235%FPR 0.9166% · FN 489
最终 16 步 + TCN,全 116 维99.9328%FPR 0.9000% · FN 69
主要增益来自连续 16 条 flow无 delta 仍达 99.9298%,不夸大 delta 特征的独立作用

跨源表现有稳定区,也有尚未解决的短板

STRICT SOURCE HOLDOUT
ThursdayRecall 92.36% · FPR 0.79%较稳
Friday BotRecall 88.38% · FPR 1.09%接近可用
DoHBrwRecall 74.29% · FPR 9.41%有突破
HIKARI / TuesdayHIKARI 2.84% / 7.97%
Tuesday 11.27% / 20.91%
短板
CTU-13 / HKDRecall 72.93% / 100.00% · FPR —Recall-only

真实 CPU 运行把 31,295 个包转换为 7 个检测窗口

PACKETS31,295
BIDIRECTIONAL FLOWS60
[16,116] WINDOWS7
116 维禁用字段命中 0NaN / Inf 0真实 detector.exe CPU 结果

从抓包文件到源文件级结论,Windows 工具直接完成检测

Windows x64 CPU 推理无需 Python / PyTorch / CUDAPCAP / PCAPNG / zip 内 PCAPmanifest 批处理窗口级 / 源文件级 / 总结.txt
ENCRYPTED TRAFFIC DETECTOR样例 · 界面重构示意
INPUT SAMPLEHKD dnstt PCAP 样例
DETECTION RESULTMALICIOUS
BEHAVIORdoh_tunnel
WINDOWS7 / 7 maliciousthreshold 0.0018279440

模型、源码、manifest、审计与 Windows 工具组成完整交付

RAW PCAP自研抽取源码
MODEL权重与归一化
MANIFEST统一数据入口
AUDIT正式指标与边界
WINDOWSx64 一键工具

从原始流量到可复验告警,完整闭环已经交付

自研统一建模解释审计交付
99.9328%

116 维特征范围

0–12
规模与方向
13–26
IAT
27–31
包长
32–39
Flags
40–47
Active / Idle
48–85
速率与比例
86–108
TCP / Bulk
109–115
Flow Delta

最终模型训练配置

hidden 1923 blocksdilation 1 · 2 · 4mean + max2 heads764,934 paramsbest epoch 4175.654s

五类行为的 Precision / Recall / F1

类别PrecisionRecallF1Support
BENIGN99.9486%99.8609%99.9047%331,330
brute_force99.9647%99.8588%99.9117%73,642
botnet_c299.3324%99.3385%99.3355%16,327
doh_tunnel99.3876%99.9807%99.6833%10,389
infiltration_post_compromise86.5190%98.1922%91.9868%2,268

严格 source holdout:不同来源表现差异明显

Holdout 来源代表行为RecallFPR结论
Thursday Infiltrationinfiltration_post_compromise92.36%0.79%较稳
Friday Botbotnet_c288.38%1.09%接近可用
DoHBrwdoh_tunnel74.29%9.41%Recall 提升,FPR 偏高
CTU-13botnet_c272.93%Recall-only
HKD DoH Tunneldoh_tunnel100.00%Recall-only
HIKARIbrute_force / 混合恶意2.84%7.97%跨源迁移失败
Tuesdaybrute_force11.27%20.91%跨源迁移失败

已验证的隔离,与未声明的证明边界

已验证

sample ID duplicate:0train-only mean / stdvalidation-only thresholdsource-holdout separate

未声明为已形式化证明

文件级跨 split 交叉五元组级跨 split 交叉相邻滑窗级跨 split 交叉
请旋转手机 横屏后可完整观看,并左右滑动翻页