捕获PCAP
加密流量恶意行为检测系统
SYSTEM PREMISE项目命题
看不见明文,依然看得见攻击
面向加密通信环境的端到端恶意行为检测技术体系设计与实现
HTTPSSSHDoH
加密隐藏了内容,但时间、方向和包长仍然可见
CONTENT HIDDENBEHAVIOR VISIBLE
内容不可读取
URL / PATH
GET /admin/loginGET /***********
CREDENTIALpassword=demo_accesspassword=***********
DNS QUERYdns-query=tunnel.exampledns-query=**************
COMMANDcommand=powershell.execommand=************
时间
方向→←→→←→←→
包长
不破解加密读取通信留下的行为外观
重复、心跳、比例与阶段变化构成攻击识别信号
暴力破解重复连接
Botnet C2周期心跳
DoH 隧道比例异常
入侵后活动阶段变化
固定低误报后,恶意召回仍达到 99.9328%
TEST FPR0.9000%
RECALL99.9328%
PRECISION97.1745%
MACRO-F198.1644%
验证集确定阈值LOCKED测试集固定使用
一次推理同时判断是否恶意与具体行为
这段流量是否恶意?它属于哪一种行为?
恶意概率MALICIOUS
行为类别DoH Tunnel
从原始 PCAP 到 Windows 告警,检测链路已经完整运行
不解密双任务端到端
组织双向 flow
表达116D
构造16 steps
学习多任务 TCN
原始证据
会话结构
流级特征
时序样本
风险 + 行为
产品动作
7 个来源被统一映射为5 类行为
7→5
HIKARIDoHBrwFriday BotThursdayTuesdayCTU-13HKD
统一语义层[16,116]
BENIGNbrute_forcebotnet_c2doh_tunnelinfiltration_post_compromise
3,095,414 条记录经过准入,3,087,563 条进入训练、验证与测试划分
ADMISSION可信准入
ADMITTED3,087,563
EXCLUDED7,851
TRAIN2,222,458
VALIDATION431,149
TEST433,956
标签只负责监督对齐,不进入 116 维模型输入
原始 PCAP自研 flow 与特征MODEL INPUT
官方标签 · 时间窗监督对齐STOP
LABEL FIREWALL
116 维特征用八组统计描述单条 flow
禁用字段命中0
规模IAT包长FlagsActive / Idle速率与比例TCP / BulkFlow Delta
SYN 密度重复连接节奏周期沉默C2 心跳外观上下行比例隧道通信异常
单条 flow 难以充分识别攻击,连续 16 条更能呈现行为模式
单条连接
局部外观相似
连续 16 条 flow重复 · 周期 · 阶段变化
CONTEXT REVEALS BEHAVIOR行为存在于过程,而不是一个快照
窗口每次移动 8 条 flow,统一生成 [16,116] 样本
16 FLOWSSAMPLE 01
STRIDE 8SAMPLE 02
统一张量[16,116]
16sequence length8stride不足 16 条零填充flow_present区分真实 flow / padding
TCN 以 1 / 2 / 4 三种跨度观察局部与阶段变化
dilation 1连续局部
dilation 2中段重复
dilation 4长程阶段
共享 TCN 一次输出恶意概率与五类行为
764,934parameters
INPUT[16,116]→ 192D
MEANMAX384 → 192
BINARY HEAD恶意概率
BEHAVIOR HEAD五类行为
8 轮训练完成,第 4 轮模型被保存为最佳模型
175.654sCUDA 总耗时
选模流程示意不代表逐轮真实指标数值
01EPOCH02EPOCH03EPOCH04BEST MODEL
05EPOCH06EPOCH07EPOCH08EPOCH
每轮 Validation1% FPR Recall · 行为 Macro-F1 · 分 family 指标→ best_model.pt
family × behavior
加权采样500,000 序列
训练集归一化binary + 0.8 behavior
联合损失Validation
逐轮选模
加权采样500,000 序列
训练集归一化binary + 0.8 behavior
联合损失Validation
逐轮选模
四项隔离让高分来自行为,而不是数据捷径
INPUT字段隔离
NORMTrain-only
THRESHOLDValidation-only
SPLITSample ID 审计
3,087,563 条 admitted sequence跨 split 完全重复:0
默认采用 1% 工作点,避免多出 6,963 个正常误报
VAL 1% → TESTFPR 0.9000%FP 2,982 · FN 69
VAL 3% → TESTFPR 3.0015%FP 9,945 · FN 51
LOCKED
少漏检 18 个→增加正常误报 6,963 个
102,626 个恶意序列中,102,557 个被检出
漏检69Precision97.1745%
331,330 个正常序列误报 2,982
五类行为 Macro-F1 达到 98.1644%,主要短板是入侵后活动
OVERALL ACCURACY99.8350%
序列上下文把漏检从 32,117 降至 264,TCN 进一步降至 69
RECALL (%)TEST FPR 0.9000%–0.9667%
单 flow + MLP68.7048%FPR 0.9667% · FN 32,117
16 步 + MLP99.7428%FPR 0.9543% · FN 264
16 步 + TCN,无 delta99.9298%FPR 0.9477% · FN 72
8 步 + TCN99.5235%FPR 0.9166% · FN 489
最终 16 步 + TCN,全 116 维99.9328%FPR 0.9000% · FN 69
主要增益来自连续 16 条 flow无 delta 仍达 99.9298%,不夸大 delta 特征的独立作用
跨源表现有稳定区,也有尚未解决的短板
STRICT SOURCE HOLDOUT
ThursdayRecall 92.36% · FPR 0.79%较稳
Friday BotRecall 88.38% · FPR 1.09%接近可用
DoHBrwRecall 74.29% · FPR 9.41%有突破
HIKARI / TuesdayHIKARI 2.84% / 7.97%
Tuesday 11.27% / 20.91%短板
Tuesday 11.27% / 20.91%短板
CTU-13 / HKDRecall 72.93% / 100.00% · FPR —Recall-only
真实 CPU 运行把 31,295 个包转换为 7 个检测窗口
PACKETS31,295
→
BIDIRECTIONAL FLOWS60
→
[16,116] WINDOWS7
116 维禁用字段命中 0NaN / Inf 0真实 detector.exe CPU 结果
从抓包文件到源文件级结论,Windows 工具直接完成检测
Windows x64 CPU 推理无需 Python / PyTorch / CUDAPCAP / PCAPNG / zip 内 PCAPmanifest 批处理窗口级 / 源文件级 / 总结.txt
ENCRYPTED TRAFFIC DETECTOR样例 · 界面重构示意
INPUT SAMPLEHKD dnstt PCAP 样例
DETECTION RESULTMALICIOUS
BEHAVIORdoh_tunnel
WINDOWS7 / 7 maliciousthreshold 0.0018279440
模型、源码、manifest、审计与 Windows 工具组成完整交付
RAW PCAP自研抽取源码
MODEL权重与归一化
MANIFEST统一数据入口
AUDIT正式指标与边界
WINDOWSx64 一键工具
从原始流量到可复验告警,完整闭环已经交付
自研统一建模解释审计交付
99.9328%
116 维特征范围
0–12
规模与方向13–26
IAT27–31
包长32–39
Flags40–47
Active / Idle48–85
速率与比例86–108
TCP / Bulk109–115
Flow Delta
规模与方向13–26
IAT27–31
包长32–39
Flags40–47
Active / Idle48–85
速率与比例86–108
TCP / Bulk109–115
Flow Delta
最终模型训练配置
hidden 1923 blocksdilation 1 · 2 · 4mean + max2 heads764,934 paramsbest epoch 4175.654s
五类行为的 Precision / Recall / F1
类别PrecisionRecallF1Support
BENIGN99.9486%99.8609%99.9047%331,330
brute_force99.9647%99.8588%99.9117%73,642
botnet_c299.3324%99.3385%99.3355%16,327
doh_tunnel99.3876%99.9807%99.6833%10,389
infiltration_post_compromise86.5190%98.1922%91.9868%2,268
严格 source holdout:不同来源表现差异明显
Holdout 来源代表行为RecallFPR结论
Thursday Infiltrationinfiltration_post_compromise92.36%0.79%较稳
Friday Botbotnet_c288.38%1.09%接近可用
DoHBrwdoh_tunnel74.29%9.41%Recall 提升,FPR 偏高
CTU-13botnet_c272.93%—Recall-only
HKD DoH Tunneldoh_tunnel100.00%—Recall-only
HIKARIbrute_force / 混合恶意2.84%7.97%跨源迁移失败
Tuesdaybrute_force11.27%20.91%跨源迁移失败
已验证的隔离,与未声明的证明边界
已验证
sample ID duplicate:0train-only mean / stdvalidation-only thresholdsource-holdout separate
未声明为已形式化证明
文件级跨 split 交叉五元组级跨 split 交叉相邻滑窗级跨 split 交叉