מושגי ליבה
Ein Botnet-Erkennungsmodell, das einen Graphen-Convolutional-Network (GCN) nutzt, um Fluss- und Topologiemerkmale tief zu fusionieren, um Botnets mit C2- und P2P-Architekturen effektiv zu erkennen.
תקציר
Der Artikel präsentiert ein innovatives Rahmenwerk für die Botnet-Erkennung, das aus einem vortrainierten GCN-Modell und einem Extra-Tree-Klassifikationsmodell besteht. Das Verfahren nutzt den Nachrichtenpropagationsmechanismus des GCN, um topologische Merkmale zu extrahieren und diese mit Flussmerkmalen zu fusionieren, um Botnets zu erkennen.
Das Modell kann sowohl für die Erkennung von Botnets mit C2-Architektur als auch mit P2P-Architektur verwendet werden, indem lediglich die Anzahl der GCN-Schichten angepasst wird.
Zunächst werden fünf leicht zugängliche, aber schwer zu umgehende Flussmerkmale entworfen. Dann werden Netzwerkkommunikationsgraphen erstellt, die die Flussmerkmale und die Verbindungstopologie der Knoten integrieren. Um das Problem des Trainings eines GCN auf unausgewogenen Datensätzen zu lösen, wird der GCN zunächst mit ausgewogenen Graphendatensätzen vortrainiert, um seine Fähigkeit zur Extraktion topologischer Merkmale zu ermöglichen. Dieser vortrainierte GCN wird dann für die Merkmalsfusion verwendet.
Die experimentellen Ergebnisse auf öffentlichen Datensätzen zeigen, dass das Verfahren die derzeitigen State-of-the-Art-Methoden sowohl für C2- als auch für P2P-Architekturen übertrifft. Das Modell wird auch auf einen Echtwelt-Datensatz angewendet und erzielt zufriedenstellende Ergebnisse.
סטטיסטיקה
Die Verhältnisse von bösartigen zu legitimen Knoten in den öffentlichen Datensätzen sind extrem unausgewogen, z.B. 1:25000 im CTU-13-Datensatz.
ציטוטים
"Botnets und legitime Knoten verhalten sich zunehmend ähnlich, was die Erkennung von Botnets in Echtzeit mit hoher Präzision zu einer Herausforderung macht."
"Die Kombination von Fluss- und topologischen Merkmalen verbessert die Wirkung des konstruierten Erkennungsmodells."