CS后门模本搜集:合理模本来自于局域网,爬取局域网出入口的模本;恶意模本有3个由来分别是:MalwareTraffic(TM)[2],CanadianInstituteforCybersecurity(ISC)malwaredatabase[3]和StratosphereIPS(SIPS)malwaredatabase[4]。从这种模本集中化,通过需要的预备处理环节,即如何选择出高品质的模本,这也是一个可以开展的问题,这篇文章不会再过多阐释。最后,获取的模本总数以下表所显示。在这种模本中,咱们将TM和SIPS的视作一般的TLSCobalt Strike模本;ISC因为是安卓商城下的模本集,咱们将其视作深层协议掩藏的TLSCobalt Strike模本。在前面的逻辑回归模型一部分,咱们共获得了3种特性,分别是:
遍布特性(Distributionfeature,Pd)
统一性特性(Consistencyfeature,cfm)
数据分析特性(Statisticfeature,TR)
咱们首要试验是不是看这种特性,是不是合理,建模优化算法是决策树。
以下表所显示,在这三种特性中,统一性特性的作用更强,次之是数据分析特性。随后将这3种特性拼在一起创建建模,可以获得更好的作用。与此同时,咱们运用这篇文章提到的特征提取优化算法来开展特征提取,最后从874个特性中挑选出316个合理特性。
在下一个试验中,咱们探究了通信信道中,对话流的总数对监测作用的干扰。咱们筹备了二十个通信信道,首要通信信道包括1条流;下一个通信信道包括2条流,依此类推。如下图所示,当1个通信信道中累积最少9条流时,建模的监测作用保持稳定。
在第3个试验中,咱们将这篇文章的方式与其它二种方式开展了比照,一种是Cisco的方式[1],Cisco和咱们的方式都是监管的;另一种是是非非监管的方式[5]。
从表格中可以得到2个结果,一个是监管的方式在监测作用上要比非监管的方式主要表现得更优异;二是这篇文章的方式在应对深层协议掩藏的模本集时,主要表现得比Cisco的方式更强,认证了本方式的实效性。
2.3.2普遍意义认证
事实上,本方式不仅可以运用在TLS协议的Cobalt Strike检测中,还能运用于https协议的Cobalt Strike检测中。缘故是,这篇文章中对Cobalt Strike正负模本的假定,从工作原理上讲,在https协议中一样创立。所不一样的是,https协议沒有秘钥协商环节,也就沒有TLS握手特性;但https协议有https头,也是明文本段,可以用这一替代。如下图所显示为,https协议请求头的一部分字段名。