惡意C&C流特征對應字段
惡意C&C流特征對應字段
|
名稱 |
編號 |
反向編號 |
說明 |
對應metadta字段 |
|
protocolIdentifier |
3 |
|
協議ID |
protocolIdentifier(7) |
|
sourceTransportPort |
4 |
|
源端口 |
sourceTransportPort(5) |
|
destinationTransportPort |
5 |
|
目的端口 |
destinationTransportPort(6) |
|
octetDeltaCount |
6 |
41 |
統計上報流的字節數(含IP頭及IP有效載荷長度) |
octetDeltaCountFromTotalLen(100) |
|
packetDeltaCount |
7 |
42 |
當前流的數據包數量 |
headerHistogram(95) |
|
flowDuration |
8 |
43 |
|
flowLastPktTime (99) |
|
numberOfBytesPerSecond |
9 |
44 |
每秒字節數 |
octetDeltaCountFromTotalLen(100) flowLastPktTime (99) |
|
numberOfPacketsPerSecond |
10 |
45 |
每秒包數 |
headerHistogram(95) |
|
interArrivalTime |
11 |
46 |
包文的時間間隔(時間/包數) |
headerHistogram(95) |
|
headerLengthDistribution_min |
12 |
47 |
頭部直方圖:最小 |
headerHistogram(95) |
|
headerLengthDistribution_max |
13 |
48 |
頭部直方圖:最大 |
headerHistogram(95) |
|
headerLengthDistribution_avg |
14 |
49 |
頭部直方圖:平均值 |
headerHistogram(95) |
|
headerLengthDistribution_median |
15 |
50 |
頭部直方圖:中位數 |
headerHistogram(95) |
|
headerLengthDistribution_stddev |
16 |
51 |
頭部直方圖:標準差 |
headerHistogram(95) |
|
headerLengthDistribution_distinct |
17 |
52 |
頭部直方圖:不同長度類型數 |
headerHistogram(95) |
|
headerLengthDistribution_bin_20 |
18 |
53 |
頭部直方圖:小於20字節個數 |
headerHistogram(95) |
|
headerLengthDistribution_bin_28 |
19 |
54 |
頭部直方圖:小於28字節個數 |
headerHistogram(95) |
|
headerLengthDistribution_bin_40 |
20 |
55 |
頭部直方圖:小於40字節個數 |
headerHistogram(95) |
|
headerLengthDistribution_bin_inf |
21 |
56 |
頭部直方圖:大等於40字節個數 |
headerHistogram(95) |
|
payloadLengthDistribution_min |
22 |
57 |
載荷直方圖:最小 |
payloadHistogram(96) |
|
payloadLengthDistribution_max |
23 |
58 |
載荷直方圖:最大 |
payloadHistogram(96) |
|
payloadLengthDistribution_avg |
24 |
59 |
載荷直方圖:平均值 |
payloadHistogram(96) |
|
payloadLengthDistribution_median |
25 |
60 |
載荷直方圖:中位數 |
payloadHistogram(96) |
|
payloadLengthDistribution_stddev |
26 |
61 |
載荷直方圖:標準差 |
payloadHistogram(96) |
|
payloadLengthDistribution_distinct |
27 |
62 |
載荷直方圖:不同長度類型數 |
payloadHistogram(96) |
|
payloadLengthDistribution_bin_128 |
28 |
63 |
載荷直方圖:小於128字節個數 |
payloadHistogram(96) |
|
payloadLengthDistribution_bin_512 |
29 |
64 |
載荷直方圖:128(含)-512(不含)字節個數 |
payloadHistogram(96) |
|
payloadLengthDistribution_bin_1024 |
30 |
65 |
載荷直方圖:512(含)-1024(不含)字節個數 |
payloadHistogram(96) |
|
payloadLengthDistribution_bin_inf |
31 |
66 |
載荷直方圖:大於1024字節個數 |
payloadHistogram(96) |
|
tcpControlBitsDistribution_NS |
32 |
67 |
出現NS控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_CWR |
33 |
68 |
出現CWR控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_ECE |
34 |
69 |
出現ECE控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_URG |
35 |
70 |
出現URG控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_ACK |
36 |
71 |
出現ACK控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_PSH |
37 |
72 |
出現PSH控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_RST |
38 |
73 |
出現RST控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_SYN |
39 |
74 |
出現SYN控制位的包個數 |
tcpFlagHistogram(97) |
|
tcpControlBitsDistribution_FIN |
40 |
75 |
出現FIN控制位的包個數 |
tcpFlagHistogram(97) |
|
biflowIndicator |
76 |
|
流量指標控制位,此標記為true時,以下4項(ratioPacketDeltaCount、ratioOctetDeltaCount、ratioFlowDuration、ratioInterArrivalTime)才有值 |
雙向時為1,單向為0 |
|
ratioPacketDeltaCount |
77 |
、 |
反向與正向報文比例 |
headerHistogram(95) |
|
ratioOctetDeltaCount |
78 |
、 |
反向與正向流量(字節)比例 |
octetDeltaCountFromTotalLen(100) |
|
ratioFlowDuration |
79 |
、 |
反向與正向流持續時間比例 |
flowLastPktTime (99) |
|
ratioInterArrivalTime |
80 |
、 |
反向與正向interArrivalTime值比例 |
headerHistogram(95) |
-------------------------------------------
特征值說明:
3:協議ID
4:源端口
5:目的端口
6:正向統計上報流的字節數(含IP頭以及IP有效載荷長度)
7:正向當前流的數據包數量
8:
9: 正向每秒字節數
10:正向每秒包數
11:正向包文的時間間隔(時間/包數)
12:正向頭部直方圖最小
13:正向頭部直方圖最大
14:正向頭部直方圖平均數
15:正向頭部直方圖中位數
16:正向頭部直方圖標準差
17:正向頭部直方圖不同長度類型數
18:正向頭部直方圖小於20字節數個數
19:正向頭部直方圖小於28字節數個數
20:正向頭部直方圖小於40字節數個數
21:正向頭部直方圖大於等於40字節數個數
22:正向載荷直方圖最小
23:正向載荷直方圖最大
24:正向載荷直方圖平均值
25:正向載荷直方圖中位數
26:正向載荷直方圖標準差
27:正向載荷直方圖不同長度類型數
28:正向載荷直方圖小於128字節數個數
29:正向載荷直方圖≥128、<512字節數個數
30:正向載荷直方圖≥512、<1024字節數個數
31:正向載荷直方圖>1024字節數個數
32:正向出現NS控制位的包個數
33:正向出現CWR控制位的包個數
34:正向出現ECE控制位的包個數
35:正向出現URG控制位的包個數
36:正向出現ACK控制位的包個數
37:正向出現PSH控制位的包個數
38:正向出現RST控制位的包個數
39:正向出現SYN控制位的包個數
40:正向出現FIN控制位的包個數
41:反向統計上報流的字節數(含IP頭以及IP有效載荷長度)
42:反向當前流的數據包數量
43:
44:反向每秒字節數
45:反向每秒包數
46:反向包文的時間間隔(時間/包數)
47:反向頭部直方圖最小
48:反向頭部直方圖最大
49:反向頭部直方圖平均數
50:反向頭部直方圖中位數
51:反向頭部直方圖標準差
52;反向頭部直方圖不同長度類型數
53:反向頭部直方圖小於20字節數個數
54:反向頭部直方圖小於28字節數個數
55:反向頭部直方圖小於40字節數個數
56:反向頭部直方圖大於等於40字節數個數
57:反向載荷直方圖最小
58:反向載荷直方圖最大
59:反向載荷直方圖平均值
60:反向載荷直方圖中位數
61:反向載荷直方圖標準差
62:反向載荷直方圖不同長度類型數
63:反向載荷直方圖小於128字節數個數
64:反向載荷直方圖≥128、<512字節數個數
65:反向載荷直方圖≥512、<1024字節數個數
66:反向載荷直方圖>1024字節數個數
67:反向出現NS控制位的包個數
68:反向出現CWR控制位的包個數
69:反向出現ECE控制位的包個數
70:反向出現URG控制位的包個數
71:反向出現ACK控制位的包個數
72:反向出現PSH控制位的包個數
73:反向出現RST控制位的包個數
74:反向出現SYN控制位的包個數
75:反向出現FIN控制位的包個數
76:流量指標控制位,此標記為true時,以下4項(ratioPacketDeltaCount、ratioOctetDeltaCount、ratioFlowDuration、ratioInterArrivalTime)才有值
77:反向與正向報文比例
78:反向與正向流量(字節)比例
79:反向與正向流持續時間比例
80:反向與正向InterArrivalTime值比例
惡意C&C流特征對應字段