恶意C&C流特征对应字段
| 名称 |
编号 |
反向编号 |
说明 |
对应metadta字段 |
| protocolIdentifier |
3 |
|
协议ID |
protocolIdentifier(7) |
| sourceTransportPort |
4 |
|
源端口 |
sourceTransportPort(5) |
| destinationTransportPort |
5 |
|
目的端口 |
destinationTransportPort(6) |
| octetDeltaCount |
6 |
41 |
统计上报流的字节数(含IP头及IP有效载荷长度) |
octetDeltaCountFromTotalLen(100) |
| packetDeltaCount |
7 |
42 |
当前流的数据包数量 |
headerHistogram(95) |
| flowDuration |
8 |
43 |
|
flowLastPktTime (99) |
| numberOfBytesPerSecond |
9 |
44 |
每秒字节数 |
octetDeltaCountFromTotalLen(100) flowLastPktTime (99) |
| numberOfPacketsPerSecond |
10 |
45 |
每秒包数 |
headerHistogram(95) |
| interArrivalTime |
11 |
46 |
包文的时间间隔(时间/包数) |
headerHistogram(95) |
| headerLengthDistribution_min |
12 |
47 |
头部直方图:最小 |
headerHistogram(95) |
| headerLengthDistribution_max |
13 |
48 |
头部直方图:最大 |
headerHistogram(95) |
| headerLengthDistribution_avg |
14 |
49 |
头部直方图:平均值 |
headerHistogram(95) |
| headerLengthDistribution_median |
15 |
50 |
头部直方图:中位数 |
headerHistogram(95) |
| headerLengthDistribution_stddev |
16 |
51 |
头部直方图:标准差 |
headerHistogram(95) |
| headerLengthDistribution_distinct |
17 |
52 |
头部直方图:不同长度类型数 |
headerHistogram(95) |
| headerLengthDistribution_bin_20 |
18 |
53 |
头部直方图:小于20字节个数 |
headerHistogram(95) |
| headerLengthDistribution_bin_28 |
19 |
54 |
头部直方图:小于28字节个数 |
headerHistogram(95) |
| headerLengthDistribution_bin_40 |
20 |
55 |
头部直方图:小于40字节个数 |
headerHistogram(95) |
| headerLengthDistribution_bin_inf |
21 |
56 |
头部直方图:大等于40字节个数 |
headerHistogram(95) |
| payloadLengthDistribution_min |
22 |
57 |
载荷直方图:最小 |
payloadHistogram(96) |
| payloadLengthDistribution_max |
23 |
58 |
载荷直方图:最大 |
payloadHistogram(96) |
| payloadLengthDistribution_avg |
24 |
59 |
载荷直方图:平均值 |
payloadHistogram(96) |
| payloadLengthDistribution_median |
25 |
60 |
载荷直方图:中位数 |
payloadHistogram(96) |
| payloadLengthDistribution_stddev |
26 |
61 |
载荷直方图:标准差 |
payloadHistogram(96) |
| payloadLengthDistribution_distinct |
27 |
62 |
载荷直方图:不同长度类型数 |
payloadHistogram(96) |
| payloadLengthDistribution_bin_128 |
28 |
63 |
载荷直方图:小于128字节个数 |
payloadHistogram(96) |
| payloadLengthDistribution_bin_512 |
29 |
64 |
载荷直方图:128(含)-512(不含)字节个数 |
payloadHistogram(96) |
| payloadLengthDistribution_bin_1024 |
30 |
65 |
载荷直方图:512(含)-1024(不含)字节个数 |
payloadHistogram(96) |
| payloadLengthDistribution_bin_inf |
31 |
66 |
载荷直方图:大于1024字节个数 |
payloadHistogram(96) |
| tcpControlBitsDistribution_NS |
32 |
67 |
出现NS控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_CWR |
33 |
68 |
出现CWR控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_ECE |
34 |
69 |
出现ECE控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_URG |
35 |
70 |
出现URG控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_ACK |
36 |
71 |
出现ACK控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_PSH |
37 |
72 |
出现PSH控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_RST |
38 |
73 |
出现RST控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_SYN |
39 |
74 |
出现SYN控制位的包个数 |
tcpFlagHistogram(97) |
| tcpControlBitsDistribution_FIN |
40 |
75 |
出现FIN控制位的包个数 |
tcpFlagHistogram(97) |
| biflowIndicator |
76 |
流量指标控制位,此标记为true时,以下4项(ratioPacketDeltaCount、ratioOctetDeltaCount、ratioFlowDuration、ratioInterArrivalTime)才有值 |
双向时为1,单向为0 |
|
| ratioPacketDeltaCount |
77 |
、 |
反向与正向报文比例 |
headerHistogram(95) |
| ratioOctetDeltaCount |
78 |
、 |
反向与正向流量(字节)比例 |
octetDeltaCountFromTotalLen(100) |
| ratioFlowDuration |
79 |
、 |
反向与正向流持续时间比例 |
flowLastPktTime (99) |
| ratioInterArrivalTime |
80 |
、 |
反向与正向interArrivalTime值比例 |
headerHistogram(95) |
-------------------------------------------
特征值说明:
3:协议ID
4:源端口
5:目的端口
6:正向统计上报流的字节数(含IP头以及IP有效载荷长度)
7:正向当前流的数据包数量
8:
9: 正向每秒字节数
10:正向每秒包数
11:正向包文的时间间隔(时间/包数)
12:正向头部直方图最小
13:正向头部直方图最大
14:正向头部直方图平均数
15:正向头部直方图中位数
16:正向头部直方图标准差
17:正向头部直方图不同长度类型数
18:正向头部直方图小于20字节数个数
19:正向头部直方图小于28字节数个数
20:正向头部直方图小于40字节数个数
21:正向头部直方图大于等于40字节数个数
22:正向载荷直方图最小
23:正向载荷直方图最大
24:正向载荷直方图平均值
25:正向载荷直方图中位数
26:正向载荷直方图标准差
27:正向载荷直方图不同长度类型数
28:正向载荷直方图小于128字节数个数
29:正向载荷直方图≥128、<512字节数个数
30:正向载荷直方图≥512、<1024字节数个数
31:正向载荷直方图>1024字节数个数
32:正向出现NS控制位的包个数
33:正向出现CWR控制位的包个数
34:正向出现ECE控制位的包个数
35:正向出现URG控制位的包个数
36:正向出现ACK控制位的包个数
37:正向出现PSH控制位的包个数
38:正向出现RST控制位的包个数
39:正向出现SYN控制位的包个数
40:正向出现FIN控制位的包个数
41:反向统计上报流的字节数(含IP头以及IP有效载荷长度)
42:反向当前流的数据包数量
43:
44:反向每秒字节数
45:反向每秒包数
46:反向包文的时间间隔(时间/包数)
47:反向头部直方图最小
48:反向头部直方图最大
49:反向头部直方图平均数
50:反向头部直方图中位数
51:反向头部直方图标准差
52;反向头部直方图不同长度类型数
53:反向头部直方图小于20字节数个数
54:反向头部直方图小于28字节数个数
55:反向头部直方图小于40字节数个数
56:反向头部直方图大于等于40字节数个数
57:反向载荷直方图最小
58:反向载荷直方图最大
59:反向载荷直方图平均值
60:反向载荷直方图中位数
61:反向载荷直方图标准差
62:反向载荷直方图不同长度类型数
63:反向载荷直方图小于128字节数个数
64:反向载荷直方图≥128、<512字节数个数
65:反向载荷直方图≥512、<1024字节数个数
66:反向载荷直方图>1024字节数个数
67:反向出现NS控制位的包个数
68:反向出现CWR控制位的包个数
69:反向出现ECE控制位的包个数
70:反向出现URG控制位的包个数
71:反向出现ACK控制位的包个数
72:反向出现PSH控制位的包个数
73:反向出现RST控制位的包个数
74:反向出现SYN控制位的包个数
75:反向出现FIN控制位的包个数
76:流量指标控制位,此标记为true时,以下4项(ratioPacketDeltaCount、ratioOctetDeltaCount、ratioFlowDuration、ratioInterArrivalTime)才有值
77:反向与正向报文比例
78:反向与正向流量(字节)比例
79:反向与正向流持续时间比例
80:反向与正向InterArrivalTime值比例