论文标题：Adaptive detection of encrypted malware traffic via fully convolutional masked autoencoders

期刊：Frontiers of Computer Science

作者：Jizhe JIA, Meng SHEN, Qingjun YUAN, Yong LIU, Jing WANG, Jian KONG, Liang HUANG, Haotian HE, Liehuang ZHU

发表时间：18 Feb 2025

DOI：10.1007/s11704-025-41273-9

微信链接：点击此处阅读微信文章

引用格式：

Jizhe JIA, Meng SHEN, Qingjun YUAN, Yong LIU, Jing WANG, Jian KONG, Liang HUANG, Haotian HE, Liehuang ZHU. Adaptive detection of encrypted malware traffic via fully convolutional masked autoencoders. Front. Comput. Sci., 2026, 20(4): 2004804

阅读原文：

文章概述

网络安全一直是互联网研究的焦点。恶意软件是指被设计用来通过窃取、破坏数据、干扰操作或获得未授权访问来危害计算机系统、网络或用户的软件。现有的恶意软件流量检测技术依赖于大量现成的有标签数据以供模型训练，这限制了其迁移到新恶意软件检测的能力。

为了解决这些问题，北京理工大学沈蒙教授团队发表了他们的新研究成果。该研究团队提出了一种基于全卷积掩码自编码器的自适应加密恶意软件流量检测方法Malcom，用于检测隐藏在加密流量中的恶意软件流量。在真实数据集上的大量实验表明，Malcom在小样本学习场景和不平衡数据集场景两种典型场景中的表现优于最先进的（SOTA）方法。

Malcom系统概述

在这项研究中，他们分析了开放系统互连（OSI）参考模型，以提取可以区分恶意软件流量和良性流量的判别特征。为了实现自适应加密流量检测，他们提出了Malcom，该方法包括两个阶段：预训练阶段和微调阶段。在预训练阶段，他们使用无标签的流量样本预训练一个基于稀疏卷积的ConvNeXt流量编码器和一个轻量级流量解码器。在微调阶段，他们仅需要少量有标签的新恶意软件流量数据进行微调，即可实现对新恶意软件的高精度检测。

流量表示HPM的构建过程

研究人员首先提出了一种名为头部-有效载荷矩阵（Header-Payload Matrix，HPM）的新型流量表示，以提取可以区分恶意软件和良性流量的判别特征。随后，他们开发了一个层次化的ConvNeXt流量编码器和一个轻量级的ConvNeXt流量解码器，从大量无标签数据中学习高级特征。掩码自编码器框架使他们的模型能够通过仅使用少量有标签数据进行微调来适应新的恶意软件流量检测。真实数据集上的实验在小样本学习和不平衡数据集两种典型场景中进行。实验数据表明，Malcom在这两种场景中的表现均优于最先进的（SOTA）方法。

未来工作可以借助于其他下游流量分类任务（如加密应用分类、Tor上的网站指纹攻击和物联网流量分类）的更多流量数据集，以验证Malcom的通用性。此外，他们将探索模型在面对使用混淆策略的恶意软件流量时的检测鲁棒性。

期刊简介

Frontiers of Computer Science （FCS）是由教育部主管、高等教育出版社和北京航空航天大学共同主办，南京大学支持，SpringerNature 公司海外发行的英文学术期刊。本刊于 2007 年创刊，月刊，全球发行。主要刊登计算机科学领域具有创新性的综述论文、研究论文等。本刊主编为周志华院士，共同主编为熊璋教授。编委会及青年 AE 团队由国内外知名学者及优秀青年学者组成。本刊被 SCI、Ei、DBLP、INSPEC、SCOPUS 和中国科学引文数据库（CSCD）核心库等收录，为 CCF 推荐B类期刊；两次入选“中国科技期刊国际影响力提升计划”；入选“第4届中国国际化精品科技期刊”；两次入选“中国科技期刊卓越行动计划”（一期梯队、二期领军）。

中国学术前沿期刊网

http://journal.hep.com.cn