37、EarlyCrow：检测基于HTTP(S)的高级持续性威胁（APT）恶意软件命令与控制（C&C）

EarlyCrow：检测基于HTTP(S)的高级持续性威胁（APT）恶意软件命令与控制（C&C）

在当今数字化时代，网络安全面临着诸多挑战，其中高级持续性威胁（APT）和僵尸网络的攻击尤为棘手。EarlyCrow作为一种检测系统，旨在应对这些威胁，下面我们将详细介绍EarlyCrow的相关内容。

1. EarlyCrow的特征体系

EarlyCrow的特征体系丰富多样，涵盖了PairFlow特征、主机配置文件特征、目标配置文件特征和URL配置文件特征等多个方面。具体特征如下表所示：
|类别|ID|特征|是否为新特征|
| ---- | ---- | ---- | ---- |
|PairFlow特征|1|总字节数|[7,8,46]|
| |2|发送/接收比率|[7,8,38,46]|
| |3 - 9|原始TCP、原始UDP、ICMP、DNS、HTTP、TLS和SSL数据包的比率|✓|
| |…|…|…|
|主机配置文件特征|51 - 53|顺序连接的最大/最小/平均时间差|✓|
| |54|仅连接目标IP与FQDN的比率|✓|
| |…|…|…|
|目标配置文件特征|64|连接到目标的主机数量|[39]|
| |65 - 67|目标接收/发送的最大/最小/平均值|✓|
| |…|…|…|
|URL配置文件特征|82|URL文件名的比例|[38]|
| |83|URL文件名中.exe的比例|✓|
| |…|…|…|

2. 上下文摘要（ContextualSummary）

当接收到PairFlow并提取