从图1中可以看得出恶意模本更偏向于上行荷载，而良好模本更偏向于下行荷载。而对于图2图3都能够看得出，相对性于良好模本，恶意模本对网站服务器的通信次数和局域网与之通信的服务器设备都要小一点，这合乎咱们之前的假定。

那对于这种统计分析上的差别，怎样设计构思特点，使其能在矩阵的特征值上也可以体现出那样的差别，这也是逻辑回归模型的工作任务。因为通信信道中，存有好几个大小不等的对话流。这篇文章选用粒度分布运算的方式来表明特点，如下图所显示。

最先设置区划的粒度分布，这儿以5kB举例说明，对话流的多少落在哪一个区段，该区段的记数提高1，最终求出每一个区段所占的占比即是归一化处理统计分析值。这种区划的区段便是咱们设计构思的特点。那良好模本和恶意模本在这种特点的对比分析，就如下图所显示。

可以很显然的看得出，正负模本在一些矩阵的特征值上具有非常大的差别，因而，这种特点可以做为搭建实体模型时运用的特点。

那还有没有其他层面，可以体现出正负模本的差别呢。咱们还明确提出了那样1个假定，正常运用为了更好地兼容不一样的服务器系统和不一样的电脑浏览器，促使他们的产品密钥互换的信息内容不太相同；而恶意程序，一般不用过多模式的考量，TLS产品密钥协商环节一般全是固化在源代码里，他们的产品密钥协商更偏向于相同。拥有这一假定，咱们最先还是在模本集在运用对比的方式，看是不是存有那样的差别。咱们运用运算TLS握手字段名在通信信道中是不是相同，并各自获得该字段名在正常信道和Cobalt Strike信道相同的占比。以下表所显示，正常信道和Cobalt Strike信道在这种字段名上的统一性的确存有差别。

这可以做为实体模型所运用的第二种特点。与此同时，咱们还能够模仿对话流的特点设计构思，设计制作通信信道的基本特点。如通信信道中，较大/小的上行流，流中间的较大最小值间隔时间等。以下表所显示。

2.2数据预处理

这篇文章的数据预处理选用如下图所显示的环节。先运用后验概率优化算法，运算每一个特点的信息内容波束角，再将信息内容波束角为0的滤掉，意味着的是失效的特点。再选用进化算法来挑选效果更强的特点搭配，获得分类效果更强的特点子集合。

数据预处理有利于减少特点的层面，提高实体模型的模式，进化算法具有发掘出整体最佳特点子集合的发展潜力，但运转效率低。在前期的模型中，咱们还能够运用前向或后向挑选来构造特点子集合，进而有效地挑选出局部最佳的特点子集合。在这一部分，后边的系列文章中会进行来说。