惡意軟件往往能夠逃避傳統(tǒng)使用黑名單標(biāo)記或關(guān)注終端惡意代碼檢測的方法。本文提出一種在大規(guī)模網(wǎng)絡(luò)中檢測惡意軟件分布的方法,聚焦于惡意軟件基礎(chǔ)設(shè)施之間的網(wǎng)絡(luò)關(guān)系,在大規(guī)模網(wǎng)絡(luò)中區(qū)分正常和惡意流量,用以發(fā)現(xiàn)傳統(tǒng)檢測方法無法檢測到的惡意軟件。 

【文章來源】：網(wǎng)絡(luò)安全和信息化. 2020,(07)

【文章頁數(shù)】：6 頁

【部分圖文】：

方案整體設(shè)計

相同URI或文件名file。開始圖中只有一個URL節(jié)點(diǎn)，然后添加URL到各節(jié)點(diǎn)的邊，當(dāng)2條記錄存在上述關(guān)系時，合并2條記錄。如此迭代，直到圖無法增長或達(dá)到預(yù)先設(shè)定的大小（比如800個節(jié)點(diǎn)）。一旦惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖生成，安全分析人員可以直觀地看出圖中的哪個URL節(jié)點(diǎn)或服務(wù)端節(jié)點(diǎn)（包括域名、IP）是惡意的。這基于簡單的規(guī)則：如果節(jié)點(diǎn)越孤立，則可能性越低，否則，屬于惡意的概率越大。當(dāng)然，為了量化這一概率，需要先對邊賦值：

生成圖統(tǒng)計：圖3展現(xiàn)的一個真實惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖，包含14條檢測記錄，由于部分節(jié)點(diǎn)相同，因此節(jié)點(diǎn)數(shù)小于14乘以字段數(shù)8，實際共79個節(jié)點(diǎn)。實驗中，訓(xùn)練集、測試集中分別生成了30和66幅惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖，占比最多的為節(jié)點(diǎn)數(shù)小于50的生成圖。節(jié)點(diǎn)數(shù)小于50的生成圖網(wǎng)絡(luò)關(guān)系比較簡單甚至無相關(guān)性，因此方案的誤報也集中在這一區(qū)間。結(jié)語


本文編號：3051822