發(fā)布時(shí)間：2021-02-26 00:45

　　惡意軟件往往能夠逃避傳統(tǒng)使用黑名單標(biāo)記或關(guān)注終端惡意代碼檢測(cè)的方法。本文提出一種在大規(guī)模網(wǎng)絡(luò)中檢測(cè)惡意軟件分布的方法,聚焦于惡意軟件基礎(chǔ)設(shè)施之間的網(wǎng)絡(luò)關(guān)系,在大規(guī)模網(wǎng)絡(luò)中區(qū)分正常和惡意流量,用以發(fā)現(xiàn)傳統(tǒng)檢測(cè)方法無(wú)法檢測(cè)到的惡意軟件。 

【文章來(lái)源】：網(wǎng)絡(luò)安全和信息化. 2020,(07)

【文章頁(yè)數(shù)】：6 頁(yè)

【部分圖文】：

方案整體設(shè)計(jì)

相同URI或文件名file。開(kāi)始圖中只有一個(gè)URL節(jié)點(diǎn)，然后添加URL到各節(jié)點(diǎn)的邊，當(dāng)2條記錄存在上述關(guān)系時(shí)，合并2條記錄。如此迭代，直到圖無(wú)法增長(zhǎng)或達(dá)到預(yù)先設(shè)定的大小（比如800個(gè)節(jié)點(diǎn)）。一旦惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖生成，安全分析人員可以直觀地看出圖中的哪個(gè)URL節(jié)點(diǎn)或服務(wù)端節(jié)點(diǎn)（包括域名、IP）是惡意的。這基于簡(jiǎn)單的規(guī)則：如果節(jié)點(diǎn)越孤立，則可能性越低，否則，屬于惡意的概率越大。當(dāng)然，為了量化這一概率，需要先對(duì)邊賦值：

生成圖統(tǒng)計(jì)：圖3展現(xiàn)的一個(gè)真實(shí)惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖，包含14條檢測(cè)記錄，由于部分節(jié)點(diǎn)相同，因此節(jié)點(diǎn)數(shù)小于14乘以字段數(shù)8，實(shí)際共79個(gè)節(jié)點(diǎn)。實(shí)驗(yàn)中，訓(xùn)練集、測(cè)試集中分別生成了30和66幅惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖，占比最多的為節(jié)點(diǎn)數(shù)小于50的生成圖。節(jié)點(diǎn)數(shù)小于50的生成圖網(wǎng)絡(luò)關(guān)系比較簡(jiǎn)單甚至無(wú)相關(guān)性，因此方案的誤報(bào)也集中在這一區(qū)間。結(jié)語(yǔ)


本文編號(hào)：3051822