当前位置:文档之家 › 基于流量统计指纹的恶意代码检测模型

基于流量统计指纹的恶意代码检测模型

  • 格式:pdf
  • 大小:210.03 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

人工智能技术在网络安全中的应用案例

人工智能技术在网络安全中的应用案例

人工智能技术在网络安全中的应用案例随着互联网的快速发展和普及,网络安全问题日益突出。

传统的网络安全技术已经远远不能满足复杂多变的网络攻击,因此研发基于人工智能的网络安全技术已成为当今的热点。

本文将介绍几个人工智能在网络安全中的应用案例。

第一部分:基于人工智能的入侵检测系统入侵检测系统(Intrusion Detection System, IDS)是网络安全中的关键技术之一。

传统的IDS主要依靠事先编写的规则来判断网络是否遭受入侵,然而规则的编写工作繁琐且无法应对新型的攻击手法。

基于人工智能的IDS通过对网络流量数据进行数据挖掘,能够自动识别异常行为并作出响应。

例如,使用机器学习算法,IDS可以学习网络正常行为的模式并自动检测出网络中的异常行为,从而及时发现并阻止潜在的攻击。

第二部分:智能防火墙防火墙是网络安全的重要基础,传统防火墙主要通过规则匹配判断网络数据是否允许通过。

然而,规则的编写通常需要人工参与,而且无法应对新型的攻击手法。

基于人工智能的智能防火墙能够自动学习并识别网络流量中的异常行为,可以动态地调整防火墙的策略以提高对新型攻击的识别和阻断能力。

此外,智能防火墙还可以根据网络流量的变化调整策略,实现更精细化的安全防护。

第三部分:恶意代码检测恶意代码是网络安全的重要威胁之一,而传统的恶意代码检测主要依靠特征匹配的方法。

然而,新型的恶意代码往往能够改变自身的特征,从而能够绕过传统的检测方法。

基于人工智能的恶意代码检测利用机器学习算法,通过对大量的良性和恶意代码的样本进行训练,建立模型来判断网络中的文件是否为恶意代码。

这种方法能够有效提高恶意代码检测的准确率和覆盖率,提前发现潜在的安全威胁。

第四部分:网络异常行为检测网络异常行为往往是网络攻击的前兆,因此及早发现并阻止异常行为对于网络安全至关重要。

基于人工智能的网络异常行为检测利用数据挖掘和机器学习算法,对网络流量进行分析,可以自动识别异常流量和异常行为。

基于大数据分析的网络流量异常检测模型研究

基于大数据分析的网络流量异常检测模型研究

基于大数据分析的网络流量异常检测模型研究随着互联网的快速发展和普及,网络安全问题变得日益突出。

网络流量异常检测作为网络安全的重要组成部分,其研究对于及时发现和处理网络攻击具有重要意义。

基于大数据分析的网络流量异常检测模型就是为了解决这一问题而诞生的。

网络流量异常检测模型是利用大数据分析技术对网络流量数据进行实时监测和分析,以识别异常行为和攻击活动。

它基于网络流量数据的规律性和异常性,通过建立合适的模型和算法,对正常和异常网络行为进行区分和识别,从而提高网络安全性能。

首先,基于大数据分析的网络流量异常检测模型需要收集和分析大量的网络流量数据。

这些数据包含了网络中各种类型的流量,如网络包的大小、源地址和目的地址等信息。

通过分析这些数据,我们可以获得网络中的正常流量的特征,进而构建模型。

其次,大数据分析的网络流量异常检测模型需要建立适合的特征提取方法。

在大数据环境下,网络流量数据量庞大复杂,需要从中提取有效的特征以揭示潜在的攻击行为。

常用的特征提取方法包括统计学特征、时间序列分析特征、频谱分析特征等。

这些特征可以帮助识别出网络中的异常行为。

然后,基于大数据分析的网络流量异常检测模型需要建立合适的分类算法。

在特征提取之后,我们需要将网络流量数据进行分类,区分正常流量和异常流量。

常用的分类算法包括基于规则的方法、机器学习方法和深度学习方法等。

这些算法可以根据特征将网络流量进行有效分类,以及实时监测和分析网络中的异常行为。

此外,基于大数据分析的网络流量异常检测模型需要具备实时性和准确性。

网络攻击活动通常具有短暂的时间性,因此模型需要能够迅速识别出异常行为并及时采取相应的措施。

同时,模型要能够准确地识别出网络中的异常行为,避免误报与漏报。

为了提高基于大数据分析的网络流量异常检测模型的性能,我们可以采用多种方法。

首先,可以结合多种特征提取方法和分类算法,构建复合模型,以提高异常检测的准确性和鲁棒性。

其次,可以引入监督学习和无监督学习的方法,对网络流量数据进行分析和学习,以便更好地适应网络环境的变化。

恶意代码检测与分析

恶意代码检测与分析

恶意代码检测与分析恶意代码是指那些被设计用来对计算机系统或网络进行破坏、入侵或传播的代码。

恶意代码的目的可以是窃取敏感信息、破坏系统功能、操纵系统行为或传播自身。

恶意代码种类繁多,包括病毒、蠕虫、木马、间谍软件、广告软件等。

为了确保计算机系统和网络的安全,恶意代码的检测与分析变得至关重要。

下面将介绍恶意代码检测与分析的方法和技术。

一、恶意代码检测1.病毒扫描病毒扫描是一种最常见的恶意代码检测方法。

它通过对文件和系统进行扫描,寻找已知的病毒特征。

病毒特征是一些已知的病毒代码片段、文件名或行为模式。

如果扫描发现了这些特征,就会认定文件或系统受到感染。

2.行为分析行为分析是一种基于恶意代码的行为模式进行检测的方法。

它监视软件程序的运行过程,分析其行为模式是否符合恶意代码的行为。

例如,如果一个程序试图修改系统文件或窃取用户信息,就可能是恶意代码。

3.网络流量分析恶意代码在传播和执行时通常会通过网络进行通信。

网络流量分析可以通过监视网络通信,检测出异常流量模式或恶意行为。

例如,如果一个计算机在短时间内向大量IP地址发送数据包,就可能是一个僵尸网络的一部分。

二、恶意代码分析恶意代码分析是对恶意代码进行深入分析和理解的过程,目的是找出其行为、特征和传播方式,从而提供有效的防御措施。

1.静态分析静态分析是对恶意代码进行静态扫描,不需要实际运行代码。

静态分析可以通过对代码的反汇编、符号执行和代码模式匹配等技术来获取恶意代码的行为和特征。

2.动态分析动态分析是在虚拟环境中运行恶意代码,并监视其行为模式和系统调用。

动态分析通常通过采集恶意代码的运行数据、行为模式和输入输出参数来分析恶意代码的特征和目的。

3.持续监测总结:恶意代码检测与分析是确保计算机系统和网络安全的重要环节。

通过病毒扫描、行为分析和网络流量分析等方法可以及时检测恶意代码。

静态分析和动态分析可以深入理解恶意代码的行为和特征,从而提供有效的防御措施。

持续监测可以保持对恶意代码的及时识别和应对。

网络安全中基于深度学习的恶意代码检测方法研究

网络安全中基于深度学习的恶意代码检测方法研究

网络安全中基于深度学习的恶意代码检测方法研究近年来,随着互联网技术的不断发展和普及,网络安全问题也日益引起人们的重视。

而其中,恶意代码的攻击和传播已经成为了网络安全的重要挑战之一。

恶意代码是指那些通过各种手段植入到用户设备中并进行非法活动的程序,可以被用于窃取用户密码、敏感信息,篡改系统文件,甚至是远程控制用户设备等。

在网络安全领域中,恶意代码检测一直是至关重要的环节。

传统的恶意代码检测方法,主要是基于规则或是样本匹配的方式,但是这些方法存在局限性,如容易被新颖的恶意软件绕过,无法识别出潜在的威胁等。

因此,近年来,越来越多的研究学者开始探索基于深度学习的恶意代码检测方法。

基于深度学习的恶意代码检测方法主要是建立在深度神经网络模型的基础上的。

恶意代码的特点是在网络上存在的,与传统的文件内容检测不同,这就需要在模型中添加网络流量分析的模块。

一般的,深度学习的恶意代码检测模型主要可以分为两类,一类是针对静态代码进行分析,即直接对文件进行检测。

另一类是针对动态代码进行分析,在代码运行时进行检测,即对代码及其运行时行为进行监控和分析。

对于静态代码的分析,需要从搜集到的大量恶意代码中进行特征提取,这些特征包括文件中的二进制字节流、操作码、字符串等,这些特征被输入到深度神经网络中,通过训练和学习得到恶意代码的分类模型。

而在动态代码的分析方面,则需要对运行时代码进行实时的监控和分析,通过提取上下文信息等细节数据对模型进行训练。

值得注意的是,深度学习模型在恶意代码检测方面仍存在一些问题,如计算时间、模型可解释性等,这些问题需要我们在后续的研究中得以解决。

对于性能问题,我们需要利用GPU进行加速处理;而对于可解释性问题,则可以通过图像化的方式呈现神经网络的决策过程,从而实现可解释性。

总之,在当前的网络安全威胁日益增加的背景下,深度学习在恶意代码检测领域具有广泛应用前景和深远的意义。

但也需要我们不断优化和改进深度学习模型,以适应更复杂、更隐蔽、更狡猾的网络攻击和威胁。

基于网络流量日志的分析与安全审计

基于网络流量日志的分析与安全审计

基于网络流量日志的分析与安全审计网络流量日志是网络安全监控和事件响应的重要数据源之一。

通过对网络流量日志进行分析和审计,网络管理员可以检测网络攻击、异常行为和安全漏洞,并对网络安全策略进行优化和改进。

本文将介绍基于网络流量日志的分析与安全审计的基本原理和方法。

一、网络流量日志的类型网络流量日志记录网络中传输的各种数据包信息,包括源IP地址、目标IP地址、端口号、协议类型、数据包大小等。

根据记录的内容和目的,网络流量日志可以分为以下五种类型:1. 访问日志(Access Log):记录用户对网络服务的访问情况,包括访问时间、访问者IP地址、被访问的URL等。

2. 审计日志(Audit Log):记录系统和应用程序的操作和事件情况,包括登录和注销、权限变更、文件访问和修改等。

3. 安全日志(Security Log):记录与网络安全相关的事件和信息,包括入侵检测、拒绝访问、病毒感染、漏洞利用等。

4. 流量日志(Traffic Log):记录网络通信的各种信息,包括数据包的源地址、目标地址、端口号、协议类型、数据包大小等。

5. 连接日志(Connection Log):记录网络连接的建立和断开情况,包括连接的时间、源IP地址、目标IP地址、端口号等。

二、网络流量日志的分析与安全审计方法基于网络流量日志的分析与安全审计可以帮助网络管理员及时发现网络攻击、异常行为和安全漏洞,提高网络安全防护水平。

以下是一些常用的流量日志分析和安全审计方法:1. 端口扫描检测通过检测网络中的端口扫描活动,可以发现潜在的入侵行为和黑客攻击。

常用的端口扫描检测方法包括端口流量分析、TCP SYN Flood攻击检测、UDP Flood攻击检测等。

2. 巨型文件传输检测通过分析网络流量日志,检测巨型文件的传输可以发现潜在的数据泄漏和恶意数据传输行为。

常用的巨型文件传输检测方法包括文件流量分析、文件传输速率检测等。

3. 恶意代码检测通过分析网络流量日志,检测恶意代码的传播可以发现潜在的病毒感染和恶意攻击。

恶意代码检测研究综述

恶意代码检测研究综述

三、总结与展望
因此,未来的研究应继续探索和创新恶意代码检测技术,提高其准确率、可 靠性和自适应性,以应对日益复杂多变的网络安全威胁。
谢谢观看
三、恶意代码检测技术未来发展趋势
2、结合深度学习的检测方法:现有的机器学习模型在处理未知恶意代码和变 种时存在一定的局限性。未来,可以尝试结合深度学习的方法来进行恶意代码检 测,例如卷积神经网络(CNN)、循环神经网络(RNN)等,从而更好地处理复杂 的恶意行为和模式识别问题。
三、恶意代码检测技术未来发展趋势
三、恶意代码检测技术未来发展 趋势
三、恶意代码检测技术未来发展趋势
随着网络安全形势的不断变化和信息技术的不断发展,恶意代码检测技术将 面临更多的挑战和机遇。未来,恶意代码检测技术将朝着以下几个方向发展:
三、恶意代码检测技术未来发展趋势
1、结合多层次特征的检测方法:现有的恶意代码检测技术往往只程序本身或 系统行为的一个方面,难以全面准确地刻画恶意行为。未来,需要结合多层次特 征来进行恶意代码检测,例如程序的控制流图、数据流图、系统调用等信息,以 及程序运行时的内存占用、CPU使用率等系统指标,从而提高检测准确率和可靠 性。
三、总结与展望
恶意代码检测技术是网络安全领域的重要研究方向,未来的发展将更加智能 化、自动化和高效化。然而,现有的恶意代码检测技术仍存在一定的局限性,如 特征码检测需要不断更新特征库,基于行为的检测容易受到混淆和伪装等攻击手 段的欺骗,基于机器学习的检测需要大量的已知样本进行训练且可能存在过拟合 和泛化能力不足的问题。
2、基于行为的检测
2、基于行为的检测
基于行为的检测方法通过观察和分析程序的运行行为来判断其是否为恶意代 码。该方法不需要已知的恶意代码样本,可以实时监测程序的运行过程并发现潜 在的恶意行为。但基于行为的检测方法容易受到混淆和伪装等攻击手段的欺骗。

基于异常流量监测的智能手机恶意软件检测研究


的恶意软 件 群 ,因此 特征库 数据 更小 ,效 率更高 。
②代 码分析 。Th ma Bisn o s a i g等提 出 了一种
通过 观 察 发现 :若智 能 手机 中不 存 在异 常 流量
行 为 ,其 流量 消耗 可 以被拟 合 为 韦布 尔分 布 。其概 率 分布 函数 如 () 1 式所 示 。
酷 狗音 乐盒 ,墨迹 天气 等常 见应用 。
在规 定 时 间 内 ,多名 用 户按 照 各 自使 用 习惯 使 用上述 配 置手 机 ,系统 实 时监 测并 统计 出每 分钟 流
计 算 性 能 极 其 有 限 的智 能 手 机 的可 行 性 有 待商 榷 。
吴俊 军 等人 提 出了一 种基 于 隐马 尔科 夫模 型 的启 发 式行 为 恶意 软 件 监 测技 术 ,但 其 在启 发 式分 析 方 法 等方面 仍 有提 高 空 间 ,而 系统 学 习的 恶意 软件 样 本不 足时 ,该 方法 判别准 确性 也将下 降 。
方 法 是 目前 主 流 的 研 究 方 向 ,具 体 有 以 下 几 种 方
法:
l l 童 l
麓, 一一 = …… ~ …一 j ~ … ~一
① 系统 调用 监听 。S u iu h af Da 等使用 AP 监 i I 听 技术 实时 监听应 用程 序 AP 调 用情况 ,并 和恶意 I 行为 特 征库 比对 ,此 类 特征 库 描述 包 括变 种 在 内
m 小 一
沙箱 检 测 方法 ,该方 法 由两 部 分 组成 ,静 态分 析
在 应 用程 序 安 装 到 实体 设 备 前 就 可 以进 行 粗 检验 ,
动 态 分析 在 沙箱 中执 行 应用 ,沙 箱和 检 测算 法可 以

计算机网络安全教程课后答案及考试试卷

一、名词解释黑客(P103)木马(P163)网络后门和网络隐身(P6)恶意代码(P185)VNP(p307)防火墙(P275)入侵检测系统(P288) DDOS(p146)ICMP协议:ICMP是(Internet Control Message Protocol)Internet控制报文协议。

它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。

二、问答题1.TCP和UDP的不同。

(p42)TCP---传输控制协议,提供的是面向连接、可靠的字节流服务。

当客户和服务器彼此交换数据前,必须先在双方之间建立一个TCP连接,之后才能传输数据。

TCP提供超时重发,丢弃重复数据,检验数据,流量控制等功能,保证数据能从一端传到另一端。

开销大,传输速度慢。

UDP---用户数据报协议,是一个简单的面向数据报的运输层协议。

UDP不提供可靠性,它只是把应用程序传给IP层的数据报发送出去,但是并不能保证它们能到达目的地。

由于UDP在传输数据报前不用在客户和服务器之间建立一个连接,且没有超时重发等机制,故而传输速度很快。

2.计算机病毒的特征:可执行性。

计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。

传染性。

计算机病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。

破坏性。

所有的计算机病毒都是一种可执行程序,会降低计算机系统的工作效率,占用系统资源。

潜伏性。

计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。

隐蔽性。

病毒一般是具有很高编程技巧,短小精悍的程序。

通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,与正常程序是不容易区别开来的。

针对性。

计算机病毒一般针对于特定的操作系统。

基于网络流量分析的威胁检测方法研究

基于网络流量分析的威胁检测方法研究近年来,随着网络技术的迅猛发展,越来越多的人逐渐依赖互联网进行日常工作和生活。

在这个信息化的时代里,网络安全问题愈加突显。

黑客攻击、病毒、恶意软件等网络威胁层出不穷,给企业和个人的信息安全带来了严重的威胁。

因此,寻找一种可以快速有效地检测网络威胁的方法成为了当下网络安全领域的热门议题。

本文将介绍一种基于网络流量分析的威胁检测方法,希望能对广大网络安全从业者有所帮助。

一、网络流量分析的意义网络流量指的是所有进入或离开网络的数据流量。

通过对网络流量进行深入分析,可以快速检测出网络中的可疑活动,提高网络安全性。

网络流量分析是一种非常有用的手段,可以用于以下方面:1、检测端口扫描、漏洞扫描等攻击行为。

2、发现病毒、恶意软件等恶意代码的传输。

3、检测拒绝服务攻击等流量攻击行为。

4、定位网络故障,提高网络的性能和可用性。

5、用于网络安全事件的调查、取证等。

二、网络流量分析的工具进行网络流量分析需要使用特定的工具,以下是一些常用的网络嗅探器:1、Wireshark:开源的网络嗅探器,可以捕获网络数据包并对其进行分析。

2、tcpdump:运行在UNIX/linux系统上的命令行工具,可以捕获、解析网络数据包。

3、Microsoft Network Monitor:微软推出的网络嗅探器,可以实时捕获、分析网络流量。

4、Snort:开源的网络入侵检测系统,可以捕获网络数据流并进行检测。

以上工具都可以对网络流量进行捕获、分析和过滤,选择合适的工具需要根据实际情况具体决定。

三、基于网络流量分析的威胁检测方法基于网络流量分析的威胁检测方法主要包括以下几个步骤:1、数据捕获:使用网络嗅探工具捕获网络数据包,尽可能多地获取网络流量数据。

2、数据预处理:由于网络流量数据量庞大,需要进行筛选和处理,去除无关的数据,保留有用的信息。

3、特征提取:提取网络流量中的各种特征,例如协议、源地址、目的地址、端口、数据大小等,用于后续的分析。

基于深度学习的恶意代码检测与防御研究

基于深度学习的恶意代码检测与防御研究恶意代码在当今信息安全领域中日益威胁,给用户和组织的资产造成了巨大的损失。

传统的恶意代码检测与防御方法通常基于特征提取和规则匹配,但由于恶意代码的日趋复杂和隐蔽性增加,这些传统方法逐渐变得无法适应当前的环境。

近年来,基于深度学习的恶意代码检测与防御技术逐渐成为研究的热点,并在实践中取得了显著的成果。

本文将从深度学习的基本原理、恶意代码特征提取、网络安全日志分析、恶意代码检测与防御等方面对基于深度学习的恶意代码检测与防御进行研究。

一、深度学习技术概述深度学习是一种基于人工神经网络的机器学习技术,其核心是通过多层次的非线性变换和特征抽取,实现对数据的高效表征和学习。

深度学习的主要优势在于,其可以自动地从原始数据中学习出一系列逐层抽象和表示,无需人为手动设计特征。

深度学习的基本组成包括输入层、隐藏层和输出层,通过前向传播和反向传播算法,实现对模型参数的训练和优化。

二、恶意代码特征提取深度学习可以自动地从大量的样本数据中学习到有效的特征表示。

对于恶意代码检测来说,有效的特征表示可以帮助区分正常代码和恶意代码,提高检测的准确性和效率。

传统的恶意代码特征包括静态特征和动态特征,如API调用序列、控制流图、操作码等。

基于深度学习的恶意代码特征提取方法借助自编码器、卷积神经网络等技术,可以有效地从原始代码中提取出高维度、有判别性的特征表示,提高恶意代码检测的能力。

三、网络安全日志分析网络安全日志是对网络流量、主机行为等进行记录和存储的重要数据源。

通过对网络安全日志的分析和挖掘,可以帮助发现潜在的恶意行为和攻击。

基于深度学习的网络安全日志分析方法通常包括日志预处理、特征提取和异常检测等步骤。

深度学习可以自动地从海量的网络安全日志数据中学习到正常和异常行为的模式,帮助发现异常行为和恶意攻击。

四、恶意代码检测与防御基于深度学习的恶意代码检测与防御技术主要分为两类:模型驱动方法和行为驱动方法。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Malicious Code Detection Model Based on Traffic Statistical Fingerprinting
MIAO Fu, WANG Zhen-xing, ZHANG Lian-cheng
(Institute of Information Engineering, PLA Information Engineering University, Zhengzhou 450002, China) 【 Abstract】In order to detect malicious codes which utilize encryption technology and tunnels encapsulation, a new malicious code detection model based on traffic statistical fingerprinting is presented. The packet -level features and flow-level features are extracted from each flow in a training set. The flow-level features are filtered by the Principal Component Analysis. The detection model is constructed after malicious code’ s traffic statistical fingerprinting is got from these features’ probability density functions. Experimental results indicate that this model can effectively detect encrypted or tunneled malicious codes. 【 Key words 】 malicious code detection; tunnel; traffic statistical fingerprinting; feature selection; Principal Component Analysis(PCA) DOI: 10.3969/j.issn.1000-3428.2011.18.043
Sy , 分 别 如 式 (1) 、 式 (2) 所 示 :
m i nr (L, ) i=1
常值。 Th : 表 示 判 断 流 F 为 w 产 生 的 阈 值 。 w 通 信 流 量 中 前 L 个 包 PDF1 x PDF2 x L PDFL x 组 成 的 向 量 PDFL 。 为 消 除 T 中 噪 声 带 来 的 影 响 , 对 PDFL 和 PDF
S= lg P(Y | w) m i nr (L, ) + lg ∏ P( xi | w)
i =1 min r (L, )
min(r ,L )
(3)
阈 值 Th 的 确 定 方 法 是 : 计 算 T 中 所 有 F 对 应 w 的 S , 确 保 99 % 以 上 的 S ≤ Th 。 基于流量统计指纹的恶意代码检测算法 设 一 个 未 知 通 信 流 为 F ,流 F 由 r 个 包 组 成 。 R 表 示 正 常 网 络 应 用 集 , 如 HTTP 、 FTP 。 基 于 Φ 的 恶 意 代 码 检 测 算 法具体如下: 2.3
{
}
i ≤ p) 表示其中一种流层特征。
作者简介:苗 博士研究生 收稿日期:2011-02-18 E-mail: ufoaim@ 甫(1981 -) ,男,硕士研究生,主研方向:指纹检
测,网络与信息安全;王振兴,教授、博士、博士生导师;张连成,
132

PDFi x : 表 示 由 w 产生的 F 中 xi 的 概 率 密 度 函 数 。 PDF y : 表 示 由 w 产生的 F 中 Y 的 概 率 密 度 函 数 。
s :表示数据包大小。
统计指纹模型及检测算法
ቤተ መጻሕፍቲ ባይዱ
∆t : 表 示 数 据 包 到 达 时 间 间 隔 。
X : 表 示 按 F 建 立 连 接 后 数 据 包 到 达 顺 序 提 取的向量 ,
s X = 1 lg[ ∆t1] s2 L sr ( r > 1) lg[ ∆t 2] L lg[∆ tr ]
其 中 ,r 为 数 据 包 序 号 , 从 连 接 建 立 后 的 数 据 包 开 始 计 数 ;X 是流量中包层特征。 xi : 表 示 X 中 的 一 个 记 录 , xi = {s i ,lg[ ∆ti ]}(i ≤ r ) 。
Y : 表 示 F 中 流 层 特 征 集 合 , Y = f1 , f 2 ,L, f p , fi (1 ≤




2011 年 9 月 20 日
S : 表 示 一 个 流 F 依 据 w 的 PDFi x 和 PDF y 计 算 出 的 异
过滤,去除异常值的噪声干扰,获得 M y 。 2.2.3 阈值 Th 的 确 定 建 立 M x 、 M y 后 ,计 算 F 对 应 M x 、 M y 的 异 常 值 Sx 和
0 时 Sx 趋 向 无 穷 大 , 设 ε 为 足 够 小 的 正 数 , 令 P( xi | w) =
max(ε ,P( xi | w)) ,确 保 ε ≤ P( xi | w )≤ 1;与 P( xi | w) 相 同 ,设
置 P(Y | w ) = max(ε ,P (Y | w)) , 确 保 ε ≤ P( xi | w )≤ 1。 由 于 M x 、 M y 所 用 2 层 特 征 独 立,因 此 可 令 S = Sx + Sy , 由 式 (1) 、 式 (2) 可得 :
由 于 T C P 流 在 网 络 中 占 据 大 部 分 流 量 [ 4 ] ,因 此本 文 主 要 对 采 用 TCP 进 行 连 接 的 恶 意 代 码 建 立 统 计 指 纹 模 型 。 模型定义 定 义 以 下 符 号: w :表示一种恶意代码。 T :表示 w 通信流量的训练集。 F :表 示 网 络 通 信 中 的 双 向 流。F c l i e n t 表 示 客 户 端 到 服 务 端 方 向 , F s e r v e r 表 示 服 务 器 端 到 客 户 端 方 向 , 文 献 [6] 证 明 采 用 Fclient 可以获得较好检测结果 ,基于此结论,本文也采用 F c l i e n t , 下 面 提 到 F , 其 方 向 均 默 认 为 Fclient 。 2.1
苗 甫,王振兴,张连成
( 解放军信息工程大学信息工程学院,郑州 450002) 摘 要:采用加密和隧道技术的恶意代码难以检测。为此,提出基于流量统计指纹的恶意代码检测模型。提取恶意代码流量中的包层特征 和流层特征,对高维流层特征采用主成分分析进行降维,利用两类特征的概率密度函数建立恶意代码流量统计指纹,使用该指纹检测网络 中恶意代码通信流量。实验结果表明,该模型能有效检测采用加密和隧道技术的恶意代码。 关键词:恶意代码检测;隧道;流量统计指纹;特征选择;主成分分析
第 37 卷 V ol.37
第 18 期 No.18
计 算 机 工 程 Computer Engineering
文章编号:1000—3428(2011)18—0131— 03 文献标识码:A
2011 年 9 月 September 2011
中图分类号: TP309
・安全技术・
基于流量统计指纹的恶意代码检测模型
3 ' ) ? ?r ; x
(1) 提 取 未 知 F 建 立 连 接 后 前 L 个 包 大 小 s 和 到 达 间 隔 时 间 ∆t , 若 r < L , 则 仅 提 取 前 r 个 包 。 (2) 依 据 式 (1) 计 算 得 到 Sx 。 (3) 提 取 F 流 层 特 征 Y , 利 用 P C A 变 换 后 获 得 新 特 征
流量统计指纹模型的建立 Φ 由 三 部 分 组 成, 其 中 , Th 由 M x 、 M y 共 同 决 定 。 由 于 需 对 2 层 特 征 分 析 ,为 简 化 模 型 计 算 ,假 设 M x 、 M y 相互 独 立 ,分 别 建 立 M x 、 M y ,而 后 再 由 M x 、 M y 获 得 Th 。实 验 测 试 结 果 证 明 本 文 假 设 具 有 一 定 的 合 理 性。 2.2 2.2.1 M x 的 建 立 在 建 立 M x 的 过 程 中 , 数 据 包 大 小 s 与 到 达 时 间 间 隔 ∆t 的 范 围 采 用 与 文 献 [6] 相 同 的 设 置 , s 的 范 围 为 40 Byte~ 1 500 Byte , ∆t 的 范 围 为 10 - 7 s ~10 - 3 s , 得 到 一 个 1 461×1 001 的 矩 阵 , 计 算 T 中 xi 的 PDFi x 和 Fclient 前 L 个 包 的 PDFL x , 如 图 1 所 示。
lg[ ∆ t
3' )
3' ) )O R Z )O R Z )O R Z
1
]
H \W V%
集 Y' 。 (4) 依 据 式 (2) 计 算 得 到 Sy 。 (5) 依 据 式 (3) 计 算 得 出 F 对 应 w 的 S 。 (6) 对 结 果 进 行 判 断 , 若 S ≤ Th , 则 判 定 F 由 w 产 生 , 否 则 , 判 定 F 由 R 产生 。
x x y
Sx =
lg ∏ P( xi | w) min(r ,L)
(1) (2)
进 行 高 斯 过 滤 ,获 得 Mx 和 M y ,则 w 的 流 量 统 计 指 纹 为
Φ = M x , M y ,Th 。