在大规模网络中挖掘恶意软件分布
发布时间:2021-02-26 00:45
恶意软件往往能够逃避传统使用黑名单标记或关注终端恶意代码检测的方法。本文提出一种在大规模网络中检测恶意软件分布的方法,聚焦于恶意软件基础设施之间的网络关系,在大规模网络中区分正常和恶意流量,用以发现传统检测方法无法检测到的恶意软件。
【文章来源】:网络安全和信息化. 2020,(07)
【文章页数】:6 页
【部分图文】:
方案整体设计
相同URI或文件名file。开始图中只有一个URL节点,然后添加URL到各节点的边,当2条记录存在上述关系时,合并2条记录。如此迭代,直到图无法增长或达到预先设定的大小(比如800个节点)。一旦恶意软件基础设施网络分布图生成,安全分析人员可以直观地看出图中的哪个URL节点或服务端节点(包括域名、IP)是恶意的。这基于简单的规则:如果节点越孤立,则可能性越低,否则,属于恶意的概率越大。当然,为了量化这一概率,需要先对边赋值:
生成图统计:图3展现的一个真实恶意软件基础设施网络分布图,包含14条检测记录,由于部分节点相同,因此节点数小于14乘以字段数8,实际共79个节点。实验中,训练集、测试集中分别生成了30和66幅恶意软件基础设施网络分布图,占比最多的为节点数小于50的生成图。节点数小于50的生成图网络关系比较简单甚至无相关性,因此方案的误报也集中在这一区间。结语
本文编号:3051822
【文章来源】:网络安全和信息化. 2020,(07)
【文章页数】:6 页
【部分图文】:
方案整体设计
相同URI或文件名file。开始图中只有一个URL节点,然后添加URL到各节点的边,当2条记录存在上述关系时,合并2条记录。如此迭代,直到图无法增长或达到预先设定的大小(比如800个节点)。一旦恶意软件基础设施网络分布图生成,安全分析人员可以直观地看出图中的哪个URL节点或服务端节点(包括域名、IP)是恶意的。这基于简单的规则:如果节点越孤立,则可能性越低,否则,属于恶意的概率越大。当然,为了量化这一概率,需要先对边赋值:
生成图统计:图3展现的一个真实恶意软件基础设施网络分布图,包含14条检测记录,由于部分节点相同,因此节点数小于14乘以字段数8,实际共79个节点。实验中,训练集、测试集中分别生成了30和66幅恶意软件基础设施网络分布图,占比最多的为节点数小于50的生成图。节点数小于50的生成图网络关系比较简单甚至无相关性,因此方案的误报也集中在这一区间。结语
本文编号:3051822
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3051822.html
