基于图论分析恶意代码传播过程
发布时间:2021-10-07 10:17
本文基于恶意代码的感染行为构建传播过程图,并基于图论对传播过程图进行分析,从而发现恶意代码的传播特性、关键节点等相关信息,为恶意代码的应急处置、加固网络空间安全提供依据。
【文章来源】:电子技术与软件工程. 2020,(10)
【文章页数】:2 页
【部分图文】:
环路修剪
2.3.1 预处理如果两条边有相同的源节点和目的节点,而作为附加属性的时间不同,我们可称其为重复边,对应的实际情况包括恶意代码在沦陷主机上定期不间断的扫描攻击周边节点或该节点被重复感染等。由于每条有向边代表着一次尝试的扫描感染行为,所以我们仅需保留最有可能成功的一次即可。而感染成功的网络特征是目标主机也开始对外发送感染行为,所以我们需要保留的就是距离目标主机第一次向外发送攻击行为之前、时间最近的一次受到攻击感染的行为。所以,我们对于重复边的处理方法是:
通过对重复边的裁剪,我们也可以有效去除图中的环路。如图3所示,假设我们自v0进行裁剪后,剩余的边e0、e1、el,必然存在t(e0)<t(e1)<t(el),且由于裁剪后仅剩一条边,此时计算Δt(v0)的值即为t(e0)。此时存在两种情况:图3:环路修剪
【参考文献】:
期刊论文
[1]基于有向图分析的蠕虫早期检测方法[J]. 高晓飞,申普兵,王玉林,李泼. 计算机安全. 2009(04)
博士论文
[1]基于扩展有向图的复合攻击模型及检测方法研究[D]. 张爱芳.华中科技大学 2008
本文编号:3421857
【文章来源】:电子技术与软件工程. 2020,(10)
【文章页数】:2 页
【部分图文】:
环路修剪
2.3.1 预处理如果两条边有相同的源节点和目的节点,而作为附加属性的时间不同,我们可称其为重复边,对应的实际情况包括恶意代码在沦陷主机上定期不间断的扫描攻击周边节点或该节点被重复感染等。由于每条有向边代表着一次尝试的扫描感染行为,所以我们仅需保留最有可能成功的一次即可。而感染成功的网络特征是目标主机也开始对外发送感染行为,所以我们需要保留的就是距离目标主机第一次向外发送攻击行为之前、时间最近的一次受到攻击感染的行为。所以,我们对于重复边的处理方法是:
通过对重复边的裁剪,我们也可以有效去除图中的环路。如图3所示,假设我们自v0进行裁剪后,剩余的边e0、e1、el,必然存在t(e0)<t(e1)<t(el),且由于裁剪后仅剩一条边,此时计算Δt(v0)的值即为t(e0)。此时存在两种情况:图3:环路修剪
【参考文献】:
期刊论文
[1]基于有向图分析的蠕虫早期检测方法[J]. 高晓飞,申普兵,王玉林,李泼. 计算机安全. 2009(04)
博士论文
[1]基于扩展有向图的复合攻击模型及检测方法研究[D]. 张爱芳.华中科技大学 2008
本文编号:3421857
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3421857.html
