論文查重服務(wù)12年
211、985指定查重網(wǎng)
-
全國咨詢電話:0571-28284626
DNS解析出的IP數(shù)量 :大多數(shù)惡意流量和正常流量只返回一個IP地址;其它情況,大部分正常流量返回2-8個IP地址,惡意流量返回4或者11個IP地址。 TTL值 :正常流量的TTL值一般為60、300、20、30;而惡意流量多為300,大約22%的DNS響應(yīng)匯總TTL為100,而這在正常流量中很罕見。
為了確保通信安全和隱私以及應(yīng)對各種竊聽和中間人攻擊,HTTPS逐漸全面普及,越來越多的網(wǎng)絡(luò)流量也被加密,然而,攻擊者也可以通過這種方式來隱藏自己的信息和行蹤,通過給惡意軟件穿上一層名為TLS/SSL的馬甲來將其偽裝成正常流量進(jìn)行攻擊感染,逃避檢測。 近年來,針對加密惡意流量的檢測一直是網(wǎng)絡(luò)安全領(lǐng)域關(guān)注的焦點(diǎn),目前主流的攻擊檢測手段有兩種:解密后檢測和不解密檢測。
惡意軟件域流量:如我們在實(shí)驗(yàn)中觀察到的那樣,C&C服務(wù)器的流量在大多數(shù)時間都是平滑且較小的,但在攻擊者將數(shù)據(jù)從受感染主機(jī)上傳到C&C服務(wù)器時達(dá)到峰值。 目的:識別用于定位C&C服務(wù)器的域名,判斷IP是否是的受害者。
業(yè)界網(wǎng)關(guān)設(shè)備主要使用解密流量的方法檢測攻擊行為,但這種解方法會消耗大量的資源,成本很高,同時也違反了加密的初衷,解密過程會受到隱私保護(hù)相關(guān)法律法規(guī)的嚴(yán)格限制。 出于保護(hù)用戶隱私的考量,不解密進(jìn)行流量檢測的方法逐漸被業(yè)界研究人員關(guān)注起來,這種方案通常僅被允許觀測網(wǎng)絡(luò)出口的加密通信流量(443端口),但無需對其進(jìn)行解密,通過利用已經(jīng)掌握的數(shù)據(jù)資源,對加密流量進(jìn)行判別。 加密惡意流量特征可以通過解析HTTPS數(shù)據(jù)包頭部信息來獲取,而包含這些信息的TLS握手協(xié)議在網(wǎng)絡(luò)中通過明文傳輸,因此可以使用wireshark等工具捕獲網(wǎng)絡(luò)數(shù)據(jù)包生成pcap文件,再進(jìn)行進(jìn)一步的特征提取。 需要關(guān)注的加密惡意流量特征可分為以下3類: 數(shù)據(jù)元統(tǒng)計特征:數(shù)據(jù)包大小、到達(dá)時間序列和字節(jié)分布。
