DNS解析出的IP數(shù)量 :大多數(shù)惡意流量和正常流量只返回一個IP地址;其它情況,大部分正常流量返回2-8個IP地址,惡意流量返回4或者11個IP地址。 TTL值 :正常流量的TTL值一般為60、300、20、30;而惡意流量多為300,大約22%的DNS響應匯總TTL為100,而這在正常流量中很罕見。
為了確保通信安全和隱私以及應對各種竊聽和中間人攻擊,HTTPS逐漸全面普及,越來越多的網(wǎng)絡流量也被加密,然而,攻擊者也可以通過這種方式來隱藏自己的信息和行蹤,通過給惡意軟件穿上一層名為TLS/SSL的馬甲來將其偽裝成正常流量進行攻擊感染,逃避檢測。 近年來,針對加密惡意流量的檢測一直是網(wǎng)絡安全領域關注的焦點,目前主流的攻擊檢測手段有兩種:解密后檢測和不解密檢測。
惡意軟件域流量:如我們在實驗中觀察到的那樣,C&C服務器的流量在大多數(shù)時間都是平滑且較小的,但在攻擊者將數(shù)據(jù)從受感染主機上傳到C&C服務器時達到峰值。 目的:識別用于定位C&C服務器的域名,判斷IP是否是的受害者。
業(yè)界網(wǎng)關設備主要使用解密流量的方法檢測攻擊行為,但這種解方法會消耗大量的資源,成本很高,同時也違反了加密的初衷,解密過程會受到隱私保護相關法律法規(guī)的嚴格限制。 出于保護用戶隱私的考量,不解密進行流量檢測的方法逐漸被業(yè)界研究人員關注起來,這種方案通常僅被允許觀測網(wǎng)絡出口的加密通信流量(443端口),但無需對其進行解密,通過利用已經(jīng)掌握的數(shù)據(jù)資源,對加密流量進行判別。 加密惡意流量特征可以通過解析HTTPS數(shù)據(jù)包頭部信息來獲取,而包含這些信息的TLS握手協(xié)議在網(wǎng)絡中通過明文傳輸,因此可以使用wireshark等工具捕獲網(wǎng)絡數(shù)據(jù)包生成pcap文件,再進行進一步的特征提取。 需要關注的加密惡意流量特征可分為以下3類: 數(shù)據(jù)元統(tǒng)計特征:數(shù)據(jù)包大小、到達時間序列和字節(jié)分布。