惡意流量檢測論文分析 惡意流量和正常流量的區(qū)別是什么��?
作者:admin
來源:m.m1jn7.cn
時間:2024-10-27 20:06:09
惡意流量和正常流量的區(qū)別是什么����?
DNS解析出的IP數(shù)量 :大多數(shù)惡意流量和正常流量只返回一個IP地址��;其它情況���,大部分正常流量返回2-8個IP地址����,惡意流量返回4或者11個IP地址�。 TTL值 :正常流量的TTL值一般為60、300��、20���、30�;而惡意流量多為300,大約22%的DNS響應匯總TTL為100��,而這在正常流量中很罕見��。
加密惡意流量如何檢測�?
為了確保通信安全和隱私以及應對各種竊聽和中間人攻擊,HTTPS逐漸全面普及��,越來越多的網(wǎng)絡流量也被加密�,然而,攻擊者也可以通過這種方式來隱藏自己的信息和行蹤����,通過給惡意軟件穿上一層名為TLS/SSL的馬甲來將其偽裝成正常流量進行攻擊感染,逃避檢測�����。 近年來�,針對加密惡意流量的檢測一直是網(wǎng)絡安全領域關注的焦點,目前主流的攻擊檢測手段有兩種:解密后檢測和不解密檢測��。
惡意軟件域流量是什么?
惡意軟件域流量:如我們在實驗中觀察到的那樣�,C&C服務器的流量在大多數(shù)時間都是平滑且較小的,但在攻擊者將數(shù)據(jù)從受感染主機上傳到C&C服務器時達到峰值����。 目的:識別用于定位C&C服務器的域名��,判斷IP是否是的受害者���。
網(wǎng)關設備如何檢測惡意流量�����?
業(yè)界網(wǎng)關設備主要使用解密流量的方法檢測攻擊行為�,但這種解方法會消耗大量的資源�����,成本很高���,同時也違反了加密的初衷�����,解密過程會受到隱私保護相關法律法規(guī)的嚴格限制��。 出于保護用戶隱私的考量���,不解密進行流量檢測的方法逐漸被業(yè)界研究人員關注起來���,這種方案通常僅被允許觀測網(wǎng)絡出口的加密通信流量(443端口),但無需對其進行解密�����,通過利用已經(jīng)掌握的數(shù)據(jù)資源��,對加密流量進行判別�。 加密惡意流量特征可以通過解析HTTPS數(shù)據(jù)包頭部信息來獲取,而包含這些信息的TLS握手協(xié)議在網(wǎng)絡中通過明文傳輸��,因此可以使用wireshark等工具捕獲網(wǎng)絡數(shù)據(jù)包生成pcap文件�,再進行進一步的特征提取。 需要關注的加密惡意流量特征可分為以下3類: 數(shù)據(jù)元統(tǒng)計特征:數(shù)據(jù)包大小���、到達時間序列和字節(jié)分布��。
