38、快速流量服务网络检测与在线决策规则学习算法

快速流量服务网络检测与在线决策规则学习算法

在网络安全领域，快速流量服务网络（FFSNs）的检测以及基于数据的分类决策规则构建是两个重要的研究方向。下面将详细介绍相关的技术和实验。

快速流量服务网络检测

特征定义

• 不同IP地址数量（Num address） ：等于所有DNS查询中返回的唯一A记录的数量。在快速流量服务网络中，母船会定期更新这些资源记录，以加入新的受感染机器并移除故障机器。与通常只返回1到3条A记录的良性域名相比，快速流量域名通常会返回更多的A记录。
• 生存时间（TTL） ：指定响应保持有效的秒数。大多数流量代理是终端用户机器，它们会频繁上线和下线。为了保证通过快速流量网络提供的服务的高可用性，活动流量代理集必须在其中一个代理状态改变时尽快更新。因此，DNS返回的答案必须快速更改，这就是大多数FFSNs的TTL较低的原因。计算公式为：
  [TTL = \frac{\sum_{1\leq i\leq n_{SINGLE}} ttl_i}{n_{SINGLE}}]
  其中，(ttl_i)是第(i)条A记录的TTL值，(n_{SINGLE})是单次查询返回的IP地址数量。
• 流量速率（Rate flux） ：由于建立FFSN存在限制，攻击者无法直接控制运行FFSN的机器。因此，攻击者必须掌握大量受感染的机器，以确保当一些流量代理停止工作时，其他代理仍能正常运行以提供非法服务。定义流量速率为：
  [rate\ flux = \frac{n_{ALL}}{n_{SINGLE}}]