超级会员免费看
快速流量服务网络检测与在线决策规则学习算法
在网络安全领域,快速流量服务网络(FFSNs)的检测以及基于数据的分类决策规则构建是两个重要的研究方向。下面将详细介绍相关的技术和实验。
快速流量服务网络检测
特征定义
- 不同IP地址数量(Num address) :等于所有DNS查询中返回的唯一A记录的数量。在快速流量服务网络中,母船会定期更新这些资源记录,以加入新的受感染机器并移除故障机器。与通常只返回1到3条A记录的良性域名相比,快速流量域名通常会返回更多的A记录。
- 生存时间(TTL) :指定响应保持有效的秒数。大多数流量代理是终端用户机器,它们会频繁上线和下线。为了保证通过快速流量网络提供的服务的高可用性,活动流量代理集必须在其中一个代理状态改变时尽快更新。因此,DNS返回的答案必须快速更改,这就是大多数FFSNs的TTL较低的原因。计算公式为:
[TTL = \frac{\sum_{1\leq i\leq n_{SINGLE}} ttl_i}{n_{SINGLE}}]
其中,(ttl_i)是第(i)条A记录的TTL值,(n_{SINGLE})是单次查询返回的IP地址数量。 - 流量速率(Rate flux) :由于建立FFSN存在限制,攻击者无法直接控制运行FFSN的机器。因此,攻击者必须掌握大量受感染的机器,以确保当一些流量代理停止工作时,其他代理仍能正常运行以提供非法服务。定义流量速率为:
[rate\ flux = \frac{n_{ALL}}{n_{SINGLE}}]
订阅专栏 解锁全文
扫一扫
2383
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
