超级会员免费看
僵尸网络检测与故障树构建方法
1. 僵尸网络检测相关探讨
1.1 僵尸网络流量区分假设验证
在僵尸网络检测中,最初提出了三个假设,而实验结果表明这些假设是成立的。通过使用持久性指标,能够将僵尸网络的命令与控制(C&C)通信和非 C&C 流量区分开来。僵尸网络流量遵循固有的命令 - 响应模式,这使得它能够与正常合法流量区分开,分类器成功地实现了对正常流量和僵尸网络流量的区分。此外,不同僵尸网络家族的 C&C 风格特征仍存在内在相似性,分类器可以成功区分同一僵尸网络家族多个变体的不同 C&C 风格,以及不同僵尸家族的僵尸的 C&C 风格。
1.2 IP 基方法的局限性
基于 IP 的僵尸网络检测方法虽然可能产生不错的结果,但存在风险。一方面,可能会错过与恶意 IP 地址的连接;另一方面,在存在快速流量 DNS 技术的情况下,无法捕捉 C&C 对话的完整行为。
1.3 分类器性能比较与误报率考量
随机森林分类器在准确性和误报率方面表现最佳。对于在线入侵检测系统(IDS),当检测到可疑对话时,可以提示用户是否阻止连接,或者自动阻止连接。高误报率会频繁提示用户,引起用户烦恼,甚至可能阻止合法连接,因此最小化误报率至关重要。
1.4 僵尸网络对话检测的时间特性
有时,僵尸网络对话在首次出现在观察窗口时可能未被检测到,但很可能在后续窗口中被检测到。随着时间推移,单个持久对话会生成多个可分类实例,即使在第一个观察窗口未检测到僵尸感染,也可能在未来窗口中检测到。而且,许多僵尸样本会发起多个持久对话,只要发现其中一个持久对话,就能成功检测
订阅专栏 解锁全文
扫一扫
1569
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
