56、网络安全技术新进展：检测与规避的博弈

网络安全技术新进展：检测与规避的博弈

1. 大规模通信网络中僵尸网络行为检测

在大规模通信网络里，检测僵尸网络行为是极具挑战性的难题。一方面，僵尸网络常隐匿于现有应用中，流量小且与正常流量相似；另一方面，因流量内容加密和不可靠的目的端口标记方法，将网络流量识别到不同应用变得愈发困难。对大规模WiFi ISP网络半年的观察显示，即便采用流量内容检查方法，仍约有40%的网络流量无法归类到特定应用。

当前检测僵尸网络的方法主要有蜜罐、被动异常分析和流量应用分类。异常分析虽能独立于流量内容，有潜力发现不同类型的僵尸网络，但在大规模通信网络中易产生大量误报；流量应用分类则主要将流量分为IRC流量和非IRC流量，虽能减少误报，但只能检测基于IRC的僵尸网络。

为解决这些问题，提出了一种分层框架用于区分任何类型僵尸产生的恶意行为与人类产生的正常行为。该框架的主要贡献如下：
- 新的应用发现方法 ：将流量分类到不同网络应用社区，先通过有效负载签名标记输入流，再通过IP地址和端口号的交叉关联标记未知流。
- 新的时间频率度量 ：基于流有效负载在一段时间内的N - gram（频率特征）和时间特征，用于区分大规模网络中僵尸行为和人类行为。

1.1 框架流程

该分层框架的流程如下：

graph LR
    A[输入网络流] --> B[基于有效负载签名的应用分类器]
    B --> C{是否已知流}
    C -- 未知流 --> D[基于交叉关联的应用分类