基于傳輸層會話行為特征的惡意流量識別系統(tǒng)實現(xiàn).pdf

1、網(wǎng)絡安全目前已經(jīng)是廣大網(wǎng)購愛好者以及企業(yè)、政府等群體的必要需求，惡意代碼就成為威脅網(wǎng)絡安全的重要隱患，準確高效實時地識別各種惡意軟件是目前的熱點需求?；谏疃劝臋z測技術目前被一些產(chǎn)品應用，識別準確率也相對很高，但是這種方法對于一些加密傳輸數(shù)據(jù)的惡意流量來說識別率有所下降，同時也遇到用戶隱私的阻礙使得這種技術應用受到限制。對于網(wǎng)絡傳輸層數(shù)據(jù)包的會話行為特征識別技術已經(jīng)得到廣大的研究，并且也有一些產(chǎn)品出現(xiàn)，但是這種技術的識別準確率相對于深

2、度包技術較低。本課題是將上述三種技術的優(yōu)勢結合，設計一個系統(tǒng)，提高識別惡意流量的準確性和實時性，以及提高識別時整個系統(tǒng)所占用的內(nèi)存，減少識別時間。
　　本課題在研究惡意流量的固定識別特征和會話行為特征的基礎上，設計一個組合的惡意流量識別系統(tǒng)。這個識別系統(tǒng)的原理是先運用固定應用端口和一些固定特征組合作為一個引擎模塊優(yōu)先識別，這樣為了提高準確利率，然后再運用傳輸層會話行為特征組合識別技術作為下一個識別模塊，最后結合兩個模塊的識別結果進

3、行仲裁判定識別結果。在模塊設計的過程中，在引擎模塊的固定特征獲取時先大量抓取惡意代碼數(shù)據(jù)包分析特征并結合逆向分析工具進行分析，總結固定識別特征。另外在研究網(wǎng)絡傳輸層數(shù)據(jù)包行為特征的基礎上，統(tǒng)計總結出了一種用8種組合數(shù)據(jù)包的會話特征對常見惡意代碼進行檢測識別方法，根據(jù)這個方法再結合數(shù)據(jù)包數(shù)據(jù)部分固定特征設計一個惡意流量實時識別系統(tǒng)。實驗結果表明采用這8個傳輸層數(shù)據(jù)包會話數(shù)據(jù)特征組合并固定引擎特征設計的系統(tǒng)對常見惡意代碼識別，不僅實時性很好