网络恶意流量检测技术研究.docVIP

网络恶意流量检测技术研究 　　摘要：随着社会的发展以及互联网技术的进步，越来越重视网络安全问题。文章主要分析了网络中日渐明显的恶意流量安全检测问题，着重研究了一些恶意流量安全检测技术，如自适应动态沙箱智能研判技术、僵木蠕流量高速识别技术等，最后依据集中管理全网监测，协同发展控制策略的理念，建立了云端一体化安全检测恶意流量技术体系。 中国论文网 /8/view-7222091.htm 　　关键词：互联网；恶意流量；安全检测 　　全球规模最大的宽带互联网就是China Net，拥有超过40Tbit/s的骨干网流量，互联网每年都以60%速度增长，越来越重视互联网安全问题，逐渐凸显恶意流量网络安全问题，2013年，持续增加移动互联网恶意程序，传播恶意程序的互联网已经达到1296万次，互联网环境逐渐恶化，不完善的审核机制和能力差的检测技术，使恶意程序扩散，导致污染移动互联网上游环节，加速恶意程序发展速度，为了有效解决上述问题，本文主要分析了网络恶意流量检测技术。 　　1互联网恶意流量安全检测技术研究 　　1.1高效“僵木蠕”流量高速识别技术 　　1.1.1提取文件特征 　　分析的基本案例就是Android程序，一般来说，会对Android程序内部权限构成文件的特征向量进行提取，如，应用Android程序权限的时候，主要就是依据Android程序提出了134个划分权限列表特征，例如，读取手机短信、手机状态、读取通讯录、读取地理位置、读取通话记录、拦截普通短信、发送短信、修改系统设置、访问网络、结束后台程序、获得IMEI密码等。 　　1.1.2构造特征向量空间 　　构造特征向量空间的时候，可以把特征提出的Android程序描述串合理变为{0，1）取值向量。计算特征向量的时候，因为会占据很大空间，主要应用的形式是索引向量，如，依据特征索引方式来合理提取高危权限网络恶意程序特征。假设已知样本A，B以及病毒X提出特征数据结果分别是文件带有病毒X的提出特征描述串： 　　{READ_SMS，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）： 　　提出B文件样本特征描述串： 　　{WRITE_EXTERNAL_STORAGE，READ_MSM，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）； 　　提出A文件样本特征描述串： 　　{READ_PHONE_STATE，SEND_SMS，WRITE_EXTERNAL_STORAGE，READ_MSM，，WRITE_SMS）。病毒X和样本A，B向量基本形式为病毒X以及样本A，B索引基本形式是X{3，4，5，6，7}，B{2，3，4，5，6，7），A{0，1，2，3，7}。 　　1.1.3快速聚类分析 　　最邻近样本特征向量以及每个样本特征向量之间具备比较大概率的同类文件，所以，需要在已知聚类样本中对新增样本邻近查询，合理计算最近邻近样本和新增样本之间距离，如果具备超过定阀值的最短距离会在邻近聚类中归纳新增样本，反之就建立新聚类。构造特征向量空间的时候，一般都是对原始向量取值为{0，1），所以，建立快速聚类分析的时候主要应用臭氧散列函数，是随机选择的一组D维向量特征中K维自向量，依据实际索引情况进行适当索引，原始向量对应的结果中适当选取0或1，形成子向量。每次计算一种随机向量结果的时候，就会出现与之对应的子向量K，如果具备相同的2个向量结果，属于同一聚类。依据上述实际情况对病毒X和样本A，B随机选择L为4的索引作为子向量，索引{4，5，7，8}，可以得到向量子集X是1111，向量子集B是1111，向量子集A是1001，可以发现X的最邻近是B，而不是A。因此，不再检测正常A文件，二次确认检查疑似恶意程序的B样本。 　　1.2自适应动态沙箱智能研判技术 　　国内外运行商首先提出处理网络疑似病毒的模型基于平行沙箱的智能研判模型，可以在一定程度上安全检测流量环境中的程序应用情况。基于此模型，建立了自然对数危险函数序列的深度等级量化智能研判技术，也就是说可以对安全等级进行判断，智能化分析未知恶意程序，计算未知恶意程序等级基本公式为： 　　K=Roundl{In[d×eα+w×eβ+j×eγ+a×eδ+m×eε]） 　　其中，α是多维度特征运算扫描结果，γ是自适应动态沙箱运算结果；β是扫描未知病毒结果，ε是扫描敏感字结果，δ是动态沙箱Android运算结果。上述值都属于[0，10]，四舍五入处理是Round{），保留1位小数。特征库映射以及计算恶意程危险函数序列之间关系如表1所示。 　　2互联网恶意