DNS解析出的IP数量 :大多数恶意流量和正常流量只返回一个IP地址;其它情况,大部分正常流量返回2-8个IP地址,恶意流量返回4或者11个IP地址。 TTL值 :正常流量的TTL值一般为60、300、20、30;而恶意流量多为300,大约22%的DNS响应汇总TTL为100,而这在正常流量中很罕见。
为了确保通信安全和隐私以及应对各种窃听和中间人攻击,HTTPS逐渐全面普及,越来越多的网络流量也被加密,然而,攻击者也可以通过这种方式来隐藏自己的信息和行踪,通过给恶意软件穿上一层名为TLS/SSL的马甲来将其伪装成正常流量进行攻击感染,逃避检测。 近年来,针对加密恶意流量的检测一直是网络安全领域关注的焦点,目前主流的攻击检测手段有两种:解密后检测和不解密检测。
恶意软件域流量:如我们在实验中观察到的那样,C&C服务器的流量在大多数时间都是平滑且较小的,但在攻击者将数据从受感染主机上传到C&C服务器时达到峰值。 目的:识别用于定位C&C服务器的域名,判断IP是否是的受害者。
业界网关设备主要使用解密流量的方法检测攻击行为,但这种解方法会消耗大量的资源,成本很高,同时也违反了加密的初衷,解密过程会受到隐私保护相关法律法规的严格限制。 出于保护用户隐私的考量,不解密进行流量检测的方法逐渐被业界研究人员关注起来,这种方案通常仅被允许观测网络出口的加密通信流量(443端口),但无需对其进行解密,通过利用已经掌握的数据资源,对加密流量进行判别。 加密恶意流量特征可以通过解析HTTPS数据包头部信息来获取,而包含这些信息的TLS握手协议在网络中通过明文传输,因此可以使用wireshark等工具捕获网络数据包生成pcap文件,再进行进一步的特征提取。 需要关注的加密恶意流量特征可分为以下3类: 数据元统计特征:数据包大小、到达时间序列和字节分布。
