基于传输层会话行为统计特征的恶意流量识别被引量：2

Identify Malicious Traffic Based on Behavioral Statistics Characteristics of Transport Layer Session

下载PDF

导出

摘要准确高效地在骨干网流量中识别各种恶意流量一直都是网络安全领域的热点需求.分析设计了一种使用8种传输层会话特征的恶意流量检测及识别方法,并结合数据包固定特征检测实现了一个恶意流量实时识别引擎.系统选取的会话双向数据包长度分布、不同字节出现频率、字节数据重用值和时间间隔等会话行为特征通用性强、协议区分度高,能够很好地支持系统的扩展性.实验结果表明采用该引擎的恶意流量识别系统对具体会话协议的识别只需要处理对应会话的前20-30个数据包,在保证较高识别准确率的同时,较好地满足了实时性的要求. Accurately and efficiently identifying malicious traffic in backbone traffic has always been a hot spot in the field of network security. The paper first proposes a method to detect and identify malicious traffic with a combination of eight kinds of transport layer session characteristics,then designs a real-time malicious traffic identification engine based on the combination of this method and packet fixed signatures. The general session behavioral characteristics in the system such as session bidirectional data packet length distribution, byte frequency, byte reoccurring value and time interval, have the high ability to distinguish the protocols, and can support the expansion of the system. Experimental results show that the malicious traffic identification system with this engine which just need the first 20-30 packets to identify a protocol, not only can ensure a highly accuracy of detection and identification,but also meet the realtime requirements.

作者张伟刘清

机构地区南京邮电大学计算机学院

出处《小型微型计算机系统》 CSCD 北大核心 2015年第5期959-963,共5页 Journal of Chinese Computer Systems

基金国家自然科学基金项目(61272422 61202353)资助

关键词恶意流量传输层会话特征检测识别 malicious traffic transport layer session characteristics identification

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献16

1Zuo Li-ming, Liu Er-gen, Xu Bao-gen,et al. Malicious code family feature extraction and analysis techniques [ J ]. The Journal of Hua- zhong University of Science and Technology: Natural Science, 2010,38(4) :46-49.
2Xu Xiao-lin, Yun Xiao-chun, Zhou Yong-lin ,et al. Based on cluste- ring model features massive online automated analysis of malicious code [J]. Communications,2013,34(8) :146-153.
3Guo Dan-hna, Laxmi Narayan Bhnyan, Liu Bin. An efficient parallelized L7-filter design for multicore servers [ J ]. IEEE/ACM Transactions on Networking, 2012,20 ( 5 ) : 1426 -1439.
4Josep Sanjuts-Cuxart, Pere Barlet-Ros, Josep Sol-Pareta. Measure- ment based analysis of one-click file hosting services [ J ]. Journal of Network and Systems Management,2012,20 (2) :276-301.
5Mehran,Ramin,Alexis Oyama,et al. Abnormal crowd behavior detec- tion using social force model[ C]. Computer Vision and Pattern Recog- nition,CVPR 2009,IEEE. Conference on. IEEE ,2009:935-942.
6Hjelmvik, Erik, Wolfgang John. Breaking and improving protocol obfuscation [ R ]. Chalmers University of Technology, Tech. Rep, 2010,123751.
7Zimmermann, Hubert. OSI reference model-the ISO model of ar- chitecture for open systems interconnection [ J ]. Communications, IEEE Transactions on, 1980,28 ( 4 ) :425-432.
8Documentation of spid attribute-meters [ EB/OL ]. http ://source- forge, net/apps/mediawiki/spid/index, php? title = AttributeMe- ters,2013.
9Foithong, Sombut, Ouen Pinngem, et al. Feature subset selection wrapper based on mutual information and rough sets [ J ]. Expert Systems with Applications,2012,39( 1 ) :574-584.
10Bermejo,Pablo, et al. Fast wrapper feature subset selection in high- dimensional datasets by means of filter re-ranking[ J]. Knowledge- Based Systems,2012,25( 1 ) :35-44.

二级参考文献26

1苏璞睿,冯登国.基于进程行为的异常检测模型[J].电子学报,2006,34(10):1809-1811. 被引量：17
2李晓勇,左晓栋,沈昌祥.基于系统行为的计算平台可信证明[J].电子学报,2007,35(7):1234-1239. 被引量：35
3EGELE M, SCHOLTE T, KIRDA E, et al. A survey on automated dynamic malware-analysis techniques and tools[J]. ACM Computing Surveys (CSUR), 2012, 44(2): 1-42.
4KEPHART J O, ARNOLD W C. Automatic extraction of computer virus signatures[A]. Proceedings of the 4th Virus Bulletin Intemational Conference[C] 1994.178-184.
5SATHYANARAYAN V S, KOHLI P, BRUHADESHWAR B. Signa- ture generation and detection of malware families[A]. Information Security and Privacy[C]. Springer Berlin Heidelberg, 2008. 336-349.
6SATISH S, PEREIRA S. Behavioral Signature Generation Using Clustering: WIPO Patent 2011137083[P]. 2011.
7KOLBITSCH C, COMPARETTI P M, KRUEGEL C, et al. Effective and efficient malware detection at the end host[A]. Proceedings of the 18th Conference on USENIX Security Symposium USENIX Association[C]. 2009.351-366.
8RAMACHANDRAN A, FEAMSTER N. Understanding the network-level behavior of spammers[J]. ACM Sigcomm Computer Communication Review, 2006, 36(4):291-302.
9INOUE D, YOSHIOKA K, ETO M, et al. Malware behavior analysis in isolated miniature network for revealing malware's network activity[A]. IEEE International Conference on Communications[C]. 2008. 1715-1721.
10MORALES J A, AL-BATAINEH A, XU S, et al. Analyzing and exploiting network Communication 20-34. behaviors of malware[A]. Security and Privacy in Networks[C]. Springer Berlin Heidelberg, 2010.

共引文献18

1左黎明,汤鹏志,刘二根,徐保根.基于行为特征的恶意代码检测方法[J].计算机工程,2012,38(2):129-131. 被引量：3
2左黎明,刘二根,徐保根,汤鹏志.未知恶意代码族群归属决策研究[J].微电子学与计算机,2012,29(2):188-191. 被引量：2
3朱俚治.病毒检测技术的研究与0.5级环[J].计算机技术与发展,2012,22(9):225-227. 被引量：3
4张健飞,陈黎飞,郭躬德.检测迷惑恶意代码的层次化特征选择方法[J].计算机应用,2012,32(10):2761-2767. 被引量：3
5陈娟英,范明钰,王光卫.一种基于亲缘性的恶意代码分析方法[J].信息安全与技术,2014,5(1):17-21.
6刘亮,刘露平,何帅,刘嘉勇.一种基于多特征的恶意代码家族静态标注方法[J].信息安全研究,2018,4(4):322-328. 被引量：4
7韩晓光,姚宣霞,曲武,郭长友.基于图像纹理聚类的恶意代码家族标注方法[J].解放军理工大学学报（自然科学版）,2014,15(5):440-449. 被引量：6
8赵晓君,王小英,张咏梅,沈焱萍.基于恶意代码行为分析的入侵检测技术研究[J].计算机仿真,2015,32(4):277-280. 被引量：5
9付钰,李洪成,吴晓平,王甲生.基于大数据分析的APT攻击检测研究综述[J].通信学报,2015,36(11):1-14. 被引量：79
10徐文韬,王轶骏,薛质.面向威胁情报的攻击指示器自动生成[J].通信技术,2017,50(1):116-123. 被引量：8

同被引文献13

1李鹏,刘悦.一种基于行为特征和SVM的P2P流量识别模型[J].开封大学学报,2010,24(3):79-84. 被引量：3
2鲁刚,张宏莉,叶麟.P2P流量识别[J].软件学报,2011,22(6):1281-1298. 被引量：48
3刘三民,孙知信,刘余霞.基于K均值集成和SVM的P2P流量识别研究[J].计算机科学,2012,39(4):46-48. 被引量：8
4谭骏,陈兴蜀,杜敏,朱锴.基于自适应BP神经网络的网络流量识别算法[J].电子科技大学学报,2012,41(4):580-585. 被引量：17
5于明,朱超.利用半监督近邻传播聚类算法实现P2P流量识别[J].哈尔滨工程大学学报,2013,34(5):653-657. 被引量：6
6喻东阳,陈宏伟,杨庄.基于信任抽样的P2P流量识别[J].湖北工业大学学报,2013,28(4):24-26. 被引量：1
7王炜,程东年,马海龙.基于趋势感知协议指纹的Skype加密流量识别算法[J].计算机应用研究,2015,32(1):183-186. 被引量：4
8刘三民,孙知信.一种新的P2P流量识别模型[J].小型微型计算机系统,2015,36(6):1235-1239. 被引量：2
9孙瑜玲,林勤花.基于遗传神经网络的P2P流量识别系统[J].现代电子技术,2015,38(17):117-120. 被引量：4
10邢玉凤,毛艳琼.基于有督导机器学习的网络流量识别系统[J].现代电子技术,2015,38(21):109-112. 被引量：2

引证文献2

1王姣,蒋言.改进的基于半监督稀疏自编码IM流量识别模型的研究与比较[J].电子设计工程,2018,26(7):49-54. 被引量：3
2陈纪龙,张鸿宇,张聪益,宋子康,涂然.基于在线学习的分布式流量实时分析系统设计[J].技术与市场,2022,29(3):100-101.

二级引证文献3

1孔旸.基于D-S理论的电子档案信息可信度识别系统[J].电子设计工程,2020,28(20):138-141.
2刘兰淇,向青松.网络数据交换下复合载荷节点半监督方法仿真[J].计算机仿真,2021,38(6):268-272.
3王凯,陈丽萍.基于半监督学习的运动员姿态提取技术[J].电子设计工程,2023,31(22):191-195.

1孙海涛,刘胜利,陈嘉勇,孟磊.基于操作行为的隧道木马检测方法[J].计算机工程,2011,37(20):123-126. 被引量：10
2张晓帆,伍萍辉,杨泽明,花中秋.基于特征统计的木马检测系统的设计与实现[J].河北工业大学学报,2016,45(6):9-15.
3宫向阳.基于DPI技术的LTE_S1接口流量识别系统设计与实现[J].软件导刊,2016,15(7):166-169. 被引量：2
4余同军,刘继兴,王晓斌.移动流媒体服务器系统关键技术分析[J].广东通信技术,2004(10):45-48. 被引量：1
5孟磊,刘胜利,刘龙,陈嘉勇,孙海涛.基于心跳行为分析的木马快速检测方法[J].计算机工程,2012,38(14):13-16. 被引量：4
6毕夏安,张大方,谢鲲,牟晓玲.基于H.323协议的VoIP语音流量识别[J].计算机应用,2008,28(9):2204-2206. 被引量：6
7郑丽芬,辛阳.基于DPI的即时通信软件协议分析与实现[J].信息网络安全,2016(1):51-58. 被引量：4
8苏欣,杨建华,张大方,谢高岗.面向流量识别系统的聚类算法的比较与分析[J].计算技术与自动化,2008,27(3):1-6. 被引量：8
9张水平,张腾.基于云计算的P2P识别系统架构研究[J].软件导刊,2014,13(5):15-17.
10吴兆峰,周海刚,余哲赋,樊琳娜.基于TCP会话的僵尸流量特征分析与检测[J].军事通信技术,2012,33(1):23-26. 被引量：1

小型微型计算机系统

2015年第5期

浏览历史

内容加载中请稍等...

基于传输层会话行为统计特征的恶意流量识别被引量：2

参考文献16

二级参考文献26

共引文献18

同被引文献13

引证文献2

二级引证文献3

相关作者

相关机构

相关主题

浏览历史

基于传输层会话行为统计特征的恶意流量识别 被引量：2

参考文献16

二级参考文献26

共引文献18

同被引文献13

引证文献2

二级引证文献3

相关作者

相关机构

相关主题

浏览历史

基于传输层会话行为统计特征的恶意流量识别被引量：2