邱凌志 顧弘

1引言

惡意軟件是互聯(lián)網(wǎng)中最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一，受害主機(jī)一旦感染惡意軟件便可能被用作發(fā)送垃圾郵件、進(jìn)行拒絕服務(wù)攻擊以及竊取敏感數(shù)據(jù)。作為攻擊的關(guān)鍵步驟，攻擊者需要將惡意軟件安裝在盡可能多的受害主機(jī)上。攻擊的過程一般分為3個(gè)步驟：①注入代碼，這一階段攻擊者的目的是在受害主機(jī)上執(zhí)行一小段代碼，這段代碼通常被稱為shellcode。比如，攻擊者首先準(zhǔn)備一個(gè)包含漏洞利用代碼的網(wǎng)站，當(dāng)受害者訪問惡意網(wǎng)頁后，漏洞利用代碼強(qiáng)制瀏覽器執(zhí)行shellcode；②注入成功后，shellcode下載真正的二進(jìn)制惡意軟件并加載；③惡意軟件一旦啟動(dòng)，這一階段將呈現(xiàn)其惡意行為，典型的行為比如連接遠(yuǎn)程命令控制服務(wù)器（C&Cserver）。

對(duì)于保護(hù)用戶避免受到惡意軟件侵害，過去的研究主要關(guān)注于第①階段與第③階段。一部分工作是通過對(duì)掛馬網(wǎng)頁的檢測(cè)，將相關(guān)域名或url列入黑名單，阻止瀏覽器訪問惡意頁面；另一部工作則是聚焦于控制階段，目的在于檢測(cè)終端惡意代碼的執(zhí)行，例如，反病毒軟件通過特征識(shí)別惡意軟件。然而，惡意軟件可以通過域名變換、文件重打包和分布式主機(jī)等手段逃避檢測(cè)。

目前為止，很少有研究關(guān)注到第②階段，即shellcode下載惡意軟件安裝的過程。shellcode通常利用http請(qǐng)求從遠(yuǎn)端服務(wù)器下載程序，并在本地安裝執(zhí)行惡意軟件。這些請(qǐng)求一般通過用戶瀏覽器進(jìn)行簡單的功能調(diào)用，從網(wǎng)絡(luò)角度來說，與用戶的正常軟件下載請(qǐng)求很難區(qū)分。可是，當(dāng)進(jìn)入大規(guī)模網(wǎng)絡(luò)，便會(huì)發(fā)現(xiàn)大量惡意軟件通過不同主機(jī)下載，而這些惡意主機(jī)又均與某一服務(wù)端相關(guān)，呈現(xiàn)出惡意軟件基礎(chǔ)設(shè)施分布，這種分布與CDN網(wǎng)絡(luò)有些類似，但仍有不同。

本文提出一種在大規(guī)模網(wǎng)絡(luò)中檢測(cè)惡意軟件分布的方法，該方案聚焦于惡意軟件基礎(chǔ)設(shè)施之間的網(wǎng)絡(luò)關(guān)系，在大規(guī)模網(wǎng)絡(luò)中區(qū)分正常和惡意流量，用以發(fā)現(xiàn)傳統(tǒng)檢測(cè)方法無法檢測(cè)到的惡意軟件。作者已經(jīng)實(shí)現(xiàn)了方案的原型系統(tǒng)，并使用真實(shí)的2天城域網(wǎng)級(jí)別流量作為訓(xùn)練集、7天城域網(wǎng)級(jí)別流量作為測(cè)試集進(jìn)行實(shí)驗(yàn)評(píng)估，結(jié)果表明方案能夠在大規(guī)模網(wǎng)絡(luò)中有效挖掘惡意軟件網(wǎng)絡(luò)分布，2個(gè)數(shù)據(jù)集對(duì)應(yīng)的檢測(cè)準(zhǔn)確率分別為87.3 %，64.2 %。此外，實(shí)驗(yàn)表明方案還具備檢測(cè)未公布的惡意軟件網(wǎng)絡(luò)基礎(chǔ)設(shè)施的能力。

2惡意軟件研究

作者對(duì)超過500條近半年的互聯(lián)網(wǎng)公開威脅情報(bào)研究發(fā)現(xiàn)，惡意軟件無論是利用暴力破解各類服務(wù)端口方式傳播、或者是利用釣魚郵件方式傳播、亦或是利用瀏覽器漏洞的水坑攻擊方式傳播，在注入shellcode之后，會(huì)從服務(wù)端下載真正的惡意程序，然后開展挖礦、勒索、信息竊取、組成僵尸網(wǎng)絡(luò)等惡意行為。上述行為可以使用洛克希德·馬丁公司提出的威脅情報(bào)驅(qū)動(dòng)防御模型“網(wǎng)絡(luò)殺傷鏈（Cyber-Kill-Chain）”進(jìn)行描述。該模型用于指導(dǎo)識(shí)別攻擊者為了達(dá)到入侵網(wǎng)絡(luò)的目的所需完成的活動(dòng)，共7個(gè)步驟：偵察跟蹤、武器構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令與控制、目標(biāo)達(dá)成。發(fā)現(xiàn)前4個(gè)步驟的攻擊方式具有變化多、更新快的特點(diǎn)，惡意軟件使用加密、混淆方式逃脫檢測(cè)，甚至利用“0day”“1day”“Nday”等最新漏洞，不利于提煉通用的惡意軟件檢測(cè)方法。后面2個(gè)步驟———安裝植入、命令與控制呈現(xiàn)出一定通用性，一般利用木馬后門通過Web訪問方式下載真正的惡意程序。我們的研究正是聚焦于這一階段。

基于這500多條公開威脅情報(bào)的IOCs信息，提取了992條惡意url記錄。其中使用https協(xié)議的記錄為57條，占比5.7 %；剩余935條記錄全部使用http協(xié)議，占比達(dá)到94.3 %。可以看出，雖然越來越多的互聯(lián)網(wǎng)應(yīng)用使用加密的https協(xié)議，但惡意軟件由于成本低、傳播便利的因素，大多數(shù)仍使用http協(xié)議。因此，我們的研究對(duì)象也聚焦于http協(xié)議報(bào)文。

在這992條惡意url中，按照文件后綴類型統(tǒng)計(jì)，exe后綴最多，txt后綴次之，占比分別達(dá)到41 %，8 %。我們對(duì)所有惡意url進(jìn)行重放，檢測(cè)訪問請(qǐng)求所下載的文件類型，選取部分代表性的后綴類型。我們發(fā)現(xiàn)，exe后綴對(duì)應(yīng)的文件100 %為可執(zhí)行類型application/octet-stream；zIP后綴對(duì)應(yīng)的文件75 %為可執(zhí)行類型application/octet-stream，25 %為html文本類型text/ html；而png后綴對(duì)應(yīng)的文件無一例圖片類型image/gif，50 %為普通文本類型text/plain，41.7 %為可執(zhí)行類型application/ octet-stream，剩余8.3 %為html文本類型text/html?？梢钥闯?，惡意軟件通過改變文件后綴躲避檢測(cè)，我們的檢測(cè)系統(tǒng)將會(huì)識(shí)別這種情形。

3系統(tǒng)設(shè)計(jì)

MDD系統(tǒng)的整個(gè)檢測(cè)過程可以分為3個(gè)階段：提取階段、篩選階段、分析階段。

3.1提取階段

MDD系統(tǒng)的輸入數(shù)據(jù)為大規(guī)模網(wǎng)絡(luò)中的http流量。根據(jù)ISP提供的流量數(shù)據(jù)，每日的http請(qǐng)求報(bào)文數(shù)量達(dá)到10億級(jí)別。我們不可能直接檢測(cè)這一數(shù)量級(jí)的報(bào)文，因此，在這一階段我們的目的是利用白名單方法過濾掉大部分非惡意流量。

正如第二章討論的那樣，惡意軟件經(jīng)常修改后綴類型，因此，不能基于http返回報(bào)文中的Content-Type字段判斷文件類型。我們需要重放http請(qǐng)求報(bào)文，根據(jù)下載文件的MIME字段判斷文件的真實(shí)類型，結(jié)果如在預(yù)先制定的白名單范圍內(nèi)，則過濾掉該報(bào)文。否則，我們提取源IP、目的IP、文件hash、完整請(qǐng)求url等字段生成待檢測(cè)記錄。

3.2篩選階段

在篩選階段，針對(duì)惡意攻擊者常用的4種技術(shù)進(jìn)行檢測(cè)。

①服務(wù)端多態(tài)。為了躲避檢測(cè)，惡意攻擊者會(huì)經(jīng)常改變服務(wù)端惡意文件下載路徑，甚至使用不同的域名，這些方式被稱為服務(wù)端變化。對(duì)此特性，我們將進(jìn)行檢測(cè)。

②分布式主機(jī)。惡意攻擊者為確保惡意服務(wù)端有效，通常會(huì)使用多個(gè)服務(wù)端，這種分布式的主機(jī)與CDN網(wǎng)絡(luò)有些相似。在這里，我們使用機(jī)器學(xué)習(xí)的分類算法區(qū)分正常CDN與惡意分布式網(wǎng)絡(luò)。

③專用惡意主機(jī)。惡意攻擊者可能通過重定向技術(shù)將受害主機(jī)重定向至惡意域名，而這些專用惡意域名與正常網(wǎng)頁在html頁面、CSS文件、JavaScript腳本程序方面有許多不同。我們對(duì)此加以區(qū)分。

④掛馬網(wǎng)頁。受害主機(jī)首先通過瀏覽器訪問惡意網(wǎng)頁，被注入shellcode后會(huì)再次連接惡意服務(wù)端，我們可考慮利用User-Agent字段識(shí)別這樣的網(wǎng)絡(luò)行為。但用戶使用不同瀏覽器訪問同一網(wǎng)站或者NAT網(wǎng)絡(luò)可能造成誤報(bào)，對(duì)此我們需要加以區(qū)分。

3.3分析階段

基于上述2個(gè)階段篩選出的可疑記錄，生成惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖，直觀展現(xiàn)惡意軟件的網(wǎng)絡(luò)分布。惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖是無向圖，由以下元素構(gòu)成：完整url、文件路徑uri、文件名file、服務(wù)端IP、客戶端IP、完整域名FQDN、頂級(jí)域名domain以及文件hash值。

4系統(tǒng)實(shí)現(xiàn)

4.1過濾預(yù)處理

在提取階段，首先將存儲(chǔ)在HDFS的海量http流量請(qǐng)求報(bào)文檢索出來。為了提升下一步重放報(bào)文的效率，檢索過程同樣采用域名白名單的方法。域名白名單的制定由統(tǒng)計(jì)平均和經(jīng)驗(yàn)總結(jié)相結(jié)合，包含傳統(tǒng)互聯(lián)網(wǎng)頭部企業(yè)域名，例如baidu.com，qq.com，也包含新興流行互聯(lián)網(wǎng)應(yīng)用域名，例如yximgs.com， miwifi.com。由此，我們制定了域名白名單top100。

第二步，遍歷檢索出的http請(qǐng)求報(bào)文，如果包含文件下載的請(qǐng)求，則重放該報(bào)文。然而，下載文件開銷很大，尤其是大文件。幸運(yùn)的是，我們可以使用wget命令只下載文件的前1kb。此后，通過linux的file命令判斷文件類型，file命令通過文件頭判斷文件真實(shí)類型，而不依據(jù)文件后綴。如果命中MIME白名單（如視頻、音頻、圖片等格式）則舍棄，否則計(jì)算文件hash值，并提取IP，url，user-agent等字段作為一條記錄，進(jìn)入下面檢測(cè)階段。

4.2服務(wù)端多態(tài)檢測(cè)

第一個(gè)檢測(cè)機(jī)制是捕捉惡意軟件發(fā)布者嘗試?yán)@過反病毒軟件基于簽名檢測(cè)的行為。反病毒軟件會(huì)對(duì)已識(shí)別的惡意程序進(jìn)行hash簽名，為了避免在終端被檢測(cè)到，惡意軟件發(fā)布者頻繁地變更他們的惡意文件。典型的，惡意軟件發(fā)布者利用一系列不同的加密密鑰對(duì)惡意程序進(jìn)行重打包。檢測(cè)方法是檢索滿足如下2個(gè)條件的下載記錄：①只有單一的uri；②下載超過個(gè)不同的文件，文件依據(jù)上一階段的hash值進(jìn)行區(qū)分，的取值我們?cè)趯?shí)驗(yàn)中將進(jìn)行評(píng)估。實(shí)際的例子觸發(fā)這一檢測(cè)機(jī)制的uri如/dlq.rar，該uri有多種域名變化，如www.9530.ca，585872. com?？梢钥闯觯l(fā)布者不僅重打包惡意軟件，而且通過域名變換增加了惡意軟件的魯棒性。

4.3分布式主機(jī)檢測(cè)

惡意軟件發(fā)布者大多會(huì)采取一些手段確保自己的惡意軟件長期有效，從而獲取更多收益，因此，會(huì)在許多服務(wù)主機(jī)及域名上對(duì)惡意軟件進(jìn)行備份，這與傳統(tǒng)的內(nèi)容分發(fā)網(wǎng)絡(luò)CDN類似。但是和傳統(tǒng)的CDN有些不同的是，惡意軟件發(fā)布主機(jī)需要防止殺毒軟件的封殺，因而會(huì)對(duì)惡意軟件發(fā)布集群進(jìn)行一些改造，我們的研究正是利用這些被改造的特性來分類惡意軟件發(fā)布集群。我們的方法分為2個(gè)階段：首先，我們?cè)噲D找到CDN；然后我們使用一個(gè)分類器區(qū)分正常CDN與惡意CDN。

第一步，根據(jù)文件hash值將所有記錄進(jìn)行聚類，即當(dāng)2條下載記錄擁有相同的hash值h，而對(duì)應(yīng)的url分別為u1和u2時(shí)，將這2條記錄關(guān)聯(lián)，形成一個(gè)cluster。如果2個(gè)cluster存在相同的domain或服務(wù)端IP，則將這2個(gè)cluster合并為一個(gè)。我們認(rèn)為所有的cluster至少包含2個(gè)記錄，否則無法構(gòu)成CDN網(wǎng)絡(luò)。

第二步，使用機(jī)器學(xué)習(xí)的方法在上一階段的結(jié)果中區(qū)分正常CDN與惡意cluster，檢測(cè)分布式惡意軟件主機(jī)，通過對(duì)數(shù)據(jù)手工打標(biāo)簽的方式，訓(xùn)練我們的分類器。在此選擇隨機(jī)森林的算法作為分類器，以滿足需求。根據(jù)對(duì)惡意軟件基礎(chǔ)設(shè)施的研究，我們總結(jié)以下6個(gè)分類特征：

域名共存：為了減少開銷，惡意軟件常常將很多域名放在同一臺(tái)服務(wù)器上，這臺(tái)服務(wù)器提供同一個(gè)惡意軟件，只是軟件名不同，正常CDN不會(huì)出現(xiàn)這種情況，因?yàn)檫@種行為違反了信息冗余性和負(fù)載均衡，這個(gè)特征值等于一個(gè)cluster中所有的域名數(shù)、IP數(shù)。

頂級(jí)域名數(shù)：為了逃避域名黑名單的檢測(cè)，惡意軟件通常會(huì)使用一系列不同的頂級(jí)域名，正常的CDN一般使用同一頂級(jí)域名下的二級(jí)域名。

每個(gè)域名上的路徑數(shù)、文件名數(shù)：正常的CDN為了使用戶下載更加方便快捷，會(huì)有良好的目錄組織而發(fā)布惡意軟件的集群逃避黑名單檢測(cè)，通常會(huì)在集群主機(jī)中設(shè)置不一樣的目錄結(jié)構(gòu)與文件名。對(duì)于上述特征我們計(jì)算路徑數(shù)、文件名數(shù)或域名數(shù)。

每個(gè)域名上的uri數(shù)量：惡意軟件發(fā)布者在每個(gè)域名上通常只使用很少的uri數(shù)量，最常見的情形只有一個(gè)。相較而言，正常的CDN有大量的目錄結(jié)構(gòu)。我們將此作為篩選惡意軟件的一個(gè)指標(biāo)。對(duì)于這一特征，我們計(jì)算集群域名中所有uri數(shù)量或域名數(shù)。

文件類型：正常CDN會(huì)提供不同的文件類型供用戶下載，而惡意軟件服務(wù)端提供最多的是可執(zhí)行文件。我們計(jì)算集群中所有主機(jī)的可執(zhí)行文件數(shù)或所有文件數(shù)，作為特征指標(biāo)。

4.4專用惡意主機(jī)

惡意軟件發(fā)布者經(jīng)常使用專用主機(jī)隱藏在僵尸網(wǎng)絡(luò)幕后，因此，難以被檢測(cè)到。但是，這些專用惡意主機(jī)也有很明顯的特征，我們注意到，這些主機(jī)通常只會(huì)存放少量的可執(zhí)行文件，很少有其他類型的文件，最多包含個(gè)別html頁面，因?yàn)樗氖滓康木褪前l(fā)布惡意軟件。這與提供正常Web服務(wù)的主機(jī)有很大不同，正常主機(jī)包含了html頁面、css文件以及JavaScript腳本等，利用這個(gè)特征，可以檢測(cè)出專用惡意主機(jī)。據(jù)此，我們發(fā)現(xiàn)了112adfdae.tk這個(gè)域名，它被KingMiner挖礦網(wǎng)絡(luò)用來傳播挖礦程序。

4.5掛馬網(wǎng)頁

受害主機(jī)通過瀏覽器訪問惡意網(wǎng)頁，被注入shellcode后會(huì)再次連接惡意服務(wù)端，在某些情況下，存在shellcode的服務(wù)器和存放惡意軟件的服務(wù)器是同一個(gè)主機(jī)。觀察這種情形的網(wǎng)絡(luò)流量行為特征：連續(xù)2條請(qǐng)求報(bào)文，一條來自瀏覽器，一條來自shellcode。因此，我們的目標(biāo)是尋找來自同一源IP，但user-agent字段有不同的連續(xù)http請(qǐng)求報(bào)文。其中，第一個(gè)請(qǐng)求的文件類型必須是可執(zhí)行文件。然而，NAT環(huán)境會(huì)對(duì)檢測(cè)產(chǎn)生干擾，對(duì)此，我們可以設(shè)定一個(gè)請(qǐng)求報(bào)文的時(shí)間間隔閾值，實(shí)際檢測(cè)過程中設(shè)定為1分鐘，當(dāng)時(shí)間間隔小于這個(gè)閾值時(shí)，則認(rèn)為其是惡意軟件行為。符合這一策略的是znshuru.com域名下的setup_pgytg001.exe文件，瀏覽器下載后會(huì)再次下載.dat格式的惡意文件，user-agent字段為NULL。

4.6惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖

正如3.3節(jié)所述，定義惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖為篩選出的可疑記錄之間存在關(guān)系的惡意行為集合。一個(gè)最簡單的網(wǎng)絡(luò)圖由8個(gè)節(jié)點(diǎn)構(gòu)成，我們關(guān)心以下節(jié)點(diǎn)之間的關(guān)系：

url屬于同一完整域名FQDN或頂級(jí)域名domain；

同一url下載的不同文件hash；

同一服務(wù)端IP的不同域名；

相同uri或文件名file。

開始圖中只有一個(gè)url節(jié)點(diǎn)，然后我們添加url到各節(jié)點(diǎn)的邊，當(dāng)2條記錄存在上述關(guān)系時(shí)，合并2條記錄。如此迭代，直到圖無法增長或達(dá)到預(yù)先設(shè)定的大小（比如800個(gè)節(jié)點(diǎn)）。

一旦惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖生成，安全分析人員可以直觀地看出圖中的哪個(gè)url節(jié)點(diǎn)或服務(wù)端節(jié)點(diǎn)（包括域名、IP）是惡意的。這基于簡單的規(guī)則：如果節(jié)點(diǎn)越孤立，則可能性越低，否則，屬于惡意的概率越大。當(dāng)然，為了量化這一概率，我們需要先對(duì)邊賦值：

邊url-hash，權(quán)重為1；邊url-server，權(quán)重為1；邊url-client，權(quán)重為4；其余的邊權(quán)重均為2，然后，我們給出節(jié)點(diǎn)j的惡意概率j的計(jì)算公式：

5結(jié)果分析

在討論實(shí)驗(yàn)結(jié)果之前，需要先明確判斷下載文件是否為惡意軟件的標(biāo)準(zhǔn)。使用virustotal檢測(cè)url、域名以及IP，virustotal使用多個(gè)反病毒引擎，當(dāng)有2個(gè)及以上反病毒引擎檢測(cè)結(jié)果為惡意時(shí)，我們判斷該對(duì)象為惡意的。對(duì)于那些可疑，但virustotal未檢測(cè)為惡意的，通過沙箱結(jié)合人工的方式進(jìn)行驗(yàn)證。此外，實(shí)驗(yàn)中使用的惡意樣本集為通過互聯(lián)網(wǎng)公開威脅情報(bào)收集的url、域名和IP等信息。

服務(wù)端多態(tài)：的目標(biāo)是檢索那些url相同，但文件hash不同的記錄。我們?cè)?.2節(jié)討論過，不同文件hash數(shù)量n的取值，我們?cè)趯?shí)驗(yàn)中進(jìn)行評(píng)估。在訓(xùn)練集中，當(dāng)= 2時(shí)，檢測(cè)惡意url的數(shù)量為55。然而此時(shí)，反病毒軟件的升級(jí)請(qǐng)求數(shù)量為423，會(huì)造成大量誤報(bào)，極高的假陽率影響檢測(cè)。因此，我們一方面通過域名白名單對(duì)反病毒軟件進(jìn)行過濾，另一方面根據(jù)實(shí)驗(yàn)結(jié)果，取= 10。改善后，該方法的檢測(cè)準(zhǔn)確率達(dá)到93.4 %，假陽率僅為6.6 %。

分布式主機(jī)：實(shí)驗(yàn)中使用隨機(jī)森林作為分類器區(qū)分正常CDN和惡意CDN。在訓(xùn)練集中，初始參數(shù)的隨機(jī)森林成績僅有0.87左右，經(jīng)過參數(shù)調(diào)整優(yōu)化，方案對(duì)分布式主機(jī)的檢測(cè)準(zhǔn)確率達(dá)到92.1 %。在測(cè)試集中，經(jīng)驗(yàn)證實(shí)際的準(zhǔn)確率稍有降低，數(shù)值為85.2 %。

整體評(píng)估：專用惡意主機(jī)，檢索只有一個(gè)可執(zhí)行文件的域名，此外最多可有一個(gè)html或js頁面。掛馬網(wǎng)頁，檢索域名、源IP相同，user-agent字段不同的記錄集合，且集合中至少包含一個(gè)可執(zhí)行文件下載記錄。實(shí)驗(yàn)中發(fā)現(xiàn)這2種檢測(cè)方法相較前2種方法準(zhǔn)確率稍微低一些，這是因?yàn)橛行〔糠终５牧髁空?qǐng)求也滿足檢索條件。將4種檢測(cè)方法結(jié)合，在表1中給出整體實(shí)驗(yàn)結(jié)果，評(píng)估方案的有效性。

在訓(xùn)練集中，檢測(cè)結(jié)果去重后給出166條惡意記錄，通過驗(yàn)證后，發(fā)現(xiàn)其中存在21條誤報(bào)，準(zhǔn)確率為87.3 %。在測(cè)試集中，檢測(cè)結(jié)果去重后給出369條惡意記錄，通過驗(yàn)證后，發(fā)現(xiàn)其中存在132條誤報(bào)，準(zhǔn)確率為64.2 %。可以看到，隨著測(cè)試數(shù)據(jù)的增多，系統(tǒng)的準(zhǔn)確率也出現(xiàn)了下降。幸運(yùn)的是，由于惡意軟件基礎(chǔ)設(shè)施變化較快，檢測(cè)對(duì)象為一段時(shí)間T內(nèi)的流量數(shù)據(jù)，T的取值一般為最近一天，最長一周。如果T時(shí)間太長，許多設(shè)施便會(huì)無法訪問。

此外，使用樣本集共161條惡意流量數(shù)據(jù)進(jìn)行測(cè)試，MDD共檢測(cè)出其中108條，假陰率為32.9 %。這是因?yàn)椋瑯颖炯杏幸恍┆?dú)立的惡意url，比如doc，jar為后綴的，與其他url未呈現(xiàn)相關(guān)性，MDD對(duì)此難以識(shí)別。不過，傳統(tǒng)惡意軟件可以通過黑名單的方式檢測(cè)，我們的目標(biāo)是輔助傳統(tǒng)檢測(cè)方法，而不是代替它。

最后，在2019年11月的測(cè)試集中，MDD檢測(cè)到一個(gè)惡意域名es.ldbdhm.xyz，它被用作發(fā)布眾多jpg后綴的惡意文件，這些文件實(shí)際上是可執(zhí)行pe文件。我們關(guān)注到，2019年12月互聯(lián)網(wǎng)公開了相關(guān)威脅情報(bào)，它是“紫狐”木馬使用的最新惡意域名。由于未被標(biāo)記，傳統(tǒng)的黑名單檢測(cè)方法無法檢測(cè)到該域名，而MDD卻可以挖掘到該惡意軟件的最新基礎(chǔ)設(shè)施，這表明了MDD的有效性。

惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖中包含14條檢測(cè)記錄，由于部分節(jié)點(diǎn)相同，因此節(jié)點(diǎn)數(shù)小于14乘以字段數(shù)8，實(shí)際共79個(gè)節(jié)點(diǎn)。實(shí)驗(yàn)中，我們?cè)谟?xùn)練集、測(cè)試集中分別生成了30、66幅惡意軟件基礎(chǔ)設(shè)施網(wǎng)絡(luò)分布圖，它們按照大小進(jìn)行統(tǒng)計(jì)的結(jié)果，占比最多的為節(jié)點(diǎn)數(shù)小于50的生成圖。節(jié)點(diǎn)數(shù)小于50的生成圖網(wǎng)絡(luò)關(guān)系比較簡單甚至無相關(guān)性，因此MDD的誤報(bào)也集中在這一區(qū)間。

6結(jié)束語

本文提出一種新的在大規(guī)模網(wǎng)絡(luò)中挖掘惡意軟件分布的方法。區(qū)別于傳統(tǒng)惡意軟件檢測(cè)方案，MDD不使用黑名單或終端行為特征檢測(cè)技術(shù)，而是聚焦于挖掘惡意軟件網(wǎng)絡(luò)基礎(chǔ)設(shè)施，輔助發(fā)現(xiàn)那些多變化的惡意軟件，彌補(bǔ)傳統(tǒng)檢測(cè)方案的不足。然而，在大規(guī)模網(wǎng)絡(luò)流量中區(qū)分正常和惡意報(bào)文給我們的工作帶來挑戰(zhàn)，我們使用白名單、機(jī)器學(xué)習(xí)分類技術(shù)，結(jié)合網(wǎng)絡(luò)關(guān)系可視化，完成了檢測(cè)方案的設(shè)計(jì)。本文實(shí)現(xiàn)了MDD系統(tǒng)的原型，分別選擇真實(shí)的2天http城域網(wǎng)級(jí)別流量作為訓(xùn)練集、7天城域網(wǎng)級(jí)別http流量作為測(cè)試集，對(duì)系統(tǒng)進(jìn)行了評(píng)估。實(shí)驗(yàn)表明，MDD系統(tǒng)能夠有效檢測(cè)大規(guī)模網(wǎng)絡(luò)中的惡意軟件網(wǎng)絡(luò)分布關(guān)系，以及尚未公布的惡意軟件網(wǎng)絡(luò)基礎(chǔ)設(shè)施。