網(wǎng)絡(luò)惡意流量檢測(cè)技術(shù)研究

郭成林

摘要：隨著社會(huì)的發(fā)展以及互聯(lián)網(wǎng)技術(shù)的進(jìn)步，越來(lái)越重視網(wǎng)絡(luò)安全問題。文章主要分析了網(wǎng)絡(luò)中日漸明顯的惡意流量安全檢測(cè)問題，著重研究了一些惡意流量安全檢測(cè)技術(shù)，如自適應(yīng)動(dòng)態(tài)沙箱智能研判技術(shù)、僵木蠕流量高速識(shí)別技術(shù)等，最后依據(jù)集中管理全網(wǎng)監(jiān)測(cè)，協(xié)同發(fā)展控制策略的理念，建立了云端一體化安全檢測(cè)惡意流量技術(shù)體系。

關(guān)鍵詞：互聯(lián)網(wǎng)；惡意流量；安全檢測(cè)

全球規(guī)模最大的寬帶互聯(lián)網(wǎng)就是China Net，擁有超過40Tbit/s的骨干網(wǎng)流量，互聯(lián)網(wǎng)每年都以60%速度增長(zhǎng)，越來(lái)越重視互聯(lián)網(wǎng)安全問題，逐漸凸顯惡意流量網(wǎng)絡(luò)安全問題，2013年，持續(xù)增加移動(dòng)互聯(lián)網(wǎng)惡意程序，傳播惡意程序的互聯(lián)網(wǎng)已經(jīng)達(dá)到1296萬(wàn)次，互聯(lián)網(wǎng)環(huán)境逐漸惡化，不完善的審核機(jī)制和能力差的檢測(cè)技術(shù)，使惡意程序擴(kuò)散，導(dǎo)致污染移動(dòng)互聯(lián)網(wǎng)上游環(huán)節(jié)，加速惡意程序發(fā)展速度，為了有效解決上述問題，本文主要分析了網(wǎng)絡(luò)惡意流量檢測(cè)技術(shù)。

1互聯(lián)網(wǎng)惡意流量安全檢測(cè)技術(shù)研究

1.1高效“僵木蠕”流量高速識(shí)別技術(shù)

1.1.1提取文件特征

分析的基本案例就是Android程序，一般來(lái)說(shuō)，會(huì)對(duì)Android程序內(nèi)部權(quán)限構(gòu)成文件的特征向量進(jìn)行提取，如，應(yīng)用Android程序權(quán)限的時(shí)候，主要就是依據(jù)Android程序提出了134個(gè)劃分權(quán)限列表特征，例如，讀取手機(jī)短信、手機(jī)狀態(tài)、讀取通訊錄、讀取地理位置、讀取通話記錄、攔截普通短信、發(fā)送短信、修改系統(tǒng)設(shè)置、訪問網(wǎng)絡(luò)、結(jié)束后臺(tái)程序、獲得IMEI密碼等。

1.1.2構(gòu)造特征向量空間

構(gòu)造特征向量空間的時(shí)候，可以把特征提出的Android程序描述串合理變?yōu)閧0，1）取值向量。計(jì)算特征向量的時(shí)候，因?yàn)闀?huì)占據(jù)很大空間，主要應(yīng)用的形式是索引向量，如，依據(jù)特征索引方式來(lái)合理提取高危權(quán)限網(wǎng)絡(luò)惡意程序特征。假設(shè)已知樣本A，B以及病毒X提出特征數(shù)據(jù)結(jié)果分別是文件帶有病毒X的提出特征描述串：

{READ_SMS，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）：

提出B文件樣本特征描述串：

{WRITE_EXTERNAL_STORAGE，READ_MSM，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）；

提出A文件樣本特征描述串：

{READ_PHONE_STATE，SEND_SMS，WRITE_EXTERNAL_STORAGE，READ_MSM，，WRITE_SMS）。病毒X和樣本A，B向量基本形式為X00011111，B00111111，A11110001。病毒X以及樣本A，B索引基本形式是X{3，4，5，6，7}，B{2，3，4，5，6，7），A{0，1，2，3，7}。

1.1.3快速聚類分析

最鄰近樣本特征向量以及每個(gè)樣本特征向量之間具備比較大概率的同類文件，所以，需要在已知聚類樣本中對(duì)新增樣本鄰近查詢，合理計(jì)算最近鄰近樣本和新增樣本之間距離，如果具備超過定閥值的最短距離會(huì)在鄰近聚類中歸納新增樣本，反之就建立新聚類。構(gòu)造特征向量空間的時(shí)候，一般都是對(duì)原始向量取值為{0，1），所以，建立快速聚類分析的時(shí)候主要應(yīng)用臭氧散列函數(shù)，是隨機(jī)選擇的一組D維向量特征中K維自向量，依據(jù)實(shí)際索引情況進(jìn)行適當(dāng)索引，原始向量對(duì)應(yīng)的結(jié)果中適當(dāng)選取0或1，形成子向量。每次計(jì)算一種隨機(jī)向量結(jié)果的時(shí)候，就會(huì)出現(xiàn)與之對(duì)應(yīng)的子向量K，如果具備相同的2個(gè)向量結(jié)果，屬于同一聚類。依據(jù)上述實(shí)際情況對(duì)病毒X和樣本A，B隨機(jī)選擇L為4的索引作為子向量，索引{4，5，7，8}，可以得到向量子集X是1111，向量子集B是1111，向量子集A是1001，可以發(fā)現(xiàn)X的最鄰近是B，而不是A。因此，不再檢測(cè)正常A文件，二次確認(rèn)檢查疑似惡意程序的B樣本。

1.2自適應(yīng)動(dòng)態(tài)沙箱智能研判技術(shù)

國(guó)內(nèi)外運(yùn)行商首先提出處理網(wǎng)絡(luò)疑似病毒的模型基于平行沙箱的智能研判模型，可以在一定程度上安全檢測(cè)流量環(huán)境中的程序應(yīng)用情況。基于此模型，建立了自然對(duì)數(shù)危險(xiǎn)函數(shù)序列的深度等級(jí)量化智能研判技術(shù)，也就是說(shuō)可以對(duì)安全等級(jí)進(jìn)行判斷，智能化分析未知惡意程序，計(jì)算未知惡意程序等級(jí)基本公式為：

K=Roundl{In[d×e^α+w×e^β+j×e^γ+a×e^δ+m×e^ε]）

其中，α是多維度特征運(yùn)算掃描結(jié)果，γ是自適應(yīng)動(dòng)態(tài)沙箱運(yùn)算結(jié)果；β是掃描未知病毒結(jié)果，ε是掃描敏感字結(jié)果，δ是動(dòng)態(tài)沙箱Android運(yùn)算結(jié)果。上述值都屬于[0，10]，四舍五入處理是Round{），保留1位小數(shù)。特征庫(kù)映射以及計(jì)算惡意程危險(xiǎn)函數(shù)序列之間關(guān)系如表1所示。

2互聯(lián)網(wǎng)惡意流量安全檢測(cè)技術(shù)應(yīng)用

2.1系統(tǒng)設(shè)計(jì)架構(gòu)

網(wǎng)絡(luò)惡意流量檢測(cè)系統(tǒng)包括集中管理模塊、惡意程序處置模塊、惡意程序分析模塊、流量采集模塊。設(shè)計(jì)系統(tǒng)結(jié)構(gòu)的基本理念就是依據(jù)監(jiān)測(cè)惡意程序引擎的方式來(lái)適當(dāng)監(jiān)測(cè)網(wǎng)絡(luò)惡意流量，并以智能方式多重過濾和研究檢測(cè)引擎依據(jù)上報(bào)惡意未知程序，健全網(wǎng)絡(luò)流量惡意程序特征庫(kù)，依據(jù)特征庫(kù)實(shí)際情況建立惡意程序處理模塊，CE路由器網(wǎng)絡(luò)需要主動(dòng)攔截以及預(yù)防惡意程序，系統(tǒng)可以研制和捕獲典型網(wǎng)絡(luò)惡意程序，統(tǒng)一發(fā)布和管理封堵，集中角度封堵資源等。設(shè)計(jì)此系統(tǒng)的時(shí)候，采集原始流量利用PI口，訪問鏡像用戶互聯(lián)網(wǎng)和流量數(shù)據(jù)的還原文件、重組報(bào)文等，檢測(cè)惡意程序的時(shí)候合理應(yīng)用惡意程序搜索引擎，對(duì)集中管理模塊提供檢測(cè)結(jié)果，系統(tǒng)核心就是集中管理模塊，可以達(dá)到運(yùn)行管理、惡意URL管理、警告管理、報(bào)表展示、管理特征庫(kù)等功能，并且對(duì)處置模塊輸送合理的封堵策略。

2.2流量采集模塊

流量采集模塊根本作用就是可以收集網(wǎng)絡(luò)中類似惡意程序的軟件樣本、傳播地址源、行為特征以及受害用戶信息，可以分析惡意軟件。流量采集模塊可以存在多種實(shí)現(xiàn)形式，包括檢測(cè)業(yè)務(wù)平臺(tái)異動(dòng)方式、檢測(cè)蜜罐被動(dòng)方式、光路器選擇方式、鏡像方式、分光方式等。

2.3惡意程序分析模塊

惡意程序分析模塊應(yīng)用根本作用實(shí)際上就是可以對(duì)鏡像用戶網(wǎng)絡(luò)流量進(jìn)行流量分析，獲得RADIUS流量數(shù)據(jù)以及訪問網(wǎng)絡(luò)數(shù)據(jù)，合理連接集中管理模塊，可以對(duì)結(jié)果進(jìn)行上報(bào)，并且集中分配管理配置策略。

2.4惡意程序處置模塊

惡意程序處置模塊根本作用就是能夠達(dá)到處置惡意程序的目的，依據(jù)查殺惡意執(zhí)行程序的軟件、阻斷網(wǎng)絡(luò)惡意軟件傳播源等方式阻斷網(wǎng)絡(luò)惡意傳播行為和上下行流量網(wǎng)絡(luò)惡意程序。處置惡意程序的時(shí)候需要單獨(dú)應(yīng)用物理接口，可以對(duì)管理信息進(jìn)行傳遞。

2.5集中管理模塊

集中管理模塊根本作用就是可以為集中數(shù)據(jù)和分析數(shù)據(jù)提供基礎(chǔ)，為系統(tǒng)運(yùn)行提供分析和檢測(cè)未知惡意程序基本功能，對(duì)下發(fā)病毒數(shù)據(jù)庫(kù)和病毒統(tǒng)計(jì)信息進(jìn)行收集，依據(jù)收集的實(shí)際信息來(lái)認(rèn)定惡意軟件，以此發(fā)現(xiàn)新軟件，對(duì)惡意軟件進(jìn)行查殺，并且提出同步特征信息，為系統(tǒng)管理系統(tǒng)和分析報(bào)表等提供依據(jù)，為進(jìn)一步研究和管理網(wǎng)絡(luò)流量提供基礎(chǔ)和保證。

3結(jié)語(yǔ)

本文深入分析和研究了網(wǎng)絡(luò)惡意流量檢測(cè)系統(tǒng)實(shí)現(xiàn)機(jī)制、構(gòu)架設(shè)計(jì)等，把僵木蠕惡意流量監(jiān)控技術(shù)合理應(yīng)用在計(jì)算特征向量距離匯總，達(dá)到精確阻斷以及高速識(shí)別惡意流量的目的，基于自適應(yīng)動(dòng)態(tài)砂箱技術(shù)來(lái)對(duì)其進(jìn)行分析，研究智能化云端系統(tǒng)，進(jìn)一步分析網(wǎng)絡(luò)惡意流量檢測(cè)技術(shù)，對(duì)于整體提高網(wǎng)絡(luò)安全具備很大作用。