惡意軟件分發(fā)網(wǎng)絡(luò)檢測方法的研究.pdf

1、惡意軟件檢測是網(wǎng)絡(luò)安全領(lǐng)域重要的課題，目前的檢測方法大多側(cè)重于對惡意軟件自身的分析，但惡意軟件可以通過代碼混淆、變種等方法對抗這些檢測。然而，不論惡意軟件自身如何變化，都需要將惡意軟件分發(fā)到受害主機上運行。對大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)的分析表明，分發(fā)主機使用的文件、域名、URL等信息通常具有一定關(guān)聯(lián)，這為檢測提供了新的角度。
　　通過研究惡意軟件分發(fā)行為，提出一種基于Hadoop的適用于大規(guī)模網(wǎng)絡(luò)環(huán)境下檢測惡意軟件分發(fā)網(wǎng)絡(luò)的方法。利用MapR

2、educe加速數(shù)據(jù)的提取和處理，通過惡意軟件分發(fā)集群的檢測、惡意軟件專用主機檢測、被挾持主機檢測等三種特定行為分析技術(shù)實現(xiàn)惡意軟件分發(fā)主機的檢測，形成初始檢測結(jié)果集合。在惡意軟件分發(fā)集群的檢測中提出了惡意軟件集群劃分算法，并使用隨機森林算法對惡意軟件分發(fā)集群進行分類，還設(shè)計了一種可并行的數(shù)據(jù)均衡化算法；在后兩種檢測中分別使用了基于惡意軟件分發(fā)行為進行檢測的啟發(fā)式技術(shù)。在此基礎(chǔ)上，利用初始檢測結(jié)果集合中惡意軟件分發(fā)主機之間的關(guān)聯(lián)構(gòu)成惡意軟

3、件網(wǎng)絡(luò)，設(shè)計了一種基于加權(quán)最長路徑的擴展算法，實現(xiàn)利用已有初始檢測結(jié)果集合，檢測那些通過特定行為分析無法發(fā)現(xiàn)的分發(fā)主機，并去除初始集合中可能的誤報。
　　實驗中采集了68天共計175G的HTTP數(shù)據(jù)進行分析，在四個節(jié)點的Hadoop集群中把數(shù)據(jù)提取階段的加速比提高到3.18。在惡意軟件分發(fā)集群的檢測中，隨機森林分類器的召回率達到79.5％，在經(jīng)過均衡化后的數(shù)據(jù)集在各個算法上把召回率提高了5%~18%。在惡意軟件分發(fā)網(wǎng)絡(luò)檢測中，惡意