网络恶意数据流(精选七篇)
网络恶意数据流 篇1
文献[7]研究出基于人为测试的android手机平台网络恶意数据流挖掘方法,这一方法对android手机平台网络数据流进行了逐级人为测试,其能够较为准确地对网络恶意数据流进行挖掘。但在自动化水平不断提升的当今社会,这种方法已经无法满足用户对挖掘效率的要求;文献[8]研究出基于恶意补丁对比的android手机平台网络恶意数据流挖掘方法,其通过令用户自主下载所需补丁的方法,挖掘android手机平台中的网络恶意数据流。其效率和准确性均较为平庸,且操作较为复杂,并非一种理想挖掘方法;文献[9]研究出基于二进制程序的android手机平台网络恶意数据流挖掘方法,这一方法将android手机平台网络数据流变更为二进制形式,方便其与网络恶意数据流标准参数的对比。该方法挖掘准确性高,但计算复杂,挖掘效率不高;文献[10]研究出基于控制流图的android手机平台网络恶意数据流挖掘方法,其通过分析android手机平台网络数据流的结构组建网络数据流控制流图,对控制流图进行挖掘流程优化,进而挖掘出网络恶意数据流。这一方法的挖掘效率较高,但其挖掘流程较为固定,无法进行准确挖掘。
基于以上研究方法的优缺点,提出挖掘效率和挖掘准确性均高的android手机平台的网络恶意数据流挖掘方法。所提出的方法首先对android手机平台网络数据流进行预分类,再给出网络恶意数据流挖掘方法的数学表达式,有效提高了对网络恶意数据流的挖掘效率和挖掘准确性。
1 面向android手机平台的网络恶意数据流挖掘研究
1.1 android手机平台网络数据流挖掘预分类
由于android手机平台的网络数据流类型较多,在对其中的网络恶意数据流进行挖掘时,非常容易造成数据传输堵塞,拖慢所研究的面向android手机平台的网络恶意数据流挖掘方法的整体效率、造成较大的网络恶意数据流漏报率。为此,在挖掘工作前需对android手机平台的网络数据流进行挖掘预分类,分类依据是android手机平台的网络数据行为。
在android手机平台中,某些网络数据流会在手机网络连通的瞬间,自动做出接收或发送机主个人信息的行为,而网络恶意数据流通常存在于具有此类行为的网络数据流中,故将具有自动收发行为的网络数据流与无此行为的网络数据流进行分类,这既能提高所研究方法的挖掘效率,也在一定程度上确保了其准确性。分类方法包括概率分类法和邻近值法。
概率分类法通过分析android手机平台网络数据流的特征参数,对具有自动收发行为的网络数据流与无此行为的网络数据流进行分类,其数学表达式为
式(1)中P(Y|X)表示网络数据流X中具有自动收发行为的网络数据流Y的总数据量;P(X|Y)表示网络数据流X中具有自动收发行为的网络数据流Y的预测数据总量;P(X)表示网络数据流X的总数据量,此值为特定数值;P(Y)表示具有自动收发行为的网络数据流Y瞬时数据量。在计算过程中,应独立考虑网络数据流和具有自动收发行为网络数据流的特性参数,以便准确地计算出P(Y|X)。
经由概率分类法式(1)给出的P(Y|X),利用邻近值法对其进行完整分类,其分类原理用图1描述。
如图1所示,图1中的方形代表不具有自动收发行为的网络数据流,黑心圆代表具有自动收发行为的网络数据流,实线大圆代表收纳具有自动收发行为的网络数据流的集合,虚线大圆代表收纳不具有自动收发行为的网络数据流。在邻近值法中,将P(Y|X)值作为实线大圆的面积,用Y表示网络恶意数据流集合,用I表示网络数据流集合,则有
经由式(2)的计算,android手机平台中的网络恶意数据流便会自动进入到实线大圆中构成集合Y,从而完成对android手机平台网络数据流的预分类。
1.2 面向android手机平台的网络恶意数据流挖掘方法
由于对android手机平台的网络数据流进行挖掘预分类后,获取的网络恶意数据流集Y具有自动收发行为。故在对android手机平台网络恶意数据流的挖掘工作中,首先进行具有自动收发行为的网络数据流的挖掘,再针对无自动收发行为的网络数据流进行低精度挖掘,以更加快速地给出android手机平台的网络恶意数据流,减少用户等待时间,提高挖掘效率。
所研究的面向android手机平台的网络恶意数据流挖掘方法,将android手机平台的网络数据流定义成特定长度的数据序列,并同时对网络恶意数据流的特性参数进行了事前定义。假设网络恶意数据流正巧组建在同一行为向量中,则用B(B={B1,B2,…,Bi})代表该行为向量的特性参数,其中,i代表行为向量中网络恶意数据流数量;f代表网络恶意数据流的行为向量;m代表挖掘工作组建的行为向量排序号;k代表B的维度,且1≤i≤k;ak是代表第k个“非恶意”网络数据流,则有
式中similarity()代表行为向量中相邻网络数据流的相似度,其范围在[0,1]之间,similarity()的数据越大,表示两个相邻网络数据流之间的相似度越高。相似度不同的相邻网络数据流,所采用的挖掘精确也不同,这能够有效缩减挖掘时间。用Sf代表行为向量的整体相似度,h为其维度,则similarity()满足如下数学表达式
此时,能够得出挖掘目标函数α(x)。该函数能够对similarity()构建一个空间坐标系,空间坐标系的坐标参数只有“恶意(baleful)”和“非恶意(harmless)”两项,则有:
式(6)中:T代表阈值,通常将其定义到特定范围[Ti,Th]中,则其数学表达式为
式中:d和c分别代表行为向量中网络数据流的最小长度和最大长度;Mk代表恶意网络数据流的标准阈值。面向android手机平台的网络恶意数据流挖掘方法的具体流程用图2描述。
由图2可知,在挖掘工作开始时,所研究的方法将调取一段数据序列组建行为向量,再对其进行网络恶意数据流挖掘,并对两种类型的网络数据流采取不同精度的挖掘工作。高精度挖掘即是在低精度挖掘的基础上进行多次挖掘,其挖掘结果以最后一次挖掘为准。此后,循环发送所组建的行为向量,直至所有网络数据流均接受过成功挖掘。最后将android手机平台的网络恶意数据流输出,并将非恶意数据流存储起来,为后期的挖掘工作提供参考,以提高所研究方法的挖掘效率和准确性。
2 实验验证
2.1 实验背景
实验对本文所研究的android手机平台网络恶意数据流挖掘方法的挖掘效率和挖掘准确性进行了验证。为了增强实验结果的直观性和说服力,实验选择恶意补丁对比方法和二进制程序方法与本文方法进行对比。
实验选择两款随机品牌的android手机,两款手机中网络数据流的总数目均为1 000个,并给予两款手机相同数目的网络恶意数据流,如表1所示。
2.2 挖掘效率验证
用恶意补丁对比方法、二进制程序方法和本文方法分别对实验手机进行网络恶意数据流挖掘,并给出三种方法的挖掘时间图,用图3~图5描述。
由图3、图4、图5可知,虽然给予两款android手机的网络数据流是一致的,但由于手机性能的限制,网络恶意数据流的挖掘时间也是不同的。对于恶意补丁对比方法、二进制程序方法来说,其挖掘时间线段要略高于本文方法的挖掘时间线段。现对图3、图4、图5的数据进行汇总,如表2所示。
由表2可知,恶意补丁对比方法对两款手机中网络恶意数据流的总挖掘时间较长,且差值较大,证明该方法的挖掘效率不高;二进制程序方法的挖掘时间不长,但其对两款手机中网络恶意数据流的总挖掘时间差值较大,为23 s,证明二进制程序方法的效率仍可进一步提升;本文方法的挖掘时间最低,且其对两款手机中网络恶意数据流的总挖掘时间差值仅为8 s。该结果能够验证,本文方法具有挖掘效率高的特点。
2.3 挖掘准确性验证
在挖掘准确性实验中,选取网络恶意数据流漏报率对三种方法的挖掘准确性进行验证。网络恶意数据流漏报率越低,证明方法的挖掘准确性越高。表3、表4、表5分别为恶意补丁对比方法、二进制程序方法和本文方法的网络恶意数据流漏报率统计表。
由表3、表4、表5能够较为清晰地分析出,本文方法的平均网络恶意数据流漏报率最低,为0.06%,低于恶意补丁对比方法和二进制程序方法的网络恶意数据流平均漏报率0.27%和0.10%。且本文方法的单相漏报率均不高于0.01%,验证了本文方法具有挖掘准确性高的特点。
3 结论
提出了一种挖掘效率和挖掘准确性均高的android手机平台网络恶意数据流挖掘方法。网络恶意数据流通常均有自动收发行为,所提方法利用概率分类法和邻近值法对android手机平台网络数据流进行预分类,使具有自动收发行为的网络数据流优先进行网络恶意数据流挖掘,提高挖掘效率和挖掘准确性。该挖掘方法将网络数据流划分成多段行为向量,对具有自动收发行为的网络数据流和不具有自动收发行为的网络数据流采取不同精度的挖掘操作,输出网络恶意数据流,对网络非恶意数据流进行存储,供下次挖掘使用。经实验验证可知,所研究的方法挖掘效率高、挖掘准确性高。
参考文献
[1]马晋杨,徐蕾.基于Android系统的手机恶意软件检测模型.计算机测量与控制,2016;24(1):156-158Ma Jinyang,Xu Lei.Mobile malware detection model based on android system.Computer Measurement&Control,2016;24(1):156-158
[2]杨欢,张玉清,胡予濮,等.基于多类特征的Android应用恶意行为检测系统.计算机学报,2014;37(1):15-27Yang Huan,Zhang Yuqing,Hu Yupu,et al.A malware behavior detection system of android applications based on multi-class features.Chinese Journal of Computers,2014;37(1):15-27
[3]周裕娟,张红梅,张向利,等.基于Android权限信息的恶意软件检测.计算机应用研究,2015;32(10):3036-3040Zhou Yujuan,Zhang Hongmei,Zhang Xiangli,et al.Malware detection based on android permission information.Application Research of Computers,2015;32(10):3036-3040
[4]戴佳男,朱耀琴.基于复杂网络的电子邮件网络搜索策略研究.电子设计工程,2015;23(17):55-57Dai Jianan,Zhu Yaoqin.Email network search strategy research based on complex network.Electronic Design Engineering,2015;23(17):55-57
[5]王怀军,王琳,房鼎益,等.一种动态监控恶意APK应用的移动操作系统.西北大学学报(自然科学版),2014;44(3):373-378Wang Huai Jun,Wang Lin,Fang Dingyi,et al.Secu Droid:a mobile operating system to dynamic ally monitor malicious APK's application.Journal of Northwest University(Natural Science Edition),2014;44(3):373-378
[6]梁振虎,古悦,杨春林,等.基于安卓平台的脑-心电远程监控系统.国外电子测量技术,2014;33(6):91-94Liang Zhenhu,Gu Yue,Yang Chunlin,et al.Remote EEG-ECGmonitoring system based on android platform.Foreign Electronic Measurement Technology,2014;33(6):91-94
[7]王俊,王高山,徐宏庆.OMAP4460的3G远程测控机器人系统设计.单片机与嵌入式系统应用,2015;15(1):49-52Wang Jun,Wang Gaoshan,Xu Hongqing.3G remote measurement and control robot system based on OMAP4460.Microcontrollers&Embedded Systems,2015;15(1):49-52
[8]黄国兵,金勇,贾荣兴.某电能量远方终端双平面网络接口设计.西安工程大学学报,2016;30(1):102-106Huang Guobing,Jin Yong,Jia Rongxing.Design of double network interface for an energy remote terminal unit.Journal of Xi'an Polytechnic University,2016;30(1):102-106
[9]侯燕,李巍,文乔农.基于复杂网络数据流密度的增量子空间数据挖掘算法.计算机应用研究,2015;32(7):2023-2026Hou Yan,Li Wei,Wen Qiaonong.Incremental subspace data mining method based on data stream density of complex network.Application Research of Computers,2015;32(7):2023-2026
数据挖掘在恶意程序检测中的应用 篇2
为了应对大规模的恶意程序,提高检测时效性和准确度,最近许多国外学者将数据挖掘技术应用于对抗恶意程序的研究中,恶意程序检测是分类过程,即将样本数据分为正常程序和恶意程序。当前用于恶意程序检测的分类技术种类繁多,目前研究的比较多,综合性能较好的分类技术包括神经网络、贝叶斯、SVM(支持向量机)、决策树和关联规则等几种。
1 恶意程序的检测方法
1)基于神经网络的恶意程序检测方法:神经网络近年来越来越受到人们的关注,其本身良好的联想存储、并行处理、自组织自适应性、高度容错等特性非常适合解决数据挖掘的问题。IBM公司提出使用单层神经网络分类器来检测引导型恶意程序的方法,分类器的训练采用了反向传播算法,通过测试样本集测试,误报率为0.02%,漏报率为10-15%,结果比较理想。结合Bagging算法,将扰动训练数据和绕的那个输入属性结合起来,生成了更为精确并且差异度大的个体神经网络,实验使用了209个恶意程序文件和423个正常程序,取得了较好的检测效果。
2)基于贝叶斯分类的恶意程序检测方法:贝叶斯决策理论与数据挖掘的其他分类方法相比具有最小的误差率,在处理模式分类问题中应用十分广泛,它在类别先验概率和类条件概率密度已知的情况下,可以得到错误率最小的分类结果。实验结果表明,贝叶斯分类能够有效检测出未知恶意程序,并保持较低的误报率。
3)基于决策树的恶意程序检测方法:决策树一般都是自上而下的来生成的。每个决策或事件(即自然状态)都可能引出两个或多个事件,导致不同的结果,把这种决策分支画成图形很像一棵树的枝干,故称决策树。决策树判定速度快、判断流程直观等优点使其有着广泛的应用。建立一种基于决策树的恶意程序判定方法,其实验中使用可执行文件结构作为分类特征,首先从大量已知数据中学习并建立决策树模型,在未知样本的分类中得到了91.2%的准确率,取得了较为显著的判定效果。
4)基于SVM的恶意程序检测方法
SVM的主要思想可以概括为两点:(1)它是针对线性可分情况进行分析,对于线性不可分的情况,通过使用非线性映射算法将低维输入空间线性不可分的样本转化为高维特征空间使其线性可分,从而使得高维特征空间采用线性算法对样本的非线性特征进行线性分析成为可能;(2)它基于结构风险最小化理论之上在特征空间中建构最优分割超平面,使得学习器得到全局最优化,并且在整个样本空间的期望风险以某个概率满足一定上界。提出一种基于支持向量机恶意程序检测模型,检测算法采用的特征为程序执行过程中使用的Windows API函数序列,检测系统在虚拟机中监视程序的行为并进行分析,能有效地检测未知恶意程序和各种多念与变形恶意程序,而且该法所需训练样本量也较少,实验结果表明该算法在恶意程序样本较少的情况下对未知恶意程序检测有较好效果。
5)基于关联规则分类的恶意程序检测方法
利用关联规则进行分类是分类挖掘的一种重要方法,提出了一种在Windows平台下检测变形恶意程序及未知恶意程序的新方法——以PE文件调用的Windows API函数序列为特征,结合数据挖掘技术中的OOA挖掘方法来实现对恶意程序的主动防御,对未知恶意程序检测准确率达到92%,但是其仅仅使用了Windows API函数序列作为特征,对于动态调用和以资源形式存在的释放型恶意程序检测能力不足,另外在检测过程中使用脱壳引擎并不能检测所有的壳,并且脱壳时间会影响整个检测的实时性。
2 现有研究的缺陷
综合上文中的研究人员的研究成果来看,这些研究人员关注数据挖掘算法的使用和改进,在恶意程序检测中取得了较好的效果,但是仍然存在以下缺陷:
1)忽视筛选恶意程序特征方法的研究,高质量的数据是影响挖掘结果准确度的重要因素,许多数据挖掘专家都认为在数据挖掘过程中一个最关键的步骤是对初始数据集的预备和转换,这一步骤在以往恶意程序检测的相关研究中并没有引起人们的注意;
2)无法适用于客户端检测,研究人员只重视检测率而忽视客户端检测恶意程序的可行性;
3)检测效率低。以往的研究中由于检测壳和脱壳时间消耗较多,另外基于二进制特征码查杀方式匹配特征时问长,所以检测效率较低。
3 系统的解决方案
1)鉴于现有研究的不足,本文提出筛选恶意程序新型特征的方法,并在此基础上提取恶意程序检测的智能规则,本文的智能规则是相对于传统检测方式而言的智能,传统二进制检测方式查杀方式一个特征码往往只能针对一个恶意程序或一个家族的恶意程序,而本文中的智能规则可以检测一类甚至几类恶意程序,相对传统的特征码而言更具有通用性。图1展示了本文的研究过程。
首先提取样本源特征,并对提取的数据进行预处理,在此基础上筛选恶意程序新型特征和评估新型特征,然后提取智能化检测规则,最后还将设计并实现客户端检测系统,通过系统测试评估智能化规则在客户端检测的效果。
2)客户端设计
将分类器的决策结果语义化形成恶意程序智能检测规则,并根据此规则构造知识库,最终实现了基于智能规则知识库的恶意程序判定系统,包括知识库、推理机、用户界面、程序数据收集和事实表五个部分,客户端各部分的逻辑关系。
主程序加载并初始化推理机,启动程序数据收集模块收集系统中的各类信息数据,并将这些数据转换成事实的表示形式添加到事实表中,然后推理引擎加载知识库和事实表并开始推理,最后给出判断被检程序是否为恶意程序。其中,知识库和数据采集是HMDS中最重要的两个功能。
原型系统的客户端关键功能是知识库。规则库为基础设计专家系统的知识库。知识库的文件格式设计包括:规则文件头、规则数量、规则长度、规则,以下定义了规则文件的格式。
每条规则被定义为包含44个整数的数组,知识库以文件形式存储在磁盘上,每次运行时加载到内存。本文采用动态规则集方式提高检测效率,即在检测系统启动之后统计每条规则的使用频率,并把根据使用频率将规则降序排列、调整规则匹配顺序。基于动态规则集的模式匹配方法,能缩短规则匹配的时间,极大地提高了恶意程序检测效率。
3)实验及结果分析
根据本文的设计目标:提取主要测试实时性和检测率,以证明用于客户端检测的可行性。本文选取商用杀毒软件瑞星、金山、Nod32、卡巴斯基]中的检测结果作为比较对象。
测试的硬件环境为Intel Pentium双核Cpu,主频3.0GHZ,1GB内存,测试操作系统为Windows XP,安装Vm Ware Station 6.5.2虚拟机,分别安装HMDS、瑞星、金山、Nod32、卡巴斯基,将病毒库升级至最新,然后把测试集的样本文件拷贝至虚拟机中,并创建镜像节点。
HMDS扫描i盘中的文件共8391个,其中正常程序2475个,恶意程序5916个。检测出恶意程序5899个,其中包括8个误报文件,检测时间为104秒,漏报25个文件。
HMDS在检测中消耗104秒,单个文件的扫描时间约为17ms,与Nod32扫描效率相近;而从内存占用看HMDS占用内存的峰值为14M,排在Nod32之后,位于第二;扫描速度与内存峰值比值仅次于瑞星,排在第三位;HMDS的检测率与其它商用杀毒软件相近,与其他学者的研究相比有了较大提高;误报仍然存在,但是与目前其它学者的研究相比已经有较大的提高。
实验结果表明,HMDS有较好的实时性,检测速度高于部分商用安全软件,在优化匹配算法后可以进一步提高检测速度;在检测率上,HMDS与商用杀毒软件有相近的性能,但是在误报率上仍与基于特征码检测的安全软件有一定差距;从内存资源占用上看HMDS内存峰值仅次于Nod32的13MB。
综上所述,HMDS在资源占用和检测效率上表现较好,并且在无恶意程序二进制特征库的情况下能够检测未知恶意程序。由于HMDS基于新型特征的检测方式较为单一,没有综合使用白名单和黑名单等技术,存在一定的误报和漏报,因此其检测准确率与商用安全软件仍有一定差距。实验结果证明基于新型特征的智能化规则的查杀准确率较高,实时性较好,误报率较低,资源占用较低。
参考文献
[1]张波云,殷建平,张鼎兴.基于SVM的计算机病毒检测系统[J].计算机工程与科学,2007,29(9):19-22.
[2]叶艳芳,叶东毅.基于关联规则挖掘技术的病毒主动防御系统[J].集美大学学报:自然科学版,2006,11(2):106-111.
网络安全问题之恶意代码探讨 篇3
1.什么是恶意代码
恶意代码 (Malicious Code) 是通过网络或存储器进行传播的, 以恶意改变系统设置, 危害信息安全等不良意图为目的的, 可以未经授权直接访问计算机系统程序或代码。
2.恶意代码的危害
2.1攻击系统
2.2危害数据文件的安全存储和使用
2.3泄露文件、密码、帐号或其它隐私信息
2.4资源被占用, 造成计算机或网络的运行速度慢, 工作效率低
2.5攻击应用程序
3.常见的恶意代码形式
3.1计算机病毒
计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或数据, 影响计算机使用, 并且能够自我复制的一组计算机指令或代码。计算机病毒有个特点就是需要用户干预来触发执行。目前在计算机病毒中, 网页脚本病毒为最主要的表现形式。它将恶意代码嵌入到网页脚本文件中, 它的执行不是CPU直接运行, 而是由浏览器解释执行的。由于它制作容易, 编码简单, 欺骗性强等特点, 被广泛使用。网页脚本病毒传播的速度快、范围广, 成为网络用户最常受侵害的一种恶意代码。
3.2蠕虫
蠕虫病毒是一种可以通过网络进行自我复制的, 不需要用户干预就可以执行的病毒程序或代码。
传统病毒通常是嵌入在被感染文件中, 并且病毒需要有触发条件才能执行, 而蠕虫病毒是独立的程序, 自身不改变其它程序, 但它可携带一个具有改变其它程序的病毒。在传播方面不需要触发条件完全可以自动搜索联网计算机的漏洞并且传染。传统的病毒感染文件和文件系统, 而蠕虫病毒感染系统, 会造成系统性能降低, 网速变慢等等。它具有很快的传播速度, 一旦在系统中激活, 它会表现得象计算机病毒, 可以向系统中注入木马程序, 或者进行破坏数据或系统的毁灭行动。蠕虫在传播中的特点是首先搜索系统或网络, 确定感染目标, 然后建立连接, 最后将自身复制到连接, 并尽可能激活。
3.3特洛伊木马
木马是一个看似正常的、有用的、或是表面有用的程序, 但其中包含了一段隐藏的、激活时执行某种破坏操作的代码。它通常由控制端和被控制端两端组成。木马可以用来完成一些非授权用户不能直接完成的功能。目前表现最常见的是在电子商务中窃取用户的银行卡号和密码及支付宝帐号和密码的盗号木马, 进行非法转帐。
随着技术的发展, 一个恶意代码可以具有多重特性, 可以既是蠕虫又是木马, 或既是病毒又是木马等等。这类代码为了实现更多的功能, 它会吸收各种恶意代码的长处, 具有更大的隐蔽性, 传播的速度更快, 防范的难度更大。
4.恶意代码的传播方式
4.1带毒文件的流动, 移动存储器的使用
恶意代码喜欢藏身在.EXE, .DOC, .VBS, .DLL…文件中, 而且往往会传染到U盘, 移动硬盘上通过这些设备的移动使用实现传播。
4.2网页脚本文件和插件
将恶意代码放在网页脚本文件或ACTIVEX中, 由用户执行这些文件而激活病毒。
4.3电子邮件或电子邮件附件
一是具有恶意目的的代码被通过邮件方式发送给接收者, 并采取欺骗手段使用户打开执行, 病毒被植入并传播。二是邮件接收者和对方都不知情的情况下, 正常发送携带病毒的邮件, 造成传播。
4.4通过文件传送的网络传播
在文件传送时, 发送了伪装的恶意代码, 并诱使接收者执行的。
4.5通过软件下载安装
将恶意代码捆绑在安装文件上传播, 攻击者把软件下载作为攻击目标, 用来发布特洛伊木马。
4.6网络攻击
可以通过各种漏洞进行网络攻击传播。
5.恶意代码的防范措施
5.1恶意代码的定时、在线检测, 在线监控
首先要安装杀毒软件和防火墙, 它们可以有效阻止已知恶意代码和病毒。防毒软件对传统已知的恶意代码防御效果较好但是木马、蠕虫、脚本病毒和未知恶意代码的防御效果差, 但防火墙技术对蠕虫和木马防御效果较好。所以我们要安装优秀的杀毒软件和防火墙, 并且及时在线升级, 更新病毒库, 在线实时监控, 及时防范。
5.2定期备份和恢复主要数据
要养成良好习惯, 对系统和重要数据定期进行备份, 定期恢复数据, 或以防不测时使用。
5.3不健康网站不浏览, 不知名站点不下载
不健康网站往往含有恶意代码, 改变主页设置等等。下载文件时到有名的站点下载, 这样的网站相对较安全, 下载完毕后用杀毒软件检测, 提示安全才可以打开。
5.5上网安全设置
禁止访问已知的恶意网页或站点, 启用INTER-NET/选项, 进行内容的分级审查, 设置许可站点, 对于一些恶意站点不去访问。
5.6来历不明网站不访问, 来历不明文件不运行
恶意代码制造者往往利用不熟悉来达到隐藏的目的, 所以来历不明网站不去运行, 来历不明文件不去运行, 这里也包括盗版光盘。
5.7软件及时升级, 安装系统补丁
软件在开发中总有欠缺之处, 要及时升级软件、安装补丁, 尤其是操作系统、防火墙及杀毒软件。及时安装补丁能有效防止漏洞攻击, 及时更新病毒库能发现新型病毒与代码。
5.8禁止修改注册表
这项操作, 一般防火墙都有, 可以有效防止恶意改动。
5.9关注系统启动项和系统目录中的可执行文件
有些病毒靠系统重启后触发, 它会强行修改注册表和各种启动文件, 非法控制用户系统, 盗取用户文件, 恶意删除文件, 所以要关注这些项目, 发现异常, 及时清除异常系统启动项和系统文件夹中的异常文件, 并且要关注异常的进程和网络流量。
5.10定期核查系统文件
要利用工具软件定期核查系统文件的完整性, 一旦发现被感染或修改, 必须完全重新安装所有的系统文件部件和程序, 以确保安全。
6.结束语
随着计算机网络技术、软件技术不断发展, 手机恶意代码和PDA恶意代码的出现, 网络安全技术面临着新的种类、新的攻击方式的挑战, 恶意代码对于系统造成的破坏性, 对于用户造成的损失越来越大, 而恶意代码也越作越完善, 越来越隐蔽性强, 越来越攻击性强, 这就要求我们对恶意代码有一个全面的了解, 建立一个较全面的、可靠的安全防御系统, 将损失减小到最少, 防患于未燃。
参考文献
[1].恶意代码防范刘功申[M]高等教育出版社2010.7
网络恶意数据流 篇4
在生活中,我们经常发现这样一个奇怪的现象:手机振铃了,号码显示是一个陌生的号码,当我们想要接起来的时候,电话却突然挂断。可是当我们对号码进行回拨时,发现被转到一个收费的服务平台,或者是根本就打不通。这些不明来历的恶意骚扰电话经常滋扰我们的正常生活,尤其那些必须二十四小时开机的手机用户。有些用户甚至还因为恶意骚扰电话而赔上了钱财。
恶意骚扰电话对电信运营商影响非常恶劣:用户经常受到骚扰,必然对运营商的服务不满意,从而降低用户的忠诚度,加大用户流失率;如果用户因此钱财受损,还可能将责任归结于运营商,令企业扯上不必要的官司;大量高频短呼的恶意行为,占用了运营商大量的网络资源,却无法带来收益,加大了企业的生产成本。
本文就是为了避免用户接到这种恶意骚扰电话,而对恶意呼叫的行为进行分析,甄别出恶意呼叫用户进行限制,并通过相应的优化手段,提高甄别的准确性。
2研究背景
(1)基本概念
恶意呼叫,指的是用户通过拨号软件或拨号设备等手段,对大面积的或数量较多的不同手机号码进行拨测,在链接建立后但未发生有效通话前终止链接的行为。从现网抓到的消息码流中分析,恶意呼叫用户所拨打的号码可以是具体某一号段的,例如186200XXXXX,也可以是不规则的,通常表现为“响一声电话”。
(2)特点及危害
恶意呼叫的活动特点:每天使用很多号码不停轮拨其它正常用户号码,接通后立即挂断,诱导用户回拨。每个用户每天呼叫上万次,通常一个地点就有几十张卡同时呼叫,使得该区域的无线小区信道拥塞,正常用户呼叫受到影响[1]。
恶意呼叫的行为,给广大的无线终端用户造成了很大的困扰,同时也浪费了大量的网络资源,给网络造成了一定的容量负担。因此,限制恶意呼叫行为,从源头遏制某些用户的不当行为,成为网络优化人员刻不容缓亟需整顿的网络问题之一。
3恶意呼叫行为分析
为了对恶意呼叫行为进行分析,我们选用了WCDMA网络中较为主流的厂商核心网软交换设备—华为MSOFTX3000进行分析与研究。
本次采用的设备型号是华为MSOFTX3000,硬件为CPCI平台,软件版本为V100R007,利用该产品的恶意呼叫检测功能特性对恶意呼叫行为的规律进行分析。
(1)华为MSOFTX3000恶意呼叫检测功能特性[1]
华为MSOFTX3000 V1R7C03及后续版本、V2R8C02及后续版本支持恶意呼叫检测功能特性,恶意呼叫检测功能应用在始发呼叫流程中,网元间的业务处理流程如图1。
处理步骤如下:
1移动用户向BSS/RAN发出呼叫接入请求。
2 BSS/RAN通过A/Iu接口将呼叫接入请求发往MSC/VLR。
3 MSC/VLR判断:如果用户为恶意呼叫用户,并且本次呼叫为非紧急呼叫,则拒绝用户的呼叫接入请求;否则,继续步骤4。
4 MSC/VLR将用户的始发呼叫次数加1,并判断用户的始发呼叫次数是否达到恶意呼叫事件阈值,如果不是则检测流程结束;如果是,则继续步骤5。
5 MSC/VLR产生用户的恶意呼叫事件(告警名称:恶意呼叫,告警ID:1955),并在DEBUG窗口打印用户的恶意呼叫信息(恶意呼叫信息包括用户的IMSI号码、MSISDN号码、IMEI号码、始发呼叫次数和统计周期),并记录用户为恶意呼叫用户,在此统计周期内,系统将拒绝用户后续的始发非紧急呼叫接入请求,对始发短消息、补充业务操作、USSD业务没有影响。若超过统计周期,则重新开始新一周期的呼叫次数统计。
(2)检测规则分析
为了研究 恶意呼叫 行为的特 性 , 利用华为MSOFTX3000设备的信令跟踪功能,先对普通用户拨打行为进行了分析测试。
1普通用户拨打行为分析
测试场景:
手机型号:iphone 4
用户类型:本地普通3G后付费用户
测试方式:拨打10010,接通后听到放音马上挂断,再拨。
测试结果:捕抓到的消息码流如图2。
本次测试是为了分析正常用户连续拨打情况下最短花费时间,因此采用的是市场普遍使用的智能手机,用户类型选择呼叫流程最少、接续较短的本地3G后付费用户,拨打的用户号码也采用自动接听的10010客户服务平台。
从消息码流可以看到,序号1码流和序号37码流(CM SERVICE REQUEST)分别代表了两次呼叫,第一次呼叫时间为2014年4月10日16点29分47秒,第二次呼叫时间为2014年4月10日16点29分54秒。即,一个正常3G用户拨打电话接听后听到放音不对马上重拨,大约花费最少的时间为7~8秒。
为了比较3G网络与2G网络的连接速度,将手机网络切换到2G上进行拨打测试,捕抓到的消息码流如图3。
从图3可以看出,序号32和序号63两次呼叫时间间隔约为8~9秒,与3G网络基本差不多,相差的1~2秒主要是客服平台的响应时间差和人接听后重拨的反应时间差,属于合理误差范围。
结论:
经过对2G和3G网络进行测试,用户使用智能手机完成一次呼叫至少需要7秒以上。
2恶意用户拨打行为分析
正常用户一次呼叫需要7秒以上,即120秒最多完成17次呼叫,再算上人的反应时间,正常的呼叫行为2分钟内不可能超过17次。因此,我们把恶意呼叫用户的检测规则设置为120秒内完成18次呼叫,如图4。
在华为MSOFTX3000设备上检测到的恶意呼叫事件如图5。
从检测到的事件看,两分钟检测到46~48个事件,也就是说,大约有48个恶意用户在不断地恶性拨打电话。随机挑选了其中几个用户进行呼叫消息跟踪,证实为恶意呼叫用户。以IMSI=460010151302602的用户为例,其跟踪的消息按照消息类型进行排序后,如图6。
从消息中看到,该用户大约6~7秒钟完成一次呼叫,且从图7和图8中消息看出,用户拨打的被叫号码是同一号段159850259XX。根据恶意呼叫行为的特点可以证实,此用户为恶意呼叫用户。
4优化手段
4.1检测规则优化
按照用户的行为习惯,在网络正常的情况下:固定周期内,检测的呼叫频次越小,检测出恶意呼叫用户的可能性越大;检测的呼叫频次不变,检测周期越长,检测出恶意呼叫用户的准确性越高。呼叫频次,即一定周期内的呼叫次数。
为了避免误伤正常用户,提高恶意呼叫用户的检测准确性,我们将检测周期从2分钟增加到5分钟。同时,为了尽可能把所有恶意呼叫用户都检测出来,提高恶意呼拦截的有效性,需要对呼叫频次进一步分析,减小检测的呼叫频次。
按照2分钟18次计算,要提高恶意呼拦截的有效性,则5分钟检测的呼叫频次应该少于45次。12月23日分析统计到的数据为:5分钟内呼叫超过30次的用户大部分为非法用户,但也有1个拨打医院挂号热线的正常用户(39次);呼叫频次超过40次的用户均是非法用户。
在权衡了恶意呼叫检测的有效性和准确性后,将超频呼叫门限设置为5分钟40次。
24日至29日共检测到2127个恶意用户,如表1:
对检测到的恶意呼叫用户进行分析发现,拦截的号码均是外地用户,并且号段连续,拨打这些号码提示六合彩,中奖等提示音,全部确认为非法用户,没有误伤用户。
4.2投诉分析与优化
经过4个多月的现网验证,零星接到几单用户投诉。通过分析,对以下几种异常情况进行了优化:
(1)对局回不规范信令,系统无任何提示,导致用户重复拨打
现象:经测试拨打部分异常号码,当对局回失败原因码“38:CC_网络故障”或“42:CC_交换设备拥塞”,手机无任何提示,自动重拨10次挂机。
优化方法:当网络收到对局回“网络故障”或“交换设备拥塞”失败原因值时,对用户播放录音通知“对不起,您拨打的电话暂时无法接通”,这样时长会增加,手机也不会自动重拨,减小用户被误拦截的概率。
(2)用户因特殊需求,不停拨打某个热线
现象:用户不停拨打医院挂号热线,由于部分医院挂号热线没有设立呼叫中心,用户听到忙音后马上重拨,导致5分钟内呼叫超过40次。
优化方法:对拨打这部分热线号码进行特殊处理,延长2秒后给用户回铃音,避免用户在5分钟内呼叫超过40次
(3)用户手机故障,或中了病毒,不停拨打不规范号码,网络未配置放音
现象:用户不停拨打11,网络直接指示拆线,不放音。经排查是手机中毒,但是由于网络无任何提示,导致用户在5分钟内呼叫超过40次。
优化方法:对用户拨打的不规范号码,播放网络提示通知音“您拨打的号码不正确,请查证后再拨。”,避免用户重复拨打。
4.3拦截处理优化
根据华为MSOFTX3000恶意呼叫检测功能特性,可以检测到恶意呼叫事件,但是对于恶意用户的限呼效果不太理想。为了避免误伤正常用户,我们不可能将检测的呼叫频次设置太低,如上所述,5分钟检测门限设置为40次。这样就导致恶意用户在5分钟内起码可以完成40次呼叫后才被限制,而接下来第二个5分钟周期又可以进行40次呼叫,后面周期以此类推。
为了完成对恶意用户的拦截,真正实现对恶意呼叫的限制,我们进行了以下优化措施:
(1) 华为MSOFTX3000设备在R007C10SPH705版本补丁中引入了一个功能特性,可以通过软件参数设置对恶意用户的限呼时长。启用该功能后,经现网测试验证,实现了对恶意呼叫的自动限呼功能,如图9。
从图9可以看到,达到检测门限后,该用户发起业务请求都被系统拒绝掉(Abort消息),拒绝原因为network-failure。
(2)对于恶意用户,虽然限呼能避免其影响到其他用户,但其不断起呼依然会对网络造成一定的信令负荷压力。因此,我们可以限制得更加彻底,将这部分恶意用户限制登录到我们的网络上。
限制恶意用户登录最直接有效的办法就是在营帐系统或者归属HLR上对该用户进行停机操作,但这种操作方法仅适用于本地用户。从监测到的恶意用户信息看,绝大部分都为外地用户。对于外地用户,需要在用户登录的MSC Server上对该恶意用户进行限制。目前常用的限制方法主要为定期将检测到的恶意用户号码进行人工限制登录,将IMSI GT指向错误的HLR上。
(3)对于被误拦截的正常用户,经过客服核实确认后,通过人工解锁方式解除对该用户的限呼。同时,规范了客服解释口径,让用户明白我们的优化是出于用户考虑,提高用户感知[2]。
5优化效果
(1) 拦截成功率分析
提取数据进行分析(数据来源:2013年12月30日9:00)
从数据分析来看,有136个非法用户在活动,成功拦截了122个非法用户,拦截成功率为89.71%,有14个非法用户由于没有达到拦截设定的门限,所以没有拦截成功。对于这部分非法用户,我们可以通过信令采集分析系统获取到用户IMSI号码,定期通过手工进行拦截。
(2) 客服投诉情况分析
1误伤用户投诉分析
自从启用恶意呼叫拦截功能以后4个月时间,咨询客服反馈没有相关用户投诉,投诉工单也没有发现误伤用户导致投诉。
2非法用户造成基站拥塞,用户投诉
恶意呼叫拦截功能启用后,观察非法用户硬骨头站点,拥塞问题得到很大缓解,没有该区域站点由于拥塞问题导致的用户投诉。
6总结
通过华为MSOFTX3000设备提供的功能特性,对恶意呼叫的行为进行了分析,创新性的将恶意呼叫和正常用户通过呼叫行为予以甄别,并提出了有效的检测规则优化方法及方案,提高了拦截的准确性。从拦截效果看,6天拦截了两千多户,至少2 450万次恶意呼叫,拦截成功率高达89.71%,效果显著。
网络恶意数据流 篇5
随着互联网的广泛普及和应用,网络安全问题越来越复杂,尤其恶意代码构成的混合威胁,如黑客攻击、蠕虫病毒、木马等,给用户造成极大困扰,对企业信息网络造成严重的破坏。据国家互联网应急中心发布的《2011年中国互联网网络安全报告》[1],病毒、蠕虫、木马等恶意代码入侵计算机事件占绝大多数,恶意代码仍是主要安全威胁之一。
恶意代码是指在未经授权的情况下,在信息系统中安装、执行以达到不正当目的的程序。随着网络与信息技术的发展,恶意代码快速发展,呈现新型化、多样化、复杂化,其传播也更具多样性和破坏性。能否及时发现并通过综合分析大规模网络中的恶意代码状况和态势,为进一步响应提供依据,确保计算机与网络系统的安全和正常运行成为当前亟待解决的问题。本文设计了一个基于网络的恶意代码分析系统,实现恶意代码的分析与识别,了解恶意攻击的形式和新特点,为应急响应和制定解决方案提供保障。
1 相关工作
恶意代码的检测方法有如下类型。特征码检测方法,其基本原理是在待检测文件中查找二进制代码特征,如果与已有特征码匹配,则识别为病毒文件;R.Lo等提出了用朴素贝叶斯算法检测恶意代码[2],但该算法仍是建立在二进制代码直接分析的基础上,由此Kaspersky Lab[3]提出了行为分析对特征码检测方法进行补充,能够对已知和未知的恶意代码进行有效判别;启发式扫描技术通过自我发现或运用某种方法方法判定,它依赖经验的积累和知识的移植[4],存在一定局限性;Hofmeyr等人1998年首次提出了N-gram模型[5],N-gram模型是第一个完整的基于系统调用的异常检测模型。文献[6]研究了基于行为分析和特征码的恶意代码检测技术,能自动检测和遏制恶意代码,但对网络攻击缺乏有效检测,不能对抗变形技术。
针对恶意代码的检测方法依据代码特征和行为特征,此外当前对恶意代码新特点的研究存在不足[7],主要是基础数据来源缺乏权威性、独立性,未对恶意代码进行深入分析,加大了检测的难度。
现有的恶意代码分析方法分为静态分析和动态分析两大类。静态分析是对恶意软件的二进制文件的逆向反汇编进行分析的过程,分析程序中有恶意性的语句,提取其特征码进行特征码扫描。动态分析法是在恶意程序的执行过程中对程序的行为加以分析。动态方法主要包括跟踪调试法和黑盒观察法[8]。随着恶意代码及变种多样化及攻击手段的不断变化,加之人工分析的滞后性,难以快速、有效对恶意程序进行响应和控制。目前,基于网络的恶意代码应急响应技术研究逐步成为主流,与蜜网等被动发现技术相比,前者能帮助用户预先判断发现网络系统中的恶意代码状况和态势,避免危险事件的发生。
2 系统架构
基于网络的恶意代码分析系统设计原理如图1所示,即集中配置式管理和数据挖掘,它是基于网络的恶意代码应急响应系统的一部分。恶意代码态势分析主要负责对恶意代码主动发现得到的数据进行定量和定性相结合的动态分析,包括用于分析的库与功能系统两部分。其中分析所用到的库主要包括安全事件库、安全状态库等,在分析过程中,需要根据不同的恶意代码类型、恶意代码的威胁以及产生的影响建立分析模型,采用时间序列分析、流量分析、链接分析和关联分析等规则通过调用相应的数据库对恶意代码状态和行为数据进行主客观结合的量化。
2.1 应用背景
该系统主要部署在分布式的开放网络环境中如图2所示,系统有多个数据采集前端,主要用于对网络环境数据的采集,采集到的数据通过Internet传输到系统后台,进行数据的分析并显示分析结果。
2.2 系统设计
该系统由主程序模块、通信模块、统计模块、授权模块、绘图模块等五个部分组成。该系统设计如
图3所示,其功能如下:
(1)主程序模块。实现基于网络的恶意代码分析系统的主界面,通过该模块对其他模块进行调用。
(2)通信模块。主要用于与客户端通信,接收初筛选的报警信息,分析处理后存入后台数据库供深入挖掘;黑名单管理;自适应的规则配置等功能。
处理流程:创建套接字监听处理客户端请求,通过接口接收并处理请求。将接收到的报警字符串写入日志文件(log.txt);判断分析该字符串,提取出各个字段(如为新增网段则为最大IP,及客户机设备号,如为报警信息则为木马名称、分类等);从配置文件TrojDetectConf.txt读取相关信息,以决定将收到的信息写入哪个数据库;连接数据库,将收到的报警信息的各字段值写入到数据库中;从配置文件中读取配置信息,决定是否在桌面上弹出报警对话框;如果用户允许收到报警信息时弹出报警对话框,则生成报警对话框,向用户显示报警信息;如为新增网段,则对新增网段进行命名,并为之创建新的数据库,写入配置文件等;断开数据库连接,删除一些临时文件。
(3)统计模块。对报警进行分类,并实现分类统计;对已知病毒特征的恶意代码匹配及其传导链分析;邮件异常及流量异常分析统计等;实现查看日志文件。
该模块的主要处理流程是查询并显示记录,首先清除当前列表内容,从组合控件读取用户选择的网络名;从配置文件TrojDetectConf读取下一行内容,判断当前行记录的网络名与用户的选择是否匹配,匹配则生成与该子网对应的数据库名称,并连接到数据库查询特定记录及显示查询结果。
(4)授权模块。通过获取特定主机硬盘序列号,对主机进行授权,保护版权所有,避免盗版。
(5)绘图模块。主要完成对报警信息进行查询分析,根据查询结果进行数据挖掘,将数据以折线、饼图等形成统计结果图,实现保存统计图等功能。
3 实验结果
本文在Linux端和Windows端下进行了系统测试,为配置在单机上虚拟客户端和服务器端同时工作,且方便测试,安装了虚拟机,在虚拟机中安装fedora,以运行客户端程序,安装XlightFTP服务器。测试统计时间段、统计方式可根据需要选择,对网段恶意代码统计,网段网络流量统计,内网IP状况分析,多网络综合统计等以直观的饼图、折线图显示,由测试和显示结果所设计功能均能正确运行。由于篇幅所限仅给出已知特征恶意代码状况统计和流量异常状况统计,统计时间段为一个月,如图4和图5所示。
图4显示了在该段时间内针对某一具体网段的攻击类型,以及各种攻击所占的比例等数据;图5显示了测试端口在该时间段的流量统计情况,根据曲线标示,可知该段时间内该端口的访问量在何时增多。
4 结论
本文设计并实现的基于网络的恶意代码分析系统可执行大规模网络环境下恶意代码的态势分析,通过选择不同的统计方式,通过恶意代码机理分析和特征提取方法,以友好直观的图形显示统计结果,提高了分析效率,为不同类型的攻击提供应急处理方案。
恶意代码的类型多样化且形式复杂,精确的描述新的恶意代码是困难的,导致恶意代码的检测效率降低,本系统的应用环境中采取多个分布式前端采集源数据,使用面向动态分析的恶意代码态势分析技术,进行异构数据的配置,是一项十分有意义的工作。另外恶意代码的检测和分析是一个长期的过程,应对其新的特征和发展趋势作进一步研究,建立完善的分析库。
摘要:针对当前形势下恶意代码攻击的新特点以及现有检测技术存在的缺陷,使得恶意代码的分析检测变得越来越困难,文章设计实现的基于网络的恶意代码分析系统,可以自动地对恶意代码进行快速的动态分析,通过数据进行定量和定性相结合的分析,生成详细的分析报告,实验结果表明该系统可以提高恶意代码的分析效率。
关键词:恶意代码,入侵检测,恶意代码分析,网络安全
参考文献
[1]CNCERT/CC.http://www.cert.org.cn/publish/main/46/index.html.
[2]LO R,LEVITTK,OL SSONN R.MFC:a malicious code filter[J].Computer and Security,1995,14(6):541-566.
[3]KA SP ER SKY L.The evolution of technologies used todetect malicious code[M].Moscow:Kaspersky Lap,2007.
[4]LC Briand,J Feng,Y Labiche.Experimenting with GeneticAlgorithms and Coupling Measures to devise optimal integration testorders.Software Engineering with Computational Intelligence,Kluwer,2003.
[5]Steven A.Hofmeyr,Stephanie Forrest,Anil Somayaji.Intrusion Detection using Sequences of System calls.Journal of Computer Security Vol,Jun.1998.
[6]李华,刘智,覃征,张小松.基于行为分析和特征码的恶意代码检测技术[J].计算机应用研究,2011,28(3):1127-1129.
[7]刘威,刘鑫,杜振华.2010年我国恶意代码新特点的研究.第26次全国计算机安全学术交流会论文集,2011,(09).
网络恶意数据流 篇6
设i, j, k为任意节点, 用R表示信誉为一个节点对另一个节点的评价, 用Rij表示i关于j的直接信誉, 用Rundefined表示节点i通过推荐节点k获得对节点j的行为评价也即是i关于j的间接信誉, 用T表示信任值, 即信誉概率分布的统计期望T=E (R) 。
在信誉模型中, 通过计算出节点的信任值大小与预先设定的信任阈值进行比较即可以判断该节点是否为恶意节点。当节点的信任值低于信任阈值时, 即为恶意节点, 其标志位置为o, 合法节点的标志位为p。因此关于信誉模型的节点列表如下:
1.1 直接信誉的计算
信誉的形成是一个随时间变化的累积过程, 在不同时期不具有简单的累加性。因此参考Saurabh等人提出的针对资源受限的无线传感器网络设计了一种信誉评测模型RRS。RSS模型中通过采用贝叶斯统计的方法估计节点i和j通信成功的概率。贝叶斯决策就是在不完全情报下, 对部分未知的状态用主观概率估计, 然后用贝叶斯公式对发生概率进行修正, 最后再利用期望值和修正概率做出最优决策。贝叶斯公式如下:
undefined式)
式中D1, D2, …Dn表示样本空间的划分, E为样本空间的事件。
由于节点i和节点j每次通信都属于独立事件, 节点i对节点j的第n次通信可看做是一个贝努利实验序列。参照贝叶斯估计方法, 采用Beta分布作为先验分布对通信概率密度分布进行拟合。α就是任意两个节点发送数据成功的次数, 就是任意两个节点发送数据失败的次数, 从而得到节点i和节点j在任意时刻t的通信概率:
undefined式)
式中, 0≤P≤1, α>0, β>0且p表示通信成功的概率α=r, β=s。在没有任何先验知识的情况下, 假定信誉在 (0, 1) 中服从均匀分布。这样根据贝叶斯估计可以知道对p的估计是节点i观察与节点j的n次通信结果得出的。当观察到新的通信时, 使通信成功的次数r增1或通信不成功的次数s增1。
因此, 根据概率公式进行化解并求出Beta分布的无偏估计量:
Tundefined=E (Rij) =E (Betaundefined式)
也即是把undefined作为节点的直接信任值进行多次通信实验。
1.2 间接信誉的计算
对一个节点的行为进行评价, 可以根据自身观察得到, 也可以通过学习别人的经验得到, 由此引入间接信誉, 间接信誉的引入可以降低单个节点出现较高的误判率以及加快检测速度。
假设i和k为监测节点, j为被监测节点, k向i发送关于j的信誉信息, Rik表示i关于k的直接信誉, Rkj表示k关于j的直接信誉, Rundefined扩表示i通过k得到的关于j的间接信誉, 则间接信誉可以表示为下式:
undefined式)
由于节点i对多个节点存在直接信任关系, 根据上面的定义可知i会接受邻近的且可信节点j的推荐, 而信誉是根据其他节点在一段时间的观察值或评价信息, 从而对某个节点行为可信程度的评价。本文在仿真过程中设定的传感器节点较少的情况下, 对间接信誉的评价可以认为全部节点可以作为邻居节点来处理。因此其间接信誉可以对其邻节点的评测进行求和开方得到。
1.3 综合信任值估计
使用LEACH分簇协议, 分簇完毕, 对任何一个簇而言, 节点i对节点j的信任评价记为Tij, 用下面的公式进行表示:
Tij=cTundefined+ (1-c) Tundefined (5式)
式中Tundefined为节点i对节点j的直接信任评价, Tundefined为在节点i看来节点j的信誉值, c表示节点i对自己评价的信心因子, c的值越高说明节点对自己的判断越相信, 它的取值与节点间成功通信的次数有关。
2 程序流程
通过matlab平台编写程序完成整个仿真过程。程序流程图1所示:
3 仿真结果与分析
假设一个无线传感器网络中有11个节点, 其中有一个为簇头, 并且各节点之间的通信都是独立的。在仿真开始前所有节点都为正常节点, 通过输入恶意节点数目和恶意节点标号来完成初始化过程。一般的, 可以对11个节点直接的关系用矩阵来表示, 也即是用矩阵的形式给出这些节点之间的位置关系, 如果节点i和j相连, 则矩阵中Γij=Γji=1, 否则其值设为0。那么显然初始化位置矩阵必定是一个对称矩阵, 由于位置关系是相互的。
这样可以对恶意节点数量和标号进行设定来模拟实际无线传感器网络中恶意节点的识别和剔除问题。上文已经提到, 通过设置阈值, 将节点的信任值与阈值进行比较来确定该节点是否为恶意节点。本次实验中设置的信任阈值为0.4, 当然为了模拟不同的传感器网络外部环境可以对阈值进行改写。并分别设置正常节点通信成功的概率为0.8, 被攻击节点通信成功的概率为0.3, 直接信誉的权重即信心因子为0.7。
3.1 正常节点和恶意节点信任值变化
一次完整的通信过程假设节点通信行为有100次, 则其通过直接信誉和间接信誉计算出来的总信任值变化如图2所示:
可以看到开始阶段恶意节点信任值较高而随着通信次数增多, 可以看到其信任值有这明显的下降趋势最后低于信任阈值。该仿真结果表明随着时间的延长对恶意节点的识别越准确。而正常节点并非一开始就表现出较高的信任值, 如果没有设定足够长的仿真实验时间, 则有可能误判正常节点为恶意节点, 从而提高了模型的误判率。
3.2 所有节点信任值分布
其中一次仿真实验过程设定3个恶意节点且标号分别为1、4和5, 可以按照实际情况分别假设恶意节点的个数和标号来验证模型的可靠性。结果如图3所示, 其中节点1、节点4和节点5信任值明显小于设置的信任阈值0.4因此被认为是恶意节点。
4 结论
在无线传感器网络中, 节点间通信的安全决定了无线传感器网络的可靠性。本文通过建立节点间的信誉模型, 以节点数较少的小型无线传感器网络为研究对象, 可以有效的识别出无线传感器网络中的恶意节点。在处理更广阔范围, 更多节点的无线传感器网络, 尚需考虑节点间恶意诽谤或者恶意推荐等问题。关于更复杂无线传感器网络恶意节点识别问题有待进一步研究。
参考文献
[1]杨光, 印桂生, 杨武等.WSNs基于信誉机制的恶意节点识别模型[J].哈尔滨工业大学报, 2009, 41 (10) .
[2]Pietro Michiardi, Refik Molva.Core:a collaborative reputationmechanismto enforce node cooperation in mobile AdHoc net-works[A].Sixth IFIP conference on secirity communications andmulti media (CMS2002) [C].Portoroz, Slovenia, 2002:107-121.
[3]S.Bansal, M.Baker.Observation-based cooperation enforeementin Adhoc networks.Research Reports.Nl/0307012.Stanford Ini-versity, 2003.
[4]Saurabh Ganeri wal, ManiB Srivastava.Reputation-based Frame-work for HighIntegrity Sensor Networks.SASN, 2004:66-77.
网络恶意数据流 篇7
1.1 定义
恶意软件也称为流氓软件,是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行。主要是为获取金钱而制作的恶意软件。网络犯罪分子越来越多地采用rootkits(根工具包)、多形性、寄生传染和循环加密的自动系统等高级技术发布新的用于获取利益的恶意程序。
1.2 恶意软件逐渐成为互联网痼疾
几乎所有网民的计算机都在不知情的情况被恶意软件侵入过,恶意软件占用计算机的内存,侵害操作系统。恶意软件对电脑主要有三个危害:
(1)不断弹出的一些插件和广告,给浏览网络的市民带来了“视觉污染”。
(2)软件在电脑里扎根后,还会不断搜集用户的资料,比如根据市民上网看新闻的喜好,搜索市民个人的爱好,然后制造出一些针对性相当强的广告,又发回给用户。
(3)导致网络速度变慢,如果许多人通过手机上网,那么上网费用还会增加,因为恶意软件已经“扎根”,并且搜集资料,占了一部分网络带宽。[1]
1.3 恶意软件的背后存在着更深层次的商业利益
一些免费软件的开发人员,为了获取开发资金、降低软件的发行成本,往往会和某些网络广告商或一些企业进行合作,在上千种免费软件、共享软件、汉化软件中强制捆绑插件。这大大加强了恶意软件的传播能力。当用户使用该软件时,在从网络广告服务商获取广告信息的同时,也会向广告商传出自己的私人信息。
2 恶意软件危害网络安全入侵多样化
恶意软件的入侵,大多数沿用木马传播的基本方式,与有价值的应用软件或文件捆绑进入系统。随着杀毒与防火墙软件的发展,有一些恶意软件集成在提供方便功能的应用软件的内部,成为其不可分割的一部分,这样就可以成功的不被清除程序清除。
恶意软件根据不同的特征和危害,主要有如下几类:
(1)广告软件(Adware):是指未经用户允许,下载并安装在用户电脑上;或与其他软件捆绑,通过弹出式广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私等。
(2)间谍软件(Spyware):是一种在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等。
(3)浏览器劫持:是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。
(4)行为记录软件(Track Ware):是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危及用户隐私,可能被黑客利用来进行网络诈骗。
(5)恶意共享软件(malicious shareware):是指某些共享软件为了获取利益,采用诱骗手段、试用陷阱等方式强迫用户注册,或在软件体内捆绑各类恶意插件,未经允许即将其安装到用户机器里。
3 反恶意软件现状不容乐观
近90%的上网计算机中都安装有恶意软件,一旦恶意软件进入计算机系统,要想彻底清除十分困难,即使在用户卸载了免费软件之后,恶意软件还是会保存在用户的机器,在后台悄悄的工作着。有时当用户试图清除恶意软件时,往往会引起系统功能或者某些应用程序瘫痪。
3.1 恶意软件的寄生方式给人们的预防工作带来了困扰
首先,恶意软件寄生于一个正常的功能软件中,使大部分杀毒软件和网络防火墙很难对它进行识别。其次,此软件采用隐蔽的数据通道传输数据,泄密于无形,令人防不胜防。同时这种捆绑也让人无法清除这种软件带来的危害。恶意软件与众不同,需要专门的解决方案。防火墙也许能拦截到恶意软件的不轨意图,不过并非所有恶意软件有一致的不轨意图。
3.2 防范恶意软件的方法还非常有限
目前,对恶意软件的监管上有一定的困难,在法律上还是一片空白,目前还没有一个国家承认的,经过检测、完全放心的、专业的对付恶意软件的工具。
3.3 反恶意软件还不很完善
中国互联网协会公布了‘恶意软件’的定义、标准、特征和分类,使反‘恶意软件’行动有标准可循。CNNIC、百度等企业负责制定和起草了有关恶意软件的标准,以后互联网协会的有关恶意软件公布,恶意软件标准公布,以及组织开发查杀恶意软件的工具等一系列工作都将依据这个标准来进行。另外,反‘恶意软件’首先要靠行业自律,必须团结绝大多数企业共同反对‘恶意软件’。
4 预防与建议
如果用户对恶意软件的危害加以重视并安装专门的清除工具,那么用户受其危害的可能性将非常低。针对恶意软件需设置三层防御体系—阻止访问包含恶意软件的网站,制止恶意软件应用程序应用到桌面,防止恶意软件回传机密信息到第三方。
(1)养成良好的使用电脑习惯。给自己创建一个普通用户账户,这样即使被窃取了账户和密码,造成的危害也会相对较小,而且普通用户账户权利有限,还能限制某些恶意软件的部分功能;确认邮件真实性和可靠性,不要轻易打开附件;不要访问宣扬色情、暴力、迷信等内容的站点。
(2)提高网络的安全设置。强制使用安全策略是防止恶意软件的第一道防线,除了及时安装浏览器的补丁外,还要重新设置浏览器的安全选项。
(3)反病毒技术必须与内容管理(指内容过滤、反垃圾邮件等)协作保护网络安全。安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。
(4)应加大对恶意软件的打击力度。恶意软件的泛滥不但会造成私人信息的泄露,还会造成国家重大政治经济活动和国防科技等方面信息的泄密。
参考文献
[1]刘育英.恶意软件定义征求意见稿出台[EB/OL].[2006-11-8].http://www.chinacourt.org/html/article/200611/09/222980.shtml.
[2]第二十一次互联网调查报告[EB/OL].[2008-1-17].http://ech.sina.com.cn/i/2008-01-17/13231980212.shtml.
[3]史洪宾.研究显示恶意软件成07年互联网主要威胁[EB/OL].[2006-12-3].http://www.xzedu.gov.cn/CMS/Article/218/20061203220250/.
[4]防范网络威胁识别恶意软件[EB/OL].[2006-3-13].http://www.enet.com.cn/article/2006/0313/A20060313510869.shtml.