首页
学习
活动
专区
圈层
工具
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

关于恶意软件加密流量检测的思考

随着TLS的使用越来越普遍、有效证书的获取越来越廉价和容易,使用TLS的恶意软件也会越来越多,所以检测出恶意软件的TLS加密通信流量是非常必要的。...通过解密TLS数据包载荷来检测恶意软件通信的方法有很多缺点,本文关注数据包的元数据等特征而非内容来避免解密检测的弊端,首先列举了一些恶意软件TLS流和良性TLS流的区别,然后从数据、特征、检测等方面抛出了恶意软件通信流量检测的关键问题并给出相关建议...图8 证书包含域名的数量特征分布 三、相关问题 通过对恶意软件通信流量检测的探索和研究,笔者从以下几个方面对相关问题进行探讨。...特征工程一般包括特征构建、特征提取和特征选择三个部分,笔者对恶意软件流量检测中特征构建和特征选择的相关问题进行了简述。...四、小结 本文列举了一些恶意软件和良性TLS流的区别,并就恶意软件通信流量检测的关键问题进行了探讨,实践表明,利用具有区分度的特征构建的模型在一段时间内能够有效地从TLS加密流中检测出恶意流。

1.9K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    加密恶意流量优秀检测思路分享

    本文介绍一种从加密流量中检测恶意流量的方法,来自清华大学的HawkEye战队,他们在DataCon2020大赛中获得加密恶意流量检测方向的一等奖,该方法的思路具有很好的借鉴作用,希望带给读者一些思考。...3.1包长分布分类器 一般来说,功能或实现相似的软件也具有相似的数据包体量分布特点,比如视频软件的下行流量通常远大于上行流量,而恶意软件的下行流量通常远小于上行流量。...由于对恶意软件服务端IP的访问哪怕只有一次,也能判定其为恶意流量,所以并不记录流量样本与每个服务端IP的通信频次,而是使用0和1来记录是否存在与恶意IP的通信行为。...,比如恶意软件在产生访问谷歌这种正常流量行为之后可能要开始进行恶意的数据回传,再比如有少量正常流也会符合恶意流的自签名等特征而导致单条流被误判。...加密代理篇: 《初探加密流量识别》 恶意软件篇: 《基于深度学习的物联网恶意软件家族细粒度分类研究》 《关于恶意软件加密流量检测的思考》 加密webshell篇: 《【冰蝎全系列有效】针对HTTPS加密流量的

    2.9K20

    如何检测网络中的恶意流量?

    方法一:使用入侵检测系统(IDS)步骤:部署IDS设备或软件:常见的开源IDS工具包括Snort、Suricata等。...配置规则集:根据已知的威胁情报配置检测规则,例如针对特定IP地址、端口或协议的异常行为。监控警报:IDS会实时分析网络流量,并在检测到潜在威胁时发出警报。定期查看警报日志以识别和处理恶意流量。...识别异常行为:查找异常的流量模式,例如突发的大流量、不常见的目的地IP地址或非工作时间的活动。调查可疑流量:对于可疑流量,进一步调查其来源和目的,判断是否为恶意行为。...方法四:部署反病毒和反恶意软件工具步骤:安装并更新反病毒软件:确保所有网络中的计算机都安装了最新的反病毒软件。定期进行全盘扫描以检测和清除恶意软件。...这些工具能够检测和阻止恶意软件引发的网络活动。方法五:使用威胁情报服务步骤:订阅威胁情报服务:服务提供商如IBM X-Force Exchange、VirusTotal提供实时的威胁情报数据。

    14810

    基于频域分析的实时恶意流量检测系统

    引言 目前,对于恶意流量的识别,基于机器学习的检测技术愈发成熟。然而在高吞吐量的网络中,它对于流量特征提取的效率低,检测精确度低,不能实现实时检测。...Whisper,它是通过频域特征来实现恶意流量实时检测的高精度和高吞吐量。...在训练阶段,该模块计算良性流量频域特征的聚类中心和平均训练损失。在检测阶段,该模块计算频域特征与聚类中心之间的距离。如果距离明显大于训练损失,那么Whisper将会检测到恶意流量。...表2 在14种攻击下Whisper和基线的检测精度 4.3 鲁棒性评估 为验证Whisper的鲁棒性,假设攻击者将良性TLS流量和UDP视频流量注入恶意流量中,测试Whisper对于恶意流量的检测性能...总结 本文介绍了一个实时恶意流量检测系统Whisper,通过频域分析利用流量的顺序特征,实现鲁棒攻击检测。

    2.1K20

    10个常用恶意软件检测分析平台

    0x01 前言 做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。 ?...当然,使用这些平台较多的主要还是普通网民和像我这样的ScriptKid,对于真正的样本分析大佬来说也只是用于辅助,大多数还是会经过人工分析,因为只有这样才能更加了解恶意软件样本的行为。 ?...0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https://www.virustotal.com ANY.RUN: https...微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https://ti.qianxin.com 大圣云沙箱检测系统

    5.6K20

    【顶会论文分享】未知模式加密恶意流量实时检测

    引言 流量加密技术已经被广泛应用于保护互联网信息的传递,但同时也会被一些攻击者利用,用于隐藏其恶意行为,如恶意软件、漏洞利用、数据泄露等。...HyperVision,旨在通过分析流之间的交互模式来检测模式未知的恶意流量。...将实验中使用的80个新数据集分为四组,其中三组是加密的恶意流量:(1)传统的蛮力攻击。(2)加密泛洪流量。(3)加密web恶意流量。(4)恶意软件生成加密流量。...此外,HyperVision不仅能检测加密恶意流量,还能够检测传统攻击类型,能够检测出其他五种方法检测不到的攻击,说明HyperVision有效。...表1 数据集的平均精确度 另外,无论对于传统攻击流量,加密泛洪流量,加密网络流量,恶意软件流量,Hypervision都获得了比其他五组基线准确率获得一定程度的提高. 4.3 吞吐量评估 图5展示的是图检测的吞吐量信息

    3.4K20

    【收藏】10大常用恶意软件检测分析平台

    使用多种反病毒引擎对上传的文件进行检测,以判断文件是否被病毒,蠕虫,木马,以及各类恶意软件感染。...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...九、奇安信威胁情报中心:https://ti.qianxin.com 威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 十、大圣云沙箱检测系统:https://mac-cloud.riskivy.com...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。

    10.7K10

    微软检测到Linux XorDDoS恶意软件活动激增

    近期,微软表示在过去六个月中,一种用于入侵Linux设备并构建DDoS僵尸网络的隐秘模块化恶意软件的活动量大幅增加了254%。...微软365Defender研究团队表示,它的规避能力包括混淆恶意软件的活动、规避基于规则的检测机制和基于哈希的恶意文件查找,以及使用反取证技术来破坏基于进程树的分析。...除了发起DDoS攻击外,恶意软件的操作者还使用XorDDoS僵尸网络安装rootkit,维护对被黑设备的访问,并很可能释放额外的恶意负载。...微软自12月以来检测到的 XorDDoS 活动的巨大增长与网络安全公司 CrowdStrike 的一份报告一致,该报告称Linux 恶意软件在2021年与上一年相比增长了 35% 。...Intezer 2021 年 2月的一份报告显示,与2019年相比,2020年Linux恶意软件种类增加了约 40%。

    38420

    自己动手制作一个恶意流量检测系统(附源码)

    我们假设恶意C2C服务器IP是220.181.38.148(百度的某个节点),某个木马的恶意流量特征是?? ?? ?? ??(?...当然你也可以选择记录这些IP和数据去后台进行报警通知.只要木马的流量特征库足够大, 这里说一下 很多DDOS防火墙也是这个道理,通过检测数据包的特征判断是否有DDOS攻击,一些AMP攻击的流量特征是固定的...GitHub地址:https://github.com/huoji120/NetWatch 0x1 起因 本人是新手第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个威胁流量检测系统.于是就有了今天这篇文章...NDIS防火墙安装会断网.这也是为什么诸如安全狗这类软件会断网的原因 不过考虑到我放弃了WIN2003系统,所以我选择了更加方便的WFP WFP工作方式如图: 0x3 驱动编写 首先实现一个抓包demo...FWPMLAYERALEAUTHCONNECTV4、FWPMLAYERALEAUTHRECVACCEPT_V4 分别对应链接认证阶段阶段,区别是一个是out一个是income FWPMLAYERSTREAM_V4 抓取数据流,用于流量信息监测

    1.9K10

    恶意软件利用API Hammering 技术规避沙盒检测

    恶意软件休眠形式  恶意软件最简单的休眠方式就是调用 Windows API Sleep,另一种较为隐蔽的方式是 ping sleep 技术,恶意软件会在循环中不断将 ICMP 数据包发送到指定的 IP...地址,发送和接收这些无用的 ping 消息需要一定的时间,恶意软件会间接实现休眠。...API Hammering 会大量调用无用的 Windows API 函数,这些调用执行的时间就会延迟恶意软件实际功能的执行,这也间接实现了休眠功能。...这会延迟 Payload 的脱壳过程来躲避检测,如果脱壳未能完成,看起来 BazarLoader 样本只是在随机访问注册表而已,这种行为很多良性软件中也会存在。...以下反汇编代码显示了 API Hammering 的过程: △注入行为之前  结论  恶意软件为了规避沙盒检测使用了各种各样的方法,API Hammering 不会是最后一个,以后也会有各种各样的变种

    51230
    领券