3.3 恶意软件模型
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.3 恶意软件模型,为了在实际条件下实施我们的方法,我们分析了实际的恶意软件,并寻求能够确定程序运行的一些可测量属性,这些属性可作为恶意行为的指标。我们特别对使用网络资源以及本地资源的程序较为感兴趣,因为它们代表了大多数现代恶意软件,这些恶意软件不仅执行本地任务,而且还参与比如僵尸网络中的某种形式的命令和控制。与静态特征分析和端点异常检测不同,我们将端节点和网络的观测结果相结合,以提供对正在运行程序的完整描述。通过将这些指标与良性活动的观测结果进行比较,可以得出恶意软件对单个传感器的影响,以及这些传感器可能具有的阈值等结论。
这涉及样例收集、粗略分析和筛选、现场分析和指示等多个步骤过程,具体如图3.7所示。其每个步骤的具体描述如下。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一3.3 恶意软件模型