3.3.4 识别和量化恶意软件的指标
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.3.4 识别和量化恶意软件的指标,该步骤的关键是建立识别和区分恶意活动和良性活动的指标。良性活动包括从无活动到典型的Web浏览和运行可执行文件。
在测试平台上执行两个跟踪数据收集进程以实现评估基线的设定。对于无活动基线策略,顾名思义,就是客户端不执行活动;测量的第二个行为基线,即良性活动,其中客户端PC用于执行各种良性活动,例如启动Web浏览器查看CNN.com上的文章,以及在Amazon.com上购物。
基于基线集,防御方可以对有意义的恶意软件样本的运行数据进行跟踪和收集,并将测量的数据与基线进行比较,从而指示并识别可能存在的恶意活动。例如,一个恶意软件示例在执行DNS解析时显示非常规的DNS查询,这些查询的摘录具体如图3.9所示。
图3.9 DNS解析操作期间捕获的数据包
在收集的网络迹象中导出各种度量结果。在DNS fluxing示例中,由于是基于定时的查询方法,所以生成的度量数据与良性的查询不同。此外,查询大小的均值和方差可以说明某类域生成算法在工作。
通过收集和跟踪数据,恶意活动的概率可基于观测良性活动后度量得到。对这些概率计算的深入探讨详见3.4节,其中主要涉及的是隐蔽微积分。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一3.3.4 识别和量化恶意软件的指标
