安卓恶意软件检测的网络流量分析
1 研究背景
如今,大量设备和网络管理带来的可能性吸引了越来越多恶意软件开发者。实时流量分类有望解决互联网服务提供商和系统管理员在网络管理中面临的问题,网络管理员需要了解网络中流动的内容。网络流量分类方法是入侵检测系统(IDS)的重要组成部分,可用于检测拒绝服务攻击模式、重新分配网络资源给优先客户以及识别恶意使用网络的客户。
2 传统流量分类方法及局限性
2.1 基于端口的检查
TCP和UDP允许使用端口号在不同IP终端之间复用流量。许多应用使用主机上的已知端口作为其他终端发起通信的入口点,通过获取连接的端口号并在注册端口列表(IANA)中查找来进行分类。然而,这种方法存在局限性,一些应用(如P2P应用)的端口可能未在IANA注册,且使用IANA进行分类的准确率仅为70%,端口分析无法识别30% - 70%的互联网流量。
2.2 有效负载签名的重建
许多应用为避免使用端口,采用从数据包信息中重建会话状态的系统。这种方法可以减少P2P网络流量分类中的误报和漏报。Moore等人进行了端口和有效负载的混合检查,但该方法依赖于知道端口号,且在处理有效负载时增加了设备的复杂性,需要设备持续更新并有足够的处理能力,对于加密流量或使用私有协议的流量可能完全无效。
3 基于流量统计特性的分类方法
网络流量具有一些统计特性,如流量持续时间分布、数据包到达时间间隔和数据包长度等,这些特性使不同类型的应用具有独特性,可用于区分应用。Paxson等人分析并构建了连接特性的经验模型,Dewes等人研究了互联网聊天流量的特性,后续研究在此基础上不断发展,推动了基
超级会员免费看
订阅专栏 解锁全文

被折叠的 条评论
为什么被折叠?



