網絡惡意流量檢測技術研究

郭成林

摘要：隨著社會的發展以及互聯網技術的進步，越來越重視網絡安全問題。文章主要分析了網絡中日漸明顯的惡意流量安全檢測問題，著重研究了一些惡意流量安全檢測技術，如自適應動態沙箱智能研判技術、僵木蠕流量高速識別技術等，最后依據集中管理全網監測，協同發展控制策略的理念，建立了云端一體化安全檢測惡意流量技術體系。

關鍵詞：互聯網；惡意流量；安全檢測

全球規模最大的寬帶互聯網就是China Net，擁有超過40Tbit/s的骨干網流量，互聯網每年都以60%速度增長，越來越重視互聯網安全問題，逐漸凸顯惡意流量網絡安全問題，2013年，持續增加移動互聯網惡意程序，傳播惡意程序的互聯網已經達到1296萬次，互聯網環境逐漸惡化，不完善的審核機制和能力差的檢測技術，使惡意程序擴散，導致污染移動互聯網上游環節，加速惡意程序發展速度，為了有效解決上述問題，本文主要分析了網絡惡意流量檢測技術。

1互聯網惡意流量安全檢測技術研究

1.1高效“僵木蠕”流量高速識別技術

1.1.1提取文件特征

分析的基本案例就是Android程序，一般來說，會對Android程序內部權限構成文件的特征向量進行提取，如，應用Android程序權限的時候，主要就是依據Android程序提出了134個劃分權限列表特征，例如，讀取手機短信、手機狀態、讀取通訊錄、讀取地理位置、讀取通話記錄、攔截普通短信、發送短信、修改系統設置、訪問網絡、結束后臺程序、獲得IMEI密碼等。

1.1.2構造特征向量空間

構造特征向量空間的時候，可以把特征提出的Android程序描述串合理變為{0，1）取值向量。計算特征向量的時候，因為會占據很大空間，主要應用的形式是索引向量，如，依據特征索引方式來合理提取高危權限網絡惡意程序特征。假設已知樣本A，B以及病毒X提出特征數據結果分別是文件帶有病毒X的提出特征描述串：

{READ_SMS，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）：

提出B文件樣本特征描述串：

{WRITE_EXTERNAL_STORAGE，READ_MSM，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）；

提出A文件樣本特征描述串：

{READ_PHONE_STATE，SEND_SMS，WRITE_EXTERNAL_STORAGE，READ_MSM，，WRITE_SMS）。病毒X和樣本A，B向量基本形式為X00011111，B00111111，A11110001。病毒X以及樣本A，B索引基本形式是X{3，4，5，6，7}，B{2，3，4，5，6，7），A{0，1，2，3，7}。

1.1.3快速聚類分析

最鄰近樣本特征向量以及每個樣本特征向量之間具備比較大概率的同類文件，所以，需要在已知聚類樣本中對新增樣本鄰近查詢，合理計算最近鄰近樣本和新增樣本之間距離，如果具備超過定閥值的最短距離會在鄰近聚類中歸納新增樣本，反之就建立新聚類。構造特征向量空間的時候，一般都是對原始向量取值為{0，1），所以，建立快速聚類分析的時候主要應用臭氧散列函數，是隨機選擇的一組D維向量特征中K維自向量，依據實際索引情況進行適當索引，原始向量對應的結果中適當選取0或1，形成子向量。每次計算一種隨機向量結果的時候，就會出現與之對應的子向量K，如果具備相同的2個向量結果，屬于同一聚類。依據上述實際情況對病毒X和樣本A，B隨機選擇L為4的索引作為子向量，索引{4，5，7，8}，可以得到向量子集X是1111，向量子集B是1111，向量子集A是1001，可以發現X的最鄰近是B，而不是A。因此，不再檢測正常A文件，二次確認檢查疑似惡意程序的B樣本。

1.2自適應動態沙箱智能研判技術

國內外運行商首先提出處理網絡疑似病毒的模型基于平行沙箱的智能研判模型，可以在一定程度上安全檢測流量環境中的程序應用情況。基于此模型，建立了自然對數危險函數序列的深度等級量化智能研判技術，也就是說可以對安全等級進行判斷，智能化分析未知惡意程序，計算未知惡意程序等級基本公式為：

K=Roundl{In[d×e^α+w×e^β+j×e^γ+a×e^δ+m×e^ε]）

其中，α是多維度特征運算掃描結果，γ是自適應動態沙箱運算結果；β是掃描未知病毒結果，ε是掃描敏感字結果，δ是動態沙箱Android運算結果。上述值都屬于[0，10]，四舍五入處理是Round{），保留1位小數。特征庫映射以及計算惡意程危險函數序列之間關系如表1所示。

2互聯網惡意流量安全檢測技術應用

2.1系統設計架構

網絡惡意流量檢測系統包括集中管理模塊、惡意程序處置模塊、惡意程序分析模塊、流量采集模塊。設計系統結構的基本理念就是依據監測惡意程序引擎的方式來適當監測網絡惡意流量，并以智能方式多重過濾和研究檢測引擎依據上報惡意未知程序，健全網絡流量惡意程序特征庫，依據特征庫實際情況建立惡意程序處理模塊，CE路由器網絡需要主動攔截以及預防惡意程序，系統可以研制和捕獲典型網絡惡意程序，統一發布和管理封堵，集中角度封堵資源等。設計此系統的時候，采集原始流量利用PI口，訪問鏡像用戶互聯網和流量數據的還原文件、重組報文等，檢測惡意程序的時候合理應用惡意程序搜索引擎，對集中管理模塊提供檢測結果，系統核心就是集中管理模塊，可以達到運行管理、惡意URL管理、警告管理、報表展示、管理特征庫等功能，并且對處置模塊輸送合理的封堵策略。

2.2流量采集模塊

流量采集模塊根本作用就是可以收集網絡中類似惡意程序的軟件樣本、傳播地址源、行為特征以及受害用戶信息，可以分析惡意軟件。流量采集模塊可以存在多種實現形式，包括檢測業務平臺異動方式、檢測蜜罐被動方式、光路器選擇方式、鏡像方式、分光方式等。

2.3惡意程序分析模塊

惡意程序分析模塊應用根本作用實際上就是可以對鏡像用戶網絡流量進行流量分析，獲得RADIUS流量數據以及訪問網絡數據，合理連接集中管理模塊，可以對結果進行上報，并且集中分配管理配置策略。

2.4惡意程序處置模塊

惡意程序處置模塊根本作用就是能夠達到處置惡意程序的目的，依據查殺惡意執行程序的軟件、阻斷網絡惡意軟件傳播源等方式阻斷網絡惡意傳播行為和上下行流量網絡惡意程序。處置惡意程序的時候需要單獨應用物理接口，可以對管理信息進行傳遞。

2.5集中管理模塊

集中管理模塊根本作用就是可以為集中數據和分析數據提供基礎，為系統運行提供分析和檢測未知惡意程序基本功能，對下發病毒數據庫和病毒統計信息進行收集，依據收集的實際信息來認定惡意軟件，以此發現新軟件，對惡意軟件進行查殺，并且提出同步特征信息，為系統管理系統和分析報表等提供依據，為進一步研究和管理網絡流量提供基礎和保證。

3結語

本文深入分析和研究了網絡惡意流量檢測系統實現機制、構架設計等，把僵木蠕惡意流量監控技術合理應用在計算特征向量距離匯總，達到精確阻斷以及高速識別惡意流量的目的，基于自適應動態砂箱技術來對其進行分析，研究智能化云端系統，進一步分析網絡惡意流量檢測技術，對于整體提高網絡安全具備很大作用。