网络恶意流量检测技术研究

郭成林

摘要：随着社会的发展以及互联网技术的进步，越来越重视网络安全问题。文章主要分析了网络中日渐明显的恶意流量安全检测问题，着重研究了一些恶意流量安全检测技术，如自适应动态沙箱智能研判技术、僵木蠕流量高速识别技术等，最后依据集中管理全网监测，协同发展控制策略的理念，建立了云端一体化安全检测恶意流量技术体系。

关键词：互联网；恶意流量；安全检测

全球规模最大的宽带互联网就是China Net，拥有超过40Tbit/s的骨干网流量，互联网每年都以60%速度增长，越来越重视互联网安全问题，逐渐凸显恶意流量网络安全问题，2013年，持续增加移动互联网恶意程序，传播恶意程序的互联网已经达到1296万次，互联网环境逐渐恶化，不完善的审核机制和能力差的检测技术，使恶意程序扩散，导致污染移动互联网上游环节，加速恶意程序发展速度，为了有效解决上述问题，本文主要分析了网络恶意流量检测技术。

1互联网恶意流量安全检测技术研究

1.1高效“僵木蠕”流量高速识别技术

1.1.1提取文件特征

分析的基本案例就是Android程序，一般来说，会对Android程序内部权限构成文件的特征向量进行提取，如，应用Android程序权限的时候，主要就是依据Android程序提出了134个划分权限列表特征，例如，读取手机短信、手机状态、读取通讯录、读取地理位置、读取通话记录、拦截普通短信、发送短信、修改系统设置、访问网络、结束后台程序、获得IMEI密码等。

1.1.2构造特征向量空间

构造特征向量空间的时候，可以把特征提出的Android程序描述串合理变为{0，1）取值向量。计算特征向量的时候，因为会占据很大空间，主要应用的形式是索引向量，如，依据特征索引方式来合理提取高危权限网络恶意程序特征。假设已知样本A，B以及病毒X提出特征数据结果分别是文件带有病毒X的提出特征描述串：

{READ_SMS，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）：

提出B文件样本特征描述串：

{WRITE_EXTERNAL_STORAGE，READ_MSM，ACCESS_NETWORK_STATE，READ_CONTACTS，CALL_PHONE，WRITE_SMS）；

提出A文件样本特征描述串：

{READ_PHONE_STATE，SEND_SMS，WRITE_EXTERNAL_STORAGE，READ_MSM，，WRITE_SMS）。病毒X和样本A，B向量基本形式为X00011111，B00111111，A11110001。病毒X以及样本A，B索引基本形式是X{3，4，5，6，7}，B{2，3，4，5，6，7），A{0，1，2，3，7}。

1.1.3快速聚类分析

最邻近样本特征向量以及每个样本特征向量之间具备比较大概率的同类文件，所以，需要在已知聚类样本中对新增样本邻近查询，合理计算最近邻近样本和新增样本之间距离，如果具备超过定阀值的最短距离会在邻近聚类中归纳新增样本，反之就建立新聚类。构造特征向量空间的时候，一般都是对原始向量取值为{0，1），所以，建立快速聚类分析的时候主要应用臭氧散列函数，是随机选择的一组D维向量特征中K维自向量，依据实际索引情况进行适当索引，原始向量对应的结果中适当选取0或1，形成子向量。每次计算一种随机向量结果的时候，就会出现与之对应的子向量K，如果具备相同的2个向量结果，属于同一聚类。依据上述实际情况对病毒X和样本A，B随机选择L为4的索引作为子向量，索引{4，5，7，8}，可以得到向量子集X是1111，向量子集B是1111，向量子集A是1001，可以发现X的最邻近是B，而不是A。因此，不再检测正常A文件，二次确认检查疑似恶意程序的B样本。

1.2自适应动态沙箱智能研判技术

国内外运行商首先提出处理网络疑似病毒的模型基于平行沙箱的智能研判模型，可以在一定程度上安全检测流量环境中的程序应用情况。基于此模型，建立了自然对数危险函数序列的深度等级量化智能研判技术，也就是说可以对安全等级进行判断，智能化分析未知恶意程序，计算未知恶意程序等级基本公式为：

K=Roundl{In[d×e^α+w×e^β+j×e^γ+a×e^δ+m×e^ε]）

其中，α是多维度特征运算扫描结果，γ是自适应动态沙箱运算结果；β是扫描未知病毒结果，ε是扫描敏感字结果，δ是动态沙箱Android运算结果。上述值都属于[0，10]，四舍五入处理是Round{），保留1位小数。特征库映射以及计算恶意程危险函数序列之间关系如表1所示。

2互联网恶意流量安全检测技术应用

2.1系统设计架构

网络恶意流量检测系统包括集中管理模块、恶意程序处置模块、恶意程序分析模块、流量采集模块。设计系统结构的基本理念就是依据监测恶意程序引擎的方式来适当监测网络恶意流量，并以智能方式多重过滤和研究检测引擎依据上报恶意未知程序，健全网络流量恶意程序特征库，依据特征库实际情况建立恶意程序处理模块，CE路由器网络需要主动拦截以及预防恶意程序，系统可以研制和捕获典型网络恶意程序，统一发布和管理封堵，集中角度封堵资源等。设计此系统的时候，采集原始流量利用PI口，访问镜像用户互联网和流量数据的还原文件、重组报文等，检测恶意程序的时候合理应用恶意程序搜索引擎，对集中管理模块提供检测结果，系统核心就是集中管理模块，可以达到运行管理、恶意URL管理、警告管理、报表展示、管理特征库等功能，并且对处置模块输送合理的封堵策略。

2.2流量采集模块

流量采集模块根本作用就是可以收集网络中类似恶意程序的软件样本、传播地址源、行为特征以及受害用户信息，可以分析恶意软件。流量采集模块可以存在多种实现形式，包括检测业务平台异动方式、检测蜜罐被动方式、光路器选择方式、镜像方式、分光方式等。

2.3恶意程序分析模块

恶意程序分析模块应用根本作用实际上就是可以对镜像用户网络流量进行流量分析，获得RADIUS流量数据以及访问网络数据，合理连接集中管理模块，可以对结果进行上报，并且集中分配管理配置策略。

2.4恶意程序处置模块

恶意程序处置模块根本作用就是能够达到处置恶意程序的目的，依据查杀恶意执行程序的软件、阻断网络恶意软件传播源等方式阻断网络恶意传播行为和上下行流量网络恶意程序。处置恶意程序的时候需要单独应用物理接口，可以对管理信息进行传递。

2.5集中管理模块

集中管理模块根本作用就是可以为集中数据和分析数据提供基础，为系统运行提供分析和检测未知恶意程序基本功能，对下发病毒数据库和病毒统计信息进行收集，依据收集的实际信息来认定恶意软件，以此发现新软件，对恶意软件进行查杀，并且提出同步特征信息，为系统管理系统和分析报表等提供依据，为进一步研究和管理网络流量提供基础和保证。

3结语

本文深入分析和研究了网络恶意流量检测系统实现机制、构架设计等，把僵木蠕恶意流量监控技术合理应用在计算特征向量距离汇总，达到精确阻断以及高速识别恶意流量的目的，基于自适应动态砂箱技术来对其进行分析，研究智能化云端系统，进一步分析网络恶意流量检测技术，对于整体提高网络安全具备很大作用。