BotProfiler公司

BotProfiler:分析HTTP请求中子字符串的可变性,以检测受恶意软件感染的主机。恶意软件在不断演变,这使得它很难阻止它感染主机。针对恶意软件感染的许多对策,例如生成基于网络的签名或模板,已经被研究过。此类模板旨在引入正则表达式来检测攻击者进行的多态攻击。然而,此类模板的一个潜在问题是,由于正则表达式的固有特性,它们有时会错误地将良性通信视为恶意通信,从而导致误报。对恶意软件的响应应该保持很高的成本,因为对假阳性的响应是相当高的。因此,我们提出一个系统来产生比传统系统更少误报的模板。我们关注的关键思想是,恶意基础设施(如命令和控制)倾向于被重用,而不是从头开始创建。实验结果表明,与传统系统相比,该系统可减少误报率达三分之二,甚至提高了被感染主机的检测率。