×

一种新的语义感知方法,用于检测恶意web流量。 (英语) Zbl 1452.94109号

Qing,Sihan(编辑)等,《信息与通信安全》。2017年ICICS第19届国际会议,2017年12月6日至8日,中国北京。诉讼程序。查姆:斯普林格。莱克特。注释计算。科学。10631, 633-645 (2018).
摘要:就网络危害而言,恶意网络流量是指访问网站的用户对恶意目标的请求,例如web漏洞、web外壳和上传的恶意广告网页。直接而全面地了解恶意网络访问对于防止网络泄露具有重要意义。然而,使用通用模型识别不同的恶意web流量是一项挑战。本文提出了一种新的语义感知方法,通过单独分析web访问来检测恶意web流量。并引入恶意活动的语义表示,使检测结果更容易理解。评估表明,我们的算法在检测恶意代码方面是有效的,平均准确率和召回率分别为90.8%和92.9%。此外,我们对从网络托管服务提供商收集的超过1.36亿个网络流量日志使用了我们的方法,其中检测到3995个独特的恶意IP,涉及数百个网站。结果表明,我们的方法有助于了解对手的意图。
关于整个系列,请参见[Zbl 1435.68039号].

MSC公司:

94A62型 身份验证、数字签名和秘密共享

软件:

github
PDF格式BibTeX公司 XML格式引用
全文: 内政部

参考文献:

[1] StopBadware和CommTouch:受损网站:所有者的观点。https://www.stopbadware.org/files/compremissed-websites-an-owners-perspective.pdf
[2] Alrwais,S.、Yuan,K.、Alowaisheq,E.、Liao,X.、Oprea,A.、Wang,X.和Li,Z.:在水坑捕捉捕食者:发现和理解战略受损网站。摘自:第32届计算机安全应用年度会议记录,第153-166页。ACM(2016)
[3] Li,F.,Ho,G.,Kuan,E.,Niu,Y.,Ballard,L.,Thomas,K.,Bursztein,E.,Paxson,V.:补救网络劫持:通知效力和网站管理员理解。摘自:第25届万维网国际会议记录,第1009-1019页。ACM(2016)
[4] Xie,G.,Hang,H.,Faloutsos,M.:扫描器猎人:了解http扫描流量。摘自:第九届ACM信息、计算机和通信安全研讨会论文集,第27-38页。ACM(2014)
[5] Kruegel,C.,Vigna,G.:网络攻击的异常检测。摘自:第十届ACM计算机和通信安全会议记录,第251-261页。ACM(2003)
[6] Valeur,F.、Mutz,D.、Vigna,G.:检测SQL攻击的基于学习的方法。摘自:入侵检测和恶意软件及漏洞评估会议记录,第123-140页(2005年)
[7] Robertson,W.,Vigna,G.,Kruegel,C.,Kemmerer,R.A.:在基于异常的网络攻击检测中使用泛化和表征技术。In:网络和分布式系统安全年度研讨会(NDSS)(2006)
[8] Song,Y.,Keromytis,A.D.,Stolfo,S.J.:光谱图:网络流量中异常检测的Markov-chains混合模型。在:年度网络和分布式系统安全研讨会(NDSS)(2009)
[9] Krueger,T.、Gehl,C.、Rieck,K.、Laskov,P.:TokDoc:一种自我修复的web应用程序防火墙。摘自:《2010年ACM应用计算研讨会论文集》,第1846-1853页。ACM(2010)
[10] Lampesberger,H.、Winter,P.、Zeilinger,M.、Hermann,E.:检测恶意web请求的在线学习统计模型。摘自:SecureComm,第19-38页(2011年)
[11] Zhang,J.,Xie,Y.,Yu,F.,Soukal,D.,Lee,W.:意图和起源:对大规模机器人查询的内部观察。In:网络和分布式系统安全年度研讨会(NDSS)(2013)
[12] Canali,D.和Balzarotti,D.:在线攻击的幕后:对网络上的剥削行为的分析。In:网络和分布式系统安全年度研讨会(NDSS)(2013)
[13] Starov,O.,Dahse,J.,Ahmad,S.S.,Holz,T.,Nikiforakis,N.:盗贼中没有荣誉:对恶意网页外壳的大规模分析。摘自:第25届万维网国际会议记录,第1021-1032页。ACM(2016)
[14] FireEye。检测并击败中国斩波网壳。https://www.fireeye.com/content/dam/fireye-www/global/en/current-threats/pdfs/rpt-china-chopper.pdf
[15] Liao,X.,Yuan,K.,Wang,X.、Pei,Z.、Yang,H.、Chen,J.、Duan,H.,K.、Alowaisheq,E.、Alrwais,S.、Xing,L.、Beyah,R.:寻找废话,寻找麻烦:通过语义不一致搜索进行有效的促销感染检测。摘自:IEEE安全与隐私研讨会,第707-723页(2016年)
[16] Paxson,V.:Bro:实时检测网络入侵者的系统。摘自:第七届USENIX安全研讨会(1998年)会议记录
[17] 阿帕切斯卡普。https://github.com/nanopony/apache-scalp
[18] 360兴图。
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。