当前主流基于主机行为特征的间谍软件检测方法存在难以获取间谍软件的全部主机行为、漏报率较高等问题.重点关注间谍软件传输所窃取数据的网络行为,明确"间谍软件网络通信阶段"的概念,提出了基于网络通信行为特征的间谍软件检测方法(Spyware Detection Method based on Network Communication Behavior Characteristics,SDMNC).SDMNC以间谍软件网络通信阶段的通信会话为检测对象,提取会话持续时间、上行/下行数据包数量比、上行/下行数据量比等通信行为特征,运用机器学习算法训练检测模型以判别间谍软件流量和正常软件流量.实验结果显示,SDMNC在使用随机森林算法时,能以99.2%、97.4%的准确率分别检测出实验数据集中已知和未知间谍软件样本的流量.
Spyware Detection Method Based on Network Communication Behavior characteristics
国家科技期刊平台
NSTL
万方数据
维普
