網路惡意行為是指網路系統的硬體、軟體及其系統中的資料受到惡意**攻擊而遭到破壞、更改、洩露,致使系統不能連續可靠正常地執行,網路服務中斷的行為。
隨著資訊化的普及,網路新應用的大量出現,網路惡意**所表現出的行為也層出不窮,目前最流行的網路惡意行為是網頁掛馬、盜取網遊帳號、埠掃瞄、漏洞掃瞄、
arp欺騙、
ip劫持、
ddos
攻擊、溢位攻擊、木馬攻擊等。
2.1.1
syn flood
攻擊的含義
2.1.2
syn flood
攻擊的流程
2.1.1
syn flood
攻擊的行為特點
2.2.1
網頁木馬攻擊的含義
2.2.2
網頁木馬攻擊的流程
2.2.3
網頁木馬攻擊的行為特點
3.3.1
原子行為設計與實現
3.3.1.1
原子行為設計原則
3.3.1.2
原子行為實現體
3.3.2
行為規則庫的設計與實現
3.3.2.1
行為規則庫的設計
從上述的四類行為可知,網路惡意行為總體上可以從兩個方面來描述,乙個方面是基於協議棧的行為,針對這種行為可以從資料報中給出的資訊來刻畫;另一方面是基於主機作業系統的行為,針對這種行為可以從程序的行為資訊來刻畫。
總結傳統分析方法是通過對惡意**樣本進行分析,確認其型別和種類,了解其大致結構,提取特徵識別用的位元組串或特徵字,用於增添到病毒特徵庫以供病毒掃瞄和識別程式使用,進而為制定相應的反病毒措施提供有效的參考。這種傳統分析方法大多是從防護的觀點出發,旨在針對某種特定的惡意**提出乙個有效的解決方案,通常包括靜態分析和動態分析方法,對於一些類似的惡意**及其變種要進行重複分析,分析效率低,在對付有強大變種和多型變形特徵的病毒時往往顯得力不從心。
本分析方法具有結構清晰的優點,切合了惡意攻擊的本質,而且
attack tree
的資料表示更靈活,且具有可重用的特點。
另外,在乙個攻擊樹中,可根據攻擊行為,為每個節點賦予一定權值,權值的具體含義可由建模的具體要求而定。在攻擊樹中,每個節點的文字描述之後是其權值。根據權值可以計算出在各個方面所付出的代價的大小,進而確定最優對策。
常見使用者行為分析模型2
使用者分群即使用者資訊標籤化,通過使用者的歷史行為路徑 行為特徵 偏好等屬性,將具有相同屬性的使用者劃分為乙個群體,並進行後續分析。漏斗分析關注階段差異,使用者分群關注群體差異,通過漏斗分析可以看出使用者在不同階段表現出來的行為是不同的,譬如新使用者的關注點在 已購使用者什麼情況下會再次付費?但是由...
惡意程式行為特徵總匯
惡意程式行為特徵總匯 這裡把我所見到的一些病毒行為特徵總結一下列了出來,有些搞忘了,以後記起來了,或碰到新的行為特徵的時候我再新增進來。1 看起來就很不爽的圖示。2 執行不報錯,無反應,或者直接就自刪除不見了,這類情況很可能就是你中毒了。自刪除通常是在temp目錄下生成乙個bat檔案,迴圈嘗試刪 除...
自己動手搭建惡意軟體樣本行為分析環境(二)
樣本分析例項 樣本是乙個偽裝成wmv 檔案的可執行檔案,如圖 它使用了wmv檔案的圖示,由於windows預設不顯示已知檔案的副檔名,因此目標樣本的真實名字是wr.wmv.exe。分析流程 1 測試環境做乙個恢復用的快照 snapshot 使用體機的測試環境可以用ghost來達到相同目的。2 依次啟...