笔记缘由:在看论文的过程中,论文中提到在某个数据集中,有多少条恶意流量和非恶意流量,突然想到一个问题就是这些恶意流量是如何被判刑为恶意流量的?
1. 基于已知的恶意行为
通过已知的恶意行为来识别恶意流量,如果流量中存在这些恶意行为的特征,那么就会被判定为恶意行为。
问题:那么如何识别已知的恶意行为呢?
- 可以用基于特征的规则、模式匹配、签名检测等方法。
2. 基于异常检测
通过监视流量中的异常行为来识别恶意流量,比如流量的频率是否正常、流量的大小是否正常。但是判断是否异常也是需要一个判断为异常的标准,这个标准也是多种多样的。
3. 基于机器学习
通过提供标记好的数据样本进行机器学习训练,从标记数据中学习恶意流量和非恶意流量的特征,从而根据学习要的特征对未知的流量进行分类。
4. 基于黑名单/白名单
- 黑名单:包含已知的恶意IP地址、域名、URL等;
- 白名单:包含已知的合法IP地址、域名、URL等。
值得注意的是,流量的恶意性是动态的,恶意行为不断变化和演变,因此恶意流量识别系统也需要不断更新和改进!!
)
)
)
