在威胁检测中,特征提取是从原始数据里提炼出能反映潜在威胁的关键信息的过程,以下是常见技术:
网络流量特征提取
- 流量统计特征:统计网络流量的基本参数,如单位时间内的数据包数量、字节数,数据包的平均大小、大小分布等。例如,短时间内出现大量小数据包可能是DDoS攻击的特征;数据包大小分布异常,如大部分数据包大小固定且不符合正常业务模式,也可能暗示威胁。
- 协议相关特征:分析网络协议的使用情况,如TCP、UDP、ICMP等协议的各类参数。像TCP协议中的端口号、标志位(SYN、ACK、FIN等),异常的端口号使用或标志位组合可能是恶意行为的体现;UDP协议的流量异常增长可能与UDP Flood攻击有关。
- 连接特征:关注网络连接的属性,如连接的持续时间、连接的源IP和目的IP地址、连接的频率等。频繁与陌生IP建立短连接,或者同一源IP在短时间内与大量不同目的IP建立连接,都可能是异常行为。
系统日志特征提取
- 登录信息特征:从系统登录日志中提取登录时间、登录地点、登录方式、登录用户名等特征。异常的登录时间(如深夜频繁登录)、非常用地点登录或多次登录失败等情况,都可能表示存在安全威胁。
- 操作行为特征:记录用户在系统中的操作行为,如文件访问、进程启动、注册表修改等。异常的文件访问模式(如大量读取敏感文件)、非授权进程启动等都可能是恶意活动的迹象。
- 系统资源使用特征:监测系统资源的使用情况,如CPU使用率、内存使用率、磁盘I/O等。突然的资源使用高峰且无法用正常业务解释,可能是恶意程序在后台运行导致的。
文件特征提取
- 文件元数据特征:包括文件的创建时间、修改时间、访问时间、文件大小、文件类型等。异常的文件时间戳修改,或者文件大小与文件类型不匹配,都可能暗示文件被篡改。
- 文件内容特征:对于可执行文件,可以提取其代码特征,如函数调用序列、指令模式等;对于文档文件,可以分析其文本内容、格式特征等。恶意软件通常具有独特的代码模式和行为特征,通过分析文件内容可以识别潜在的威胁。
主机行为特征提取
- 进程行为特征:监测系统中进程的行为,如进程的资源占用情况、与其他进程的交互关系、进程的执行路径等。异常的进程资源占用(如CPU或内存占用过高)、进程之间的异常通信等都可能是恶意进程的表现。
- 注册表特征:在Windows系统中,注册表包含了系统的重要配置信息。分析注册表的键值修改、新增或删除情况,可以发现潜在的威胁。例如,恶意软件可能会修改注册表以实现自启动或隐藏自身。