3.3.4　识别和量化恶意软件的指标

本文讲的是网络空间欺骗：构筑欺骗防御的科学基石一3.3.4　识别和量化恶意软件的指标,该步骤的关键是建立识别和区分恶意活动和良性活动的指标。良性活动包括从无活动到典型的Web浏览和运行可执行文件。在测试平台上执行两个跟踪数据收集进程以实现评估基线的设定。对于无活动基线策略，顾名思义，就是客户端不执行活动；测量的第二个行为基线，即良性活动，其中客户端PC用于执行各种良性活动，例如启动Web浏览器查看CNN.com上的文章，以及在Amazon.com上购物。基于基线集，防御方可以对有意义的恶意软件样本的运行数据进行跟踪和收集，并将测量的数据与基线进行比较，从而指示并识别可能存在的恶意活动。例如，一个恶意软件示例在执行DNS解析时显示非常规的DNS查询，这些查询的摘录具体如图3.9所示。

图3.9　DNS解析操作期间捕获的数据包

在收集的网络迹象中导出各种度量结果。在DNS fluxing示例中，由于是基于定时的查询方法，所以生成的度量数据与良性的查询不同。此外，查询大小的均值和方差可以说明某类域生成算法在工作。通过收集和跟踪数据，恶意活动的概率可基于观测良性活动后度量得到。对这些概率计算的深入探讨详见3.4节，其中主要涉及的是隐蔽微积分。

原文标题：网络空间欺骗：构筑欺骗防御的科学基石一3.3.4　识别和量化恶意软件的指标