基于網(wǎng)絡(luò)通信行為特征的間諜軟件檢測(cè)方法*

徐 婷 郭 春 申國(guó)偉 周雪梅

（貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院公共大數(shù)據(jù)國(guó)家重點(diǎn)實(shí)驗(yàn)室 貴陽(yáng) 550025）

1 引言

間諜軟件［1］主要指在未經(jīng)用戶(hù)許可情況下收集并使用用戶(hù)個(gè)人隱私數(shù)據(jù)或機(jī)密信息的計(jì)算機(jī)程序，是攻擊者廣泛使用的一種竊密軟件。為便于敘述，本文將被植入間諜軟件的一端統(tǒng)稱(chēng)為竊密端（類(lèi)似正常軟件客戶(hù)端），將接收竊密信息的一端統(tǒng)稱(chēng)為接收端（類(lèi)似正常軟件服務(wù)端）。間諜軟件被植入到竊密端后，會(huì)盡可能隱蔽竊取受害主機(jī)的隱私信息［2］，這使得準(zhǔn)確檢測(cè)間諜軟件成為惡意軟件檢測(cè)領(lǐng)域的一個(gè)難點(diǎn)。

現(xiàn)階段基于特征碼的檢測(cè)技術(shù)［3］無(wú)法檢測(cè)未在特征庫(kù)中的間諜軟件。而間諜軟件感染主機(jī)后僅在不連續(xù)的較短時(shí)間段內(nèi)執(zhí)行其竊密行為［4］，導(dǎo)致基于主機(jī)行為的檢測(cè)方法對(duì)其檢測(cè)漏報(bào)率較高。間諜軟件作為以竊取數(shù)據(jù)為主要意圖的惡意軟件，將受害主機(jī)上竊取的隱私信息遠(yuǎn)程傳送給攻擊者是其必要步驟。當(dāng)前，因特網(wǎng)是攻擊者與間諜軟件通信的主要通道。因此，本文重點(diǎn)關(guān)注間諜軟件網(wǎng)絡(luò)通信行為，從待檢測(cè)主機(jī)的網(wǎng)絡(luò)流量中提取間諜軟件網(wǎng)絡(luò)通信行為特征，構(gòu)建一種基于網(wǎng)絡(luò)通信行為特征的間諜軟件檢測(cè)方法（spyware detection method based on network communication behavior characteristics，SDMNC）。

本文主要工作如下：

1）實(shí)驗(yàn)分析多款間諜軟件的網(wǎng)絡(luò)通信行為，從間諜軟件攻擊意圖角度探究間諜軟件“網(wǎng)絡(luò)通信階段”存在的必然性，為設(shè)計(jì)基于網(wǎng)絡(luò)通信行為的間諜軟件檢測(cè)方法奠定基礎(chǔ)；

2）提出一種基于網(wǎng)絡(luò)通信行為特征的間諜軟件檢測(cè)方法SDMNC。SDMNC從網(wǎng)絡(luò)通信行為中提取會(huì)話(huà)持續(xù)時(shí)間、上行/下行數(shù)據(jù)包數(shù)量比、上行/下行數(shù)據(jù)量比等通信行為特征，運(yùn)用機(jī)器學(xué)習(xí)算法建立檢測(cè)模型實(shí)現(xiàn)間諜軟件檢測(cè)。

2 相關(guān)工作

當(dāng)前惡意軟件檢測(cè)方法可以分為靜態(tài)檢測(cè)方法和動(dòng)態(tài)檢測(cè)方法。本文工作主要涉及的是基于行為特征的動(dòng)態(tài)檢測(cè)方法，該類(lèi)方法主要分為基于主機(jī)行為特征的檢測(cè)方法和基于網(wǎng)絡(luò)行為特征的檢測(cè)方法［5］。

2.1 基于主機(jī)行為特征的檢測(cè)方法

基于主機(jī)行為特征的檢測(cè)方法通過(guò)從某程序在主機(jī)中運(yùn)行時(shí)所使用的系統(tǒng)資源信息（如系統(tǒng)API調(diào)用［6］、CPU使用信息［6］、進(jìn)程網(wǎng)絡(luò)行為［8］等）中提取特征來(lái)判斷其是否為惡意軟件。該方法被大多數(shù)研究者應(yīng)用于檢測(cè)間諜軟件。

Majid等［9］通過(guò)監(jiān)視鍵盤(pán)驅(qū)動(dòng)程序棧的變化來(lái)檢測(cè)鍵盤(pán)記錄器。Javaheri等［10］通過(guò)監(jiān)控與截取屏幕相關(guān)的API操作，實(shí)現(xiàn)對(duì)鍵盤(pán)記錄器與屏幕竊取器的檢測(cè)。武紅濤［11］通過(guò)捕獲間諜軟件文件或注冊(cè)表操作行為，結(jié)合貝葉斯算法進(jìn)行間諜軟件檢測(cè)。基于主機(jī)行為特征的方法需要以軟件的主機(jī)行為特征作為判定一個(gè)軟件有無(wú)惡意性的依據(jù)。由于間諜軟件執(zhí)行其竊密行為的時(shí)長(zhǎng)短，導(dǎo)致這類(lèi)方法對(duì)間諜軟件難以獲取很高的檢測(cè)率。

2.2 基于網(wǎng)絡(luò)行為特征的檢測(cè)方法

基于網(wǎng)絡(luò)行為特征的檢測(cè)方法通過(guò)提取惡意軟件交互的網(wǎng)絡(luò)通信流量特征作為依據(jù)來(lái)判斷其是否為惡意軟件。

JIANG等［12］使用數(shù)據(jù)包數(shù)量、數(shù)據(jù)包大小等七個(gè)特征，并采用隨機(jī)森林（Random Forest，RF）算法構(gòu)建模型對(duì)木馬類(lèi)惡意流量進(jìn)行檢測(cè)。王偉等［13］提出了一種使用原始流量數(shù)據(jù)結(jié)合卷積神經(jīng)網(wǎng)絡(luò)應(yīng)用于惡意軟件流量分類(lèi)的方法，該方法以原始流量作為模型輸入，減少了人工設(shè)計(jì)特征步驟。JIANG等［14］使用標(biāo)志位、會(huì)話(huà)個(gè)數(shù)等八個(gè)特征，并采用XGBoost算法構(gòu)建模型對(duì)木馬流量進(jìn)行檢測(cè)?；诰W(wǎng)絡(luò)行為特征的檢測(cè)方法以惡意軟件的網(wǎng)絡(luò)流量為分析對(duì)象，不受惡意軟件使用的各種主機(jī)隱藏技術(shù)影響，但當(dāng)前基于網(wǎng)絡(luò)行為特征的檢測(cè)方法應(yīng)用于間諜軟件檢測(cè)的國(guó)內(nèi)外相關(guān)研究較少。

3 間諜軟件網(wǎng)絡(luò)通信階段分析

通過(guò)文獻(xiàn)［11］的研究結(jié)果和本文的實(shí)驗(yàn)分析可知，間諜軟件的生命周期大致包含傳播、植入、潛伏、竊密、網(wǎng)絡(luò)通信五個(gè)階段。攻擊者為實(shí)現(xiàn)通過(guò)間諜軟件遠(yuǎn)程獲取受害者數(shù)據(jù)的目的，將從受害者主機(jī)上收集的數(shù)據(jù)通過(guò)因特網(wǎng)等通道發(fā)送給攻擊者是間諜軟件必不可少的行為。因此，從間諜軟件攻擊意圖的角度看，其具有存在“網(wǎng)絡(luò)通信階段”的必然性。

定義1（間諜軟件網(wǎng)絡(luò)通信階段）本文將間諜軟件發(fā)起的從TCP連接建立到釋放連接之間的通信行為定義為一次數(shù)據(jù)通信行為，間諜軟件實(shí)施數(shù)據(jù)通信行為的時(shí)間段即為其網(wǎng)絡(luò)通信階段。

為分析不同間諜軟件網(wǎng)絡(luò)通信階段的存在情況及持續(xù)時(shí)長(zhǎng)，本文搭建環(huán)境并收集15款間諜軟件在60s內(nèi)的網(wǎng)絡(luò)通信行為（各軟件在此期間至少有一次通信行為），結(jié)果如表1所示。所分析的15款間諜軟件均具有網(wǎng)絡(luò)通信階段，其發(fā)送竊取數(shù)據(jù)所用的傳輸層協(xié)議均為T(mén)CP協(xié)議。此外，表1還顯示所分析的間諜軟件的網(wǎng)絡(luò)通信階段平均所持續(xù)時(shí)長(zhǎng)t為1.2s，均遠(yuǎn)低于這些間諜軟件60s的總運(yùn)行時(shí)長(zhǎng)T。

表1 間諜軟件通信行為特性

4 基于網(wǎng)絡(luò)通信行為特征的間諜軟件檢測(cè)方法

4.1 方法框架

由于間諜軟件網(wǎng)絡(luò)通信階段存在的必然性，本文將間諜軟件的網(wǎng)絡(luò)通信行為作為對(duì)象，提出一種基于網(wǎng)絡(luò)通信行為特征的間諜軟件檢測(cè)方法SDMNC。

本文將檢測(cè)單元設(shè)為T(mén)CP會(huì)話(huà)，由｛源IP地址、源端口、目的IP地址、目的端口、協(xié)議｝五元組確定。如圖1所示，SDMNC首先對(duì)收集的間諜軟件網(wǎng)絡(luò)流量進(jìn)行TCP會(huì)話(huà)抽取得到間諜軟件TCP會(huì)話(huà)集。相應(yīng)地，SDMNC采集用戶(hù)使用正常軟件時(shí)所產(chǎn)生的網(wǎng)絡(luò)通信流量并抽取其TCP會(huì)話(huà)，保留會(huì)話(huà)中由各內(nèi)部主機(jī)發(fā)起的會(huì)話(huà)得到正常軟件TCP會(huì)話(huà)集。之后，將會(huì)話(huà)集作為訓(xùn)練集并提取其中每個(gè)會(huì)話(huà)的流量特征并結(jié)合機(jī)器學(xué)習(xí)算法訓(xùn)練一個(gè)檢測(cè)模型，用以判別各待檢測(cè)TCP會(huì)話(huà)對(duì)應(yīng)正常軟件流量還是間諜軟件流量。

圖1 基于網(wǎng)絡(luò)通信行為特征的間諜軟件檢測(cè)方法

4.2 特征提取

綜合考慮檢測(cè)精度和檢測(cè)效率，SDMNC所采用的特征需要具有高區(qū)分度且特征數(shù)量不宜太多。本階段進(jìn)一步從會(huì)話(huà)持續(xù)時(shí)間、上行/下行數(shù)據(jù)包數(shù)量比、上行/下行數(shù)據(jù)量三個(gè)方面分析間諜軟件網(wǎng)絡(luò)通信階段與正常軟件數(shù)據(jù)交互的會(huì)話(huà)之間存在的區(qū)別，其中由間諜軟件竊密端向間諜軟件接收端的傳輸流量稱(chēng)為上行流量，反之即為下行流量。本階段從所收集的正常軟件會(huì)話(huà)集中選取三款正常軟件的連續(xù)會(huì)話(huà)（每組30個(gè)），并在隨機(jī)選取的三款間諜軟件中各選取一組連續(xù)會(huì)話(huà)（每組30個(gè)）為代表進(jìn)行圖表展示。

4.2.1 會(huì)話(huà)持續(xù)時(shí)間

間諜軟件通常按設(shè)定的時(shí)間間隔周期性發(fā)送數(shù)據(jù)，其竊密端發(fā)送數(shù)據(jù)量較小，故會(huì)話(huà)持續(xù)時(shí)間較短。而正常軟件交互數(shù)據(jù)時(shí)其交互時(shí)長(zhǎng)和數(shù)據(jù)大小均不定，但其不需要隱藏通信行為故其通信時(shí)長(zhǎng)通常較間諜軟件長(zhǎng)。如圖2所示，圖中的各間諜軟件的最大會(huì)話(huà)持續(xù)時(shí)間和平均會(huì)話(huà)持續(xù)時(shí)間均遠(yuǎn)少于正常軟件。

圖2 不同軟件會(huì)話(huà)持續(xù)時(shí)間

本文提取會(huì)話(huà)持續(xù)時(shí)間這一網(wǎng)絡(luò)通信行為特征，記為T(mén)duration。首先抽取正常軟件會(huì)話(huà)集（記為N）與間諜軟件會(huì)話(huà)集（記為S），并獲取N與S的會(huì)話(huà)數(shù)目。在提取Tduration時(shí)，將每個(gè)會(huì)話(huà)中第一條TCP流的時(shí)間視為該條會(huì)話(huà)的開(kāi)始時(shí)間Tfirst（即對(duì)第i條會(huì)話(huà)，記為T(mén)first-i），將每個(gè)會(huì)話(huà)中最后一條TCP流結(jié)束的時(shí)間視為該會(huì)話(huà)的結(jié)束時(shí)間Tend（即對(duì)第i條會(huì)話(huà)，記為T(mén)end-i）。對(duì)于第k個(gè)會(huì)話(huà)而言，其Tduration特征通過(guò)式（1）計(jì)算。

4.2.2 上行/下行數(shù)據(jù)包數(shù)量比

間諜軟件通信時(shí)除協(xié)議層面必要的數(shù)據(jù)包交互外，竊密端發(fā)送數(shù)據(jù)包給接收端但接收端不對(duì)其進(jìn)行回應(yīng)，導(dǎo)致該過(guò)程中數(shù)據(jù)包數(shù)量較少；而正常軟件建立連接后客戶(hù)端頻繁進(jìn)行請(qǐng)求，其服務(wù)端進(jìn)行相應(yīng)響應(yīng)。如圖3所示，圖中各間諜軟件會(huì)話(huà)的上行/下行數(shù)據(jù)包數(shù)量比的值通常小于正常軟件。

圖3 不同軟件的上行/下行數(shù)據(jù)包數(shù)量比

本文提取上行/下行數(shù)據(jù)包數(shù)量比網(wǎng)絡(luò)通信行為特征，記為Pratio。首先分別統(tǒng)計(jì)N與S中每個(gè)會(huì)話(huà)中上行數(shù)據(jù)流的數(shù)目（Pup）及其下行數(shù)據(jù)流的數(shù)目（Pdown）。然后計(jì)算得到上行/下行流量數(shù)據(jù)包的數(shù)量，并計(jì)算每個(gè)會(huì)話(huà)的Pratio，其中第i（i≥1）個(gè)會(huì)話(huà)的上行/下行數(shù)據(jù)流數(shù)目記為Pup-i或Pdown-i。對(duì)于第k個(gè)會(huì)話(huà)而言，其Pratio特征通過(guò)式（2）計(jì)算。

4.2.3 上行/下行數(shù)據(jù)量比

除去通信雙方建立連接以及使用SSL加密協(xié)議所產(chǎn)生的必要的數(shù)據(jù)傳輸之外，間諜軟件出于隱藏自身的需求其接收端通常僅接收竊密端的數(shù)據(jù)而不進(jìn)行響應(yīng)；而正常軟件服務(wù)端和客戶(hù)端交互數(shù)據(jù)由不同的請(qǐng)求和響應(yīng)組成。如圖4所示，圖中各間諜軟件會(huì)話(huà)的上行/下行數(shù)據(jù)量比值大小通常大于正常軟件。

圖4 不同軟件的上行/下行數(shù)據(jù)量比

本文提取上行/下行數(shù)據(jù)量比網(wǎng)絡(luò)通信行為特征，記為Dratio。首先統(tǒng)計(jì)N與S中每個(gè)會(huì)話(huà)中上行數(shù)據(jù)流的大小（記為Dup）及其下行數(shù)據(jù)流的大?。ㄓ洖镈down）。然后計(jì)算得到Dratio，其中第i（i≥1）個(gè)會(huì)話(huà)的上行/下行數(shù)據(jù)流數(shù)目記為Dup-i或Ddown-i。對(duì)于第k個(gè)會(huì)話(huà)而言，其Dratio特征通過(guò)式（3）計(jì)算。

由于所提取的三個(gè)特征的取值范圍差別較大，SDMNC對(duì)這些特征的數(shù)值進(jìn)行了歸一化處理。

4.3 訓(xùn)練與檢測(cè)

本階段基于從網(wǎng)絡(luò)通信階段會(huì)話(huà)中提取的特征向量xk=（Tduration，Pratio，Dratio）構(gòu)建間諜軟件檢測(cè)模型，用以區(qū)分正常軟件與間諜軟件流量。通過(guò)對(duì)所提取的特征向量添加類(lèi)別標(biāo)簽（正常軟件會(huì)話(huà)為0，間諜軟件會(huì)話(huà)為1）得到訓(xùn)練集，然后使用機(jī)器學(xué)習(xí)算法（如支持向量機(jī)［15］Support Vector Machines-SVM、K近 鄰［16］K-Nearest Neighbor-KNN、RF［17］）訓(xùn)練間諜軟件檢測(cè)模型，最后使用訓(xùn)練得到的檢測(cè)模型對(duì)測(cè)試集中的待檢測(cè)會(huì)話(huà)進(jìn)行檢測(cè)以判別其屬性。

5 實(shí)驗(yàn)

5.1 實(shí)驗(yàn)環(huán)境和數(shù)據(jù)集

本文在Vmware虛擬機(jī)中安裝Windows 7操作系統(tǒng)作為間諜軟件竊密端的運(yùn)行環(huán)境，并在其中安裝了WPS、360瀏覽器等常用正常軟件，其中Ftp接收端與Email接收端分別處于內(nèi)網(wǎng)和外網(wǎng)。實(shí)驗(yàn)的間諜軟件如表1所示。正常軟件包括迅雷、QQ等常用軟件，如表2所示。

表2 實(shí)驗(yàn)所用正常軟件

正常軟件流量采集于安裝有表2中正常軟件的實(shí)驗(yàn)室內(nèi)部主機(jī)的網(wǎng)絡(luò)流量。實(shí)驗(yàn)中每個(gè)間諜軟件每次收集約3h流量數(shù)據(jù)，并將其發(fā)送時(shí)間間隔在［1min，5min］之間進(jìn)行設(shè)置。本次實(shí)驗(yàn)將收集到的正常軟件流量與間諜軟件流量劃分為訓(xùn)練集、測(cè)試集1和測(cè)試集2。其中訓(xùn)練集用于訓(xùn)練檢測(cè)模型，測(cè)試集1為訓(xùn)練集所包含軟件在不同于訓(xùn)練集流量采集時(shí)間段所采集的流量，用于測(cè)試SDMNC對(duì)已知間諜軟件流量的檢測(cè)能力；將未在訓(xùn)練集和測(cè)試集1中出現(xiàn)過(guò)的Silent Keylogger、Spyrix Personal Monitor間諜軟件產(chǎn)生流量作為測(cè)試集2中的間諜軟件流量，用于測(cè)試SDMNC對(duì)未知間諜軟件流量的檢測(cè)能力。實(shí)驗(yàn)數(shù)據(jù)如表3所示。

表3 實(shí)驗(yàn)數(shù)據(jù)集

5.2 評(píng)估標(biāo)準(zhǔn)

本文采用準(zhǔn)確率（Accuracy-ACC）、精確率（Precision-P）召回率（Recall-R）以及F1-score（F1）來(lái)衡量方法的檢測(cè)效果。

5.3 實(shí)驗(yàn)結(jié)果及分析

5.3.1 實(shí)驗(yàn)結(jié)果

本文實(shí)驗(yàn)測(cè)試了SDMNC使用SVM、KNN、RF三種不同的機(jī)器學(xué)習(xí)算法來(lái)構(gòu)建其檢測(cè)模型時(shí)的不同檢測(cè)效果。這些算法在實(shí)驗(yàn)中均使用默認(rèn)參數(shù)。如表4、表5所示，分別給出了SDMNC使用不同機(jī)器學(xué)習(xí)算法對(duì)測(cè)試集1及測(cè)試集2進(jìn)行檢測(cè)得到的ACC、P、R和F1值。

表4 SDMNC在測(cè)試集1上獲得的ACC，P，R和F1值

表5 SDMNC在測(cè)試集2上獲得的ACC，P，R和F1值

如表4所示，SDMNC使用RF算法時(shí)獲得的ACC、P和F1值最高，分別能達(dá)到99.2%、99.5%和99.5%；SDMNC使用KNN算法時(shí)獲得的R最高，達(dá)到了99.8%。該結(jié)果表明SDMNC能夠準(zhǔn)確區(qū)分測(cè)試集1中的間諜軟件流量與正常軟件流量。

如表5所示，SDMNC使用RF算法時(shí)獲得的ACC、P和F1值最高，其值分別為97.4%、98.8%和98.5%；SDMNC使用KNN算法時(shí)獲取的R最高（99.8%）。該結(jié)果表明SDMNC對(duì)未知的間諜軟件流量也有很高的檢測(cè)精度。

為進(jìn)一步評(píng)估SDMNC的檢測(cè)效果，本文將其與文獻(xiàn)［12］、文獻(xiàn)［13］和文獻(xiàn)［14］所提出的檢測(cè)方法在本文數(shù)據(jù)集上進(jìn)行對(duì)比實(shí)驗(yàn)，結(jié)果如表6和表7所示。

表6 不同方法在測(cè)試集1上獲得的ACC，P，R和F1值

表7 不同方法在測(cè)試集2上獲得的ACC，P，R和F1值

如表6和表7所示，對(duì)比四種檢測(cè)方法在測(cè)試集1和測(cè)試集2上的檢測(cè)結(jié)果，可以看到SDMNC在ACC和F1這兩個(gè)綜合指標(biāo)上均明顯優(yōu)于文獻(xiàn)［12］、文獻(xiàn)［13］和文獻(xiàn)［14］的方法。該結(jié)果表明，與文獻(xiàn)［12］、文獻(xiàn)［13］和文獻(xiàn)［14］的方法相比，SDMNC能夠以更高的準(zhǔn)確率區(qū)分間諜軟件流量與正常軟件流量。

5.3.2 實(shí)驗(yàn)結(jié)果分析

為進(jìn)一步分析本文所提方法，本文對(duì)比了文獻(xiàn)［12］、文獻(xiàn)［13］和文獻(xiàn)［14］方法中的特征數(shù)量以及訓(xùn)練及檢測(cè)的時(shí)長(zhǎng)，結(jié)果如表8所示。

表8 不同方法的訓(xùn)練及檢測(cè)時(shí)長(zhǎng)

由表8可以看到，文獻(xiàn)［12］和文獻(xiàn)［14］均使用機(jī)器學(xué)習(xí)算法訓(xùn)練模型，但它們所使用的特征數(shù)量（分別為7個(gè)和8個(gè)）均多于SDMNC所需特征數(shù)量（3個(gè)）。文獻(xiàn)［13］的方法通過(guò)卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練檢測(cè)模型，其模型訓(xùn)練復(fù)雜度相對(duì)較高。使用不同的特征數(shù)量或算法使得這四種方法所需要的訓(xùn)練和檢測(cè)時(shí)長(zhǎng)不同。如表8所示，與SDMNC（使用RF算法）相比，文獻(xiàn)［12］、文獻(xiàn)［13］和文獻(xiàn)［14］方法都需要更長(zhǎng)的訓(xùn)練時(shí)長(zhǎng)；而在檢測(cè)時(shí)長(zhǎng)方面，SDMNC所用的檢測(cè)時(shí)長(zhǎng)也較另外三種方法短，其分別僅需0.024s和0.012s即可完成對(duì)測(cè)試集1和測(cè)試集2的檢測(cè)。綜合精度和效率的結(jié)果，可以發(fā)現(xiàn)SDMNC相比幾種對(duì)比方法具有更高的檢測(cè)精度和檢測(cè)效率。

SDMNC使用上行/下行數(shù)據(jù)包數(shù)量比、上行/下行數(shù)據(jù)量比、會(huì)話(huà)持續(xù)時(shí)間等三個(gè)通信行為特征進(jìn)行間諜軟件檢測(cè)。為了研究不同特征對(duì)SDMNC檢測(cè)精度的影響，本文設(shè)計(jì)了消融實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果如圖5、圖6所示（注：特征1～3分別指代上行/下行數(shù)據(jù)包數(shù)量比、上行/下行數(shù)據(jù)量比、會(huì)話(huà)持續(xù)時(shí)間）。

圖5 SDMNC在測(cè)試集1上的消融實(shí)驗(yàn)結(jié)果

圖6 SDMNC在測(cè)試集2上的消融實(shí)驗(yàn)結(jié)果

由圖5和圖6可知，移除三個(gè)特征中的任一個(gè)均對(duì)SDMNC在測(cè)試集1和測(cè)試集2上的檢測(cè)精度產(chǎn)生了明顯影響，并且移除不同特征對(duì)于SDMNC檢測(cè)精度的影響程度相近。由此可知，三個(gè)特征對(duì)SDMNC的檢測(cè)精度均貢獻(xiàn)明顯且它們的貢獻(xiàn)度相近，無(wú)需對(duì)各個(gè)特征賦予不同的權(quán)重。

6 結(jié)語(yǔ)

本文從間諜軟件竊取數(shù)據(jù)的意圖出發(fā)，重點(diǎn)關(guān)注間諜軟件的網(wǎng)絡(luò)通信階段，以間諜軟件在該階段傳輸所竊取數(shù)據(jù)的通信行為作為檢測(cè)依據(jù)，利用從中提取的三個(gè)網(wǎng)絡(luò)通信行為特征結(jié)合機(jī)器學(xué)習(xí)算法構(gòu)建了一種間諜軟件檢測(cè)方法SDMNC，旨在高準(zhǔn)確率地檢測(cè)間諜軟件。實(shí)驗(yàn)結(jié)果顯示SDMNC使用RF算法時(shí)在已知和未知間諜軟件測(cè)試集上分別可以獲得99.2%和97.4%的ACC值，表明從間諜軟件網(wǎng)絡(luò)通信行為對(duì)其進(jìn)行檢測(cè)的有效性。本文后續(xù)工作將綜合考慮間諜軟件的主機(jī)行為和網(wǎng)絡(luò)行為，旨在進(jìn)一步提升間諜軟件檢測(cè)的檢測(cè)效果。