《表2 DNS特征信息表:APT样本的有效网络特征筛选算法》
提示:宽带有限、当前游客访问压缩模式
由于APT攻击样本较少,本文实验数据通过Mandiant[17]的报告中获取的MD5值,从GitHub网站下载得到的APT1攻击样本,共计53个,实验样本信息如表1所示。样本分析环境由INetSim虚拟服务器和cuckoo沙箱[18]搭建。将所有样本依次提交到cuckoo沙箱[19]中运行,每个样本运行10 min,同时启用wireshark工具捕获背景流量,将cuckoo报告中的53个dump.pcap作为数据源,wireshark保存的前100个*.pcap作为背景流量。由于篇幅有限,实验对STIX(Structured Threat Information Expression)中DNS的28项特征进行筛选,如表2所示。由于样本难以捕获,数量较少,本文采用5折交叉验证(5-Cross-validation)的方式将特征分成5份,其中k-1份用于训练,1份用于测试。
| 图表编号 | XD0035431300 严禁用于非法目的 |
|---|---|
| 绘制时间 | 2019.02.01 |
| 作者 | 李翼宏、杜镇宇、胡劲松 |
| 绘制单位 | 国防科技大学电子对抗学院网络系、国防科技大学电子对抗学院网络系、国防科技大学电子对抗学院网络系 |
| 更多格式 | 高清、无水印(增值服务) |
