地球资源数据云——数据资源详情
网络流量数据中的恶意软件检测
该数据集包含解释与有害或可能恶意活动相关的流之间的联系的标签,以便为网络恶意软件研究人员和分析师提供更全面的信息。这些标签是在 Stratosphere 实验室使用恶意软件捕获分析精心创建的。 我们基于手动网络分析,对用于识别恶意流的标签进行了简明解释,如下: 攻击:此标签表示发生了源自受感染设备的针对另一台主机的攻击。任何试图利用易受攻击的服务(通过有效负载和行为分析识别)的流都属于此分类。示例包括对 telnet 登录的暴力尝试或 GET 请求中基于标头的命令注入。 良性:“良性”标签表示未检测到可疑或恶意活动的连接。 C&C(命令和控制):此标签表示受感染设备已与命令和控制服务器建立连接。这种观察根源于连接或活动的周期性,例如二进制下载或类似 IRC 或解码命令的交换。 DDoS(分布式拒绝服务):当受感染设备积极参与分布式拒绝服务攻击时,将分配“DDoS”,可通过定向到单个 IP 地址的流量来识别。 FileDownload:此标签表示文件正在下载到受感染的设备。它是通过检查响应字节超过指定阈值(通常为 3KB 或 5KB)的连接来确定的,通常结合与命令和控制服务器关联的已知可疑目标端口或 IP。 HeartBeat:“HeartBeat”指定数据包用于命令和控制服务器跟踪受感染主机的连接。此类连接通过低于特定阈值(通常为 1B)的响应字节来识别,并表现出周期性相似性。这通常与链接到命令和控制服务器的已知可疑目标端口或 IP 相关。 Mirai:当连接表现出类似于 Mirai 僵尸网络的特征(基于与常见 Mirai 攻击配置文件一致的模式)时,将应用此标签。 Okiru:与“Mirai”类似,“Okiru”标签分配给显示 Okiru 僵尸网络特征的连接。该标签的参数与 Mirai 相同,但 Okiru 是一个不太流行的僵尸网络家族。
摘要概览
该数据集包含解释与有害或可能恶意活动相关的流之间的联系的标签,以便为网络恶意软件研究人员和分析师提供更全面的信息。这些标签是在 Stratosphere 实验室使用恶意软件捕获分析精心创建的。
我们基于手动网络分析,对用于识别恶意流的标签进行了简明解释,如下:
攻击:此标签表示发生了源自受感染设备的针对另一台主机的攻击。任何试图利用易受攻击的服务(通过有效负载和行为分析识别)的流都属于此分类。示例包括对 telnet 登录的暴力尝试或 GET 请求中基于标头的命令注入。
良性:“良性”标签表示未检测到可疑或恶意活动的连接。
C&C(命令和控制):此标签表示受感染设备已与命令和控制服务器建立连接。这种观察根源于连接或活动的周期性,例如二进制下载或类似 IRC 或解码命令的交换。
DDoS(分布式拒绝服务):当受感染设备积极参与分布式拒绝服务攻击时,将分配“DDoS”,可通过定向到单个 IP 地址的流量来识别。
FileDownload:此标签表示文件正在下载到受感染的设备。它是通过检查响应字节超过指定阈值(通常为 3KB 或 5KB)的连接来确定的,通常结合与命令和控制服务器关联的已知可疑目标端口或 IP。
HeartBeat:“HeartBeat”指定数据包用于命令和控制服务器跟踪受感染主机的连接。此类连接通过低于特定阈值(通常为 1B)的响应字节来识别,并表现出周期性相似性。这通常与链接到命令和控制服务器的已知可疑目标端口或 IP 相关。
Mirai:当连接表现出类似于 Mirai 僵尸网络的特征(基于与常见 Mirai 攻击配置文件一致的模式)时,将应用此标签。
Okiru:与“Mirai”类似,“Okiru”标签分配给显示 Okiru 僵尸网络特征的连接。该标签的参数与 Mirai 相同,但 Okiru 是一个不太流行的僵尸网络家族。