《網絡空間欺騙：構築欺騙防禦的科學基石》一3.3.2 粗略分析與篩選

3.3.2　粗略分析與篩選

本文講的是<b>網絡空間欺騙：構築欺騙防禦的科學基石一3.3.2　粗略分析與篩選</b>,收集樣本之後，接下來要通過Cuckoo分析引擎進行分析[26]。Cuckoo引擎是一個自動化的惡意軟體分析程式，它在虛拟機沙箱中運作可執行檔案，并報告其行為。報告的事項包括主機連接配接關系、DNS查詢、執行的系統調用、丢棄的檔案、通路的系統資料庫等資訊。由于我們主要關注展示網絡活動中惡意軟體的影響，是以首先要縮小，或者說選擇有意義的惡意軟體，一般這種樣本都是要與外部主機相連的。在某些情況下，Cuckoo将标記特定的IP作為與外部主機連接配接的位址，但是這表示可執行檔案中的寫死的“回調”位址。寫死IP不常用于現代惡意軟體中，這是因為防禦方隻需要将其IP列為黑名單或防火牆的攔截對象即可輕松進行防禦。

更常見的是對檔案共享伺服器進行DNS查詢，這可能表明惡意軟體正在嘗試下載下傳輔助包載荷。在其他惡意軟體樣本中，DNS查詢看似是随機的，這表示存在DNS fluxing。DNS fluxing（即使用域生成算法）是一種惡意軟體根據特定算法生成域名的技術，通過搜尋連結到指令和控制（C2）伺服器的域名。惡意軟體所有者使用相同的算法來生成和注冊域，其意圖是通過生成的名稱與指令和控制伺服器相連。

原文标題：網絡空間欺騙：構築欺騙防禦的科學基石一3.3.2　粗略分析與篩選