如何区分恶意网络流量_恶意流量

笔记缘由：在看论文的过程中，论文中提到在某个数据集中，有多少条恶意流量和非恶意流量，突然想到一个问题就是这些恶意流量是如何被判刑为恶意流量的？

1. 基于已知的恶意行为

​ 通过已知的恶意行为来识别恶意流量，如果流量中存在这些恶意行为的特征，那么就会被判定为恶意行为。

问题：那么如何识别已知的恶意行为呢？

• 可以用基于特征的规则、模式匹配、签名检测等方法。

2. 基于异常检测

​ 通过监视流量中的异常行为来识别恶意流量，比如流量的频率是否正常、流量的大小是否正常。但是判断是否异常也是需要一个判断为异常的标准，这个标准也是多种多样的。

3. 基于机器学习

​ 通过提供标记好的数据样本进行机器学习训练，从标记数据中学习恶意流量和非恶意流量的特征，从而根据学习要的特征对未知的流量进行分类。

4. 基于黑名单/白名单

• 黑名单：包含已知的恶意IP地址、域名、URL等；
• 白名单：包含已知的合法IP地址、域名、URL等。

值得注意的是，流量的恶意性是动态的，恶意行为不断变化和演变，因此恶意流量识别系统也需要不断更新和改进！！