來(lái)源：Detection of advanced persistent threat using machine-learning correlation analysis

高級(jí)持續(xù)性威脅(Advanced Persistent threat, APT)作為最嚴(yán)重的網(wǎng)絡(luò)攻擊類型之一惹挟，在全球范圍內(nèi)引起了廣泛關(guān)注洪乍。APT是指一種持續(xù)的粒没、多階段的攻擊，目的是對(duì)系統(tǒng)進(jìn)行破壞，從目標(biāo)系統(tǒng)中獲取信息此改，具有造成重大損害和經(jīng)濟(jì)損失的可能性茫虽。APT的準(zhǔn)確檢測(cè)和預(yù)測(cè)是一個(gè)持續(xù)的挑戰(zhàn)。本文提出了一種新的基于機(jī)器學(xué)習(xí)的MLAPT系統(tǒng)赡译，該系統(tǒng)能夠系統(tǒng)地準(zhǔn)確仲吏、快速地檢測(cè)和預(yù)測(cè)APT攻擊。MLAPT經(jīng)過(guò)三個(gè)主要階段:(1)威脅檢測(cè)，其中開發(fā)了八種方法來(lái)檢測(cè)各種APT步驟中使用的不同技術(shù)蜘矢。這些方法的實(shí)際流量的實(shí)現(xiàn)和驗(yàn)證是對(duì)當(dāng)前研究機(jī)構(gòu)的重要貢獻(xiàn);(2)預(yù)警關(guān)聯(lián)狂男，設(shè)計(jì)關(guān)聯(lián)框架，將檢測(cè)方法的輸出鏈接起來(lái)品腹，識(shí)別可能相關(guān)岖食、屬于單一APT場(chǎng)景的預(yù)警;(3)攻擊預(yù)測(cè)，根據(jù)關(guān)聯(lián)框架輸出舞吭，提出一種基于機(jī)器學(xué)習(xí)的預(yù)測(cè)模塊泡垃，由網(wǎng)絡(luò)安全團(tuán)隊(duì)用來(lái)確定早期預(yù)警的概率，從而發(fā)現(xiàn)一個(gè)完整的APT攻擊羡鸥。對(duì)MLAPT進(jìn)行了實(shí)驗(yàn)評(píng)價(jià)蔑穴，該系統(tǒng)能夠?qū)PT進(jìn)行早期預(yù)測(cè)，預(yù)測(cè)準(zhǔn)確率為84.8%惧浴。

一存和、介紹

網(wǎng)絡(luò)攻擊的數(shù)量、復(fù)雜性和多樣性不斷增加衷旅。這一趨勢(shì)目前正受到網(wǎng)絡(luò)戰(zhàn)和物聯(lián)網(wǎng)興起的推動(dòng)[1-3]苗胀。2015年網(wǎng)絡(luò)攻擊的年成本為3萬(wàn)億美元混稽，到2021年預(yù)計(jì)將增加到6萬(wàn)億美元以上。這一高昂的成本為研究和投資開發(fā)新的網(wǎng)絡(luò)攻擊防御方法和技術(shù)帶來(lái)了極大的興趣[5-8]。雖然病毒掃描器悍缠、防火墻和入侵檢測(cè)和預(yù)防系統(tǒng)(IDPSs)已經(jīng)能夠檢測(cè)和預(yù)防許多網(wǎng)絡(luò)攻擊搅裙，但網(wǎng)絡(luò)犯罪分子反過(guò)來(lái)開發(fā)了更先進(jìn)的方法和技術(shù)來(lái)入侵目標(biāo)的網(wǎng)絡(luò)并利用其資源掂林，目標(biāo)既有有線通信志鞍，也有無(wú)線通信[9,10]。此外家乘，許多針對(duì)網(wǎng)絡(luò)攻擊的防御方法都認(rèn)為這些攻擊是針對(duì)隨機(jī)網(wǎng)絡(luò)的蝗羊，因此它們假設(shè)如果公司的網(wǎng)絡(luò)受到良好的保護(hù)，攻擊者可以投降并轉(zhuǎn)移到更容易的目標(biāo)上仁锯。然而耀找，根據(jù)Trend Micro[11]的一份技術(shù)報(bào)告，隨著有針對(duì)性攻擊扑馁、高級(jí)持續(xù)性威脅(APTs)的興起涯呻，這種假設(shè)不再成立。在APTs中腻要，網(wǎng)絡(luò)罪犯和黑客都將目標(biāo)鎖定在特定的組織复罐，并持續(xù)攻擊，直到他們實(shí)現(xiàn)目標(biāo)雄家。

APT攻擊是針對(duì)特定組織的持續(xù)的效诅、有針對(duì)性的攻擊，通過(guò)幾個(gè)步驟[12]執(zhí)行。APT的主要目的是進(jìn)行間諜活動(dòng)乱投，然后進(jìn)行數(shù)據(jù)泄露咽笼。因此，APT被認(rèn)為是一種新的戚炫、更復(fù)雜的多步攻擊剑刑。這些apt對(duì)當(dāng)前的檢測(cè)方法提出了挑戰(zhàn)，因?yàn)樗鼈兪褂昧讼冗M(jìn)的技術(shù)并利用了未知的漏洞双肤。此外施掏，APT攻擊成功造成的經(jīng)濟(jì)損失也十分顯著。攻擊的潛在成本是投資于入侵檢測(cè)和預(yù)防系統(tǒng)[13]的主要?jiǎng)訖C(jī)茅糜。APTs是目前對(duì)企業(yè)和政府最嚴(yán)重的威脅之一七芭。

APT檢測(cè)領(lǐng)域的研究大多集中于分析已識(shí)別的APTs[15-21]，或者檢測(cè)使用特定惡意軟件[22]片段的特定APT蔑赘。一些工作試圖檢測(cè)新的APT攻擊狸驳。但在實(shí)時(shí)檢測(cè)[23]、檢測(cè)所有APT攻擊步驟[23]缩赛、平衡假陽(yáng)性和假陰性率[22]耙箍、關(guān)聯(lián)長(zhǎng)時(shí)間事件等方面存在嚴(yán)重缺陷[24,25]。現(xiàn)有的工作令人鼓舞峦筒。然而究西，準(zhǔn)確窗慎、及時(shí)地檢測(cè)APT仍然是一個(gè)挑戰(zhàn)物喷。

在本項(xiàng)工作中，我們開發(fā)了一種基于機(jī)器學(xué)習(xí)的新型系統(tǒng)MLAPT遮斥，該系統(tǒng)能夠全面峦失、準(zhǔn)確、快速地檢測(cè)和預(yù)測(cè)APT攻擊术吗，為入侵檢測(cè)系統(tǒng)(IDS)領(lǐng)域做出了重要貢獻(xiàn)尉辑。MLAPT主要分為三個(gè)階段:威脅檢測(cè)、預(yù)警關(guān)聯(lián)和攻擊預(yù)測(cè)较屿，其主要貢獻(xiàn)包括:

威脅檢測(cè):第一階段的目標(biāo)是在多步APT攻擊中檢測(cè)威脅隧魄。我們已經(jīng)開發(fā)了8種方法/模塊來(lái)檢測(cè)APT攻擊步驟中使用的各種攻擊。其中包括偽裝的exe文件檢測(cè)(DeFD)隘蝎、惡意文件哈希檢測(cè)(MFHD)购啄、惡意域名檢測(cè)(MDND)、惡意IP地址檢測(cè)(MIPD)嘱么、惡意SSL證書檢測(cè)(MSSLD)狮含、域通量檢測(cè)(DFD)、掃描檢測(cè)(SD)和Tor連接檢測(cè)(TorCD)。這個(gè)階段的輸出是警報(bào)几迄，也稱為事件蔚龙，由各個(gè)模塊觸發(fā)。所有的方法都使用真實(shí)的網(wǎng)絡(luò)流量進(jìn)行了評(píng)估映胁。

警報(bào)關(guān)聯(lián):警報(bào)關(guān)聯(lián)的第二階段打算將第一階段生成的警報(bào)與APT攻擊場(chǎng)景關(guān)聯(lián)起來(lái)木羹。利用相關(guān)框架的主要目的是降低MLAPT檢測(cè)系統(tǒng)的假陽(yáng)性率。這一階段的流程經(jīng)歷三個(gè)主要步驟:警報(bào)篩選(AF)解孙，以識(shí)別冗余或重復(fù)的警報(bào);警報(bào)聚類(AC)汇跨，它們很可能屬于同一個(gè)APT攻擊場(chǎng)景;和關(guān)聯(lián)索引(CI)，以評(píng)估每個(gè)聚類警報(bào)之間的關(guān)聯(lián)程度妆距。

攻擊預(yù)測(cè):最后根據(jù)監(jiān)控網(wǎng)絡(luò)的歷史記錄穷遂，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于機(jī)器學(xué)習(xí)的預(yù)測(cè)模塊(PM)。網(wǎng)絡(luò)安全團(tuán)隊(duì)可以使用這個(gè)模塊來(lái)確定早期警報(bào)的概率娱据，從而發(fā)現(xiàn)一個(gè)完整的APT攻擊蚪黑。

提出的MLAPT系統(tǒng)能夠?qū)崟r(shí)處理和分析網(wǎng)絡(luò)流量，而不需要存儲(chǔ)數(shù)據(jù)中剩，使APT攻擊的早期預(yù)測(cè)成為可能忌穿，從而在攻擊完成生命周期之前做出適當(dāng)及時(shí)的響應(yīng)。

2. 相關(guān)工作

APT檢測(cè)是當(dāng)前入侵檢測(cè)系統(tǒng)(IDSs)面臨的一個(gè)挑戰(zhàn)结啼，針對(duì)這類多階段攻擊已經(jīng)進(jìn)行了大量的研究掠剑。表1描述了當(dāng)前APT檢測(cè)系統(tǒng)，并指出了它們的局限性郊愧。

TerminAPTor,描述一個(gè)合適的APT探測(cè)器,在[26]朴译。該檢測(cè)器使用信息流跟蹤來(lái)查找APT生命周期內(nèi)觸發(fā)的基本攻擊之間的鏈接。TerminAPTor取決于一個(gè)代理,它可以是一個(gè)標(biāo)準(zhǔn)的入侵檢測(cè)系統(tǒng),檢測(cè)這些基本攻擊属铁。作者僅通過(guò)模擬兩種APT場(chǎng)景來(lái)評(píng)估TerminAPTor眠寿，并證明了APT檢測(cè)器需要通過(guò)過(guò)濾誤報(bào)來(lái)改進(jìn)。

介紹了一種基于C&C域檢測(cè)的APT檢測(cè)系統(tǒng)焦蘑。本文分析了C&C通信的特點(diǎn)盯拱，提出了C&C域的訪問(wèn)是獨(dú)立的，而合法域的訪問(wèn)是相互關(guān)聯(lián)的例嘱。盡管在公共數(shù)據(jù)集上驗(yàn)證該檢測(cè)系統(tǒng)取得了顯著的效果狡逢，但作者提到，當(dāng)受感染主機(jī)連接到C&C域拼卵，而用戶正在上網(wǎng)時(shí)奢浑，該檢測(cè)很容易被逃避。此外间学，由于本系統(tǒng)僅檢測(cè)APT生命周期的一個(gè)階段殷费，因此缺少對(duì)C&C域的檢測(cè)導(dǎo)致APT檢測(cè)失敗印荔。

在[28]中探索了一種基于魚叉式釣魚檢測(cè)的APT檢測(cè)方法。這種方法依賴于數(shù)學(xué)和計(jì)算分析來(lái)過(guò)濾垃圾郵件详羡。標(biāo)記被認(rèn)為是一組單詞和字符仍律，如(點(diǎn)擊這里，免費(fèi)实柠，偉哥水泉，副本)，應(yīng)該為檢測(cè)算法定義窒盐，以區(qū)分合法和垃圾郵件草则。然而，魚叉式釣魚郵件可能不包括算法過(guò)程中所需要的任何符號(hào)蟹漓。此外炕横，APT檢測(cè)依賴于一個(gè)步驟，當(dāng)缺少該步驟時(shí)葡粒，系統(tǒng)會(huì)失敗份殿。

統(tǒng)計(jì)APT探測(cè)器,類似于TerminAPTor探測(cè)器,由[29]提出。本系統(tǒng)認(rèn)為APT有交付嗽交、利用卿嘲、安裝、C&C和行動(dòng)五種狀態(tài);并且在每個(gè)狀態(tài)下進(jìn)行若干活動(dòng)夫壁。每個(gè)狀態(tài)中生成的事件都以統(tǒng)計(jì)方式相關(guān)聯(lián)拾枣。該系統(tǒng)的建立和維護(hù)需要大量的專家知識(shí)。

在[30]中提出了一種基于主動(dòng)學(xué)習(xí)的惡意pdf檢測(cè)框架盒让。這些惡意pdf可以在APT的早期步驟中使用梅肤，以獲得入口點(diǎn)。系統(tǒng)收集通過(guò)網(wǎng)絡(luò)傳輸?shù)乃衟df文件糯彬，然后根據(jù)白名單凭语、信譽(yù)系統(tǒng)和防病毒簽名庫(kù)葱她，通過(guò)“已知文件模塊”對(duì)所有已知的良性和惡意文件進(jìn)行過(guò)濾撩扒。接下來(lái)，將檢查其余“未知文件”作為可行PDF文件的兼容性吨些。這種方法只檢測(cè)APT生命周期的一個(gè)步驟搓谆。

在[31]中提出了一種基于數(shù)據(jù)泄漏預(yù)防的方法。該方法重點(diǎn)檢測(cè)APT的最后一個(gè)步驟即數(shù)據(jù)溢出豪墅。利用DLP算法對(duì)數(shù)據(jù)流量進(jìn)行處理泉手，檢測(cè)數(shù)據(jù)泄漏，根據(jù)泄漏特征生成“指紋”偶器。該系統(tǒng)利用外部網(wǎng)絡(luò)反情報(bào)(CCI)傳感器來(lái)跟蹤泄漏數(shù)據(jù)的位置或路徑斩萌。該方法僅檢測(cè)APT的一個(gè)步驟缝裤，即數(shù)據(jù)泄露。此外颊郎，CCI分析單元需要等待來(lái)自傳感器的信息憋飞，無(wú)法實(shí)現(xiàn)實(shí)時(shí)檢測(cè)。此外姆吭，CCI傳感器不能保證能夠提供泄漏數(shù)據(jù)指紋所需的信息榛做。這種方法還引入了隱私問(wèn)題，CCI中的參與者可以訪問(wèn)系統(tǒng)的所有用戶存儲(chǔ)和傳輸?shù)臄?shù)據(jù)内狸。

在[23]中給出了一個(gè)工作原型SPuNge检眯。該方法依賴于主機(jī)端收集的數(shù)據(jù)，旨在檢測(cè)可能的APT攻擊昆淡。SPuNge經(jīng)歷了兩個(gè)主要階段锰瘸，第一個(gè)階段是對(duì)檢測(cè)到的惡意url進(jìn)行分析。這些url可以通過(guò)主機(jī)的計(jì)算機(jī)通過(guò)HTTP與Internet瀏覽器連接昂灵，也可以通過(guò)安裝在受感染計(jì)算機(jī)上的惡意軟件連接获茬。然后確定顯示類似活動(dòng)的計(jì)算機(jī)。本系統(tǒng)依賴于檢測(cè)APT攻擊的一個(gè)活動(dòng)倔既，即惡意URL連接恕曲，而不考慮APT的其他活動(dòng)。也就是說(shuō)渤涌，如果檢測(cè)系統(tǒng)遺漏了惡意URL連接佩谣，將無(wú)法檢測(cè)到整個(gè)APT場(chǎng)景。此外实蓬，系統(tǒng)不能實(shí)現(xiàn)實(shí)時(shí)檢測(cè)茸俭。

[32]解釋了APT檢測(cè)的基于上下文的框架。該框架基于將APT建模為攻擊金字塔安皱，金字塔的頂部表示攻擊目標(biāo)调鬓，側(cè)向平面表示APT生命周期所涉及的環(huán)境。這個(gè)檢測(cè)框架需要大量的專家知識(shí)來(lái)建立和維護(hù)酌伊。

最后腾窝，現(xiàn)有APT檢測(cè)系統(tǒng)在實(shí)現(xiàn)實(shí)時(shí)檢測(cè)、假陽(yáng)性率與假陰性率之間的平衡以及長(zhǎng)時(shí)間事件關(guān)聯(lián)等方面存在嚴(yán)重缺陷居砖。針對(duì)這些不足虹脯，本文提出了一種新的APT檢測(cè)和預(yù)測(cè)方法。

3.一種基于關(guān)聯(lián)的APT實(shí)時(shí)檢測(cè)與預(yù)測(cè)系統(tǒng)

3.1 設(shè)計(jì)原理

APTs是多步驟攻擊奏候，因此有效的檢測(cè)應(yīng)該通過(guò)檢測(cè)APT生命周期每個(gè)階段所使用的技術(shù)循集。應(yīng)該開發(fā)檢測(cè)模塊來(lái)檢測(cè)APT攻擊步驟中最常用的技術(shù)。

然而蔗草，檢測(cè)APT技術(shù)本身的一個(gè)階段并不意味著檢測(cè)APT攻擊咒彤。即使單個(gè)模塊警報(bào)指示了一種可能用于APT攻擊的技術(shù)疆柔，但是這種技術(shù)也可以用于其他類型的攻擊，甚至可以是良性的攻擊镶柱。例如婆硬，用于APT攻擊的域流、端口掃描和惡意C&C通信奸例，也可以用于僵尸網(wǎng)絡(luò)攻擊[33]彬犯。此外，Tor網(wǎng)絡(luò)連接在APT攻擊中用于數(shù)據(jù)外泄查吊，也可以合法使用谐区，保護(hù)用戶流量[34]的機(jī)密性。因此逻卖，這些檢測(cè)模塊單獨(dú)是無(wú)效的宋列，應(yīng)該融合它們的信息來(lái)構(gòu)建關(guān)于APT攻擊的完整圖像。因此评也，需要建立一個(gè)關(guān)聯(lián)框架來(lái)鏈接檢測(cè)模塊的輸出炼杖，降低檢測(cè)系統(tǒng)的假陽(yáng)性率。

在APT攻擊的早期階段對(duì)其進(jìn)行預(yù)測(cè)盗迟，可以最大限度地減少攻擊造成的損失坤邪，防止攻擊者達(dá)到數(shù)據(jù)泄露的目的。利用相關(guān)框架輸出的歷史記錄罚缕，機(jī)器學(xué)習(xí)算法可以用來(lái)訓(xùn)練預(yù)測(cè)模型艇纺。由于預(yù)測(cè)模型的目的是對(duì)關(guān)聯(lián)框架的預(yù)警進(jìn)行分類，因此需要選擇分類算法對(duì)模型進(jìn)行訓(xùn)練邮弹。

3.2 MLAPT架構(gòu)

基于設(shè)計(jì)原理黔衡，本文提出的系統(tǒng)架構(gòu)如圖1所示。MLAPT經(jīng)過(guò)三個(gè)主要階段:威脅檢測(cè)腌乡、警報(bào)關(guān)聯(lián)和攻擊預(yù)測(cè)盟劫。

首先，對(duì)網(wǎng)絡(luò)流量進(jìn)行掃描和處理与纽，以檢測(cè)APT生命周期中可能使用的技術(shù)侣签。為此，開發(fā)了8個(gè)檢測(cè)模塊;每個(gè)模塊實(shí)現(xiàn)一個(gè)方法來(lái)檢測(cè)APT攻擊步驟中使用的一種技術(shù)渣锦，并且它獨(dú)立于其他模塊硝岗。MLAPT實(shí)現(xiàn)了8個(gè)模塊，稍后在3.3節(jié)中介紹袋毙，用于檢測(cè)APT生命周期中最常用的技術(shù)。這個(gè)階段的輸出是警報(bào)冗尤，也稱為事件听盖，由各個(gè)模塊觸發(fā)胀溺。

然后，各個(gè)檢測(cè)模塊發(fā)出的警報(bào)被反饋到相關(guān)框架皆看。關(guān)聯(lián)框架的目的是發(fā)現(xiàn)警報(bào)可能是相關(guān)的仓坞，屬于一個(gè)APT攻擊場(chǎng)景。此階段的流程經(jīng)歷三個(gè)主要步驟:警報(bào)篩選器來(lái)識(shí)別冗余或重復(fù)的警報(bào);最有可能屬于同一APT攻擊場(chǎng)景的警報(bào)集群;和關(guān)聯(lián)索引腰吟，以評(píng)估每個(gè)集群警報(bào)之間的關(guān)聯(lián)程度无埃。

在最后階段，網(wǎng)絡(luò)安全團(tuán)隊(duì)使用一個(gè)基于機(jī)器學(xué)習(xí)的預(yù)測(cè)模塊來(lái)確定早期警報(bào)的概率毛雇，從而發(fā)現(xiàn)一個(gè)完整的APT攻擊嫉称。這使得網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠在其早期步驟中預(yù)測(cè)APT攻擊，并在攻擊完成之前應(yīng)用所需的程序來(lái)阻止攻擊灵疮，并將損害最小化织阅。APT的檢測(cè)不同于預(yù)測(cè)。當(dāng)APT的兩個(gè)或多個(gè)步驟相關(guān)時(shí)震捣，可以進(jìn)行檢測(cè)荔棉。但是，APT的前兩個(gè)步驟相關(guān)聯(lián)后蒿赢，可以實(shí)現(xiàn)預(yù)測(cè)润樱。檢測(cè)模塊已在[35-42]中提出，本文主要研究相關(guān)框架和預(yù)測(cè)模塊羡棵。

3.3 MLAPT檢測(cè)模塊

考慮APT步驟祥国，表2給出了每個(gè)APT步驟的MLAPT檢測(cè)模塊。這些模塊有:

檢測(cè)偽裝的exe文件(DeFD):這個(gè)模塊檢測(cè)通信連接中偽裝的exe文件晾腔。換句話說(shuō)舌稀，它檢測(cè)文件的內(nèi)容是否是exe而擴(kuò)展名不是exe。處理網(wǎng)絡(luò)流量灼擂，分析所有通信連接壁查，過(guò)濾通過(guò)連接傳輸時(shí)識(shí)別的所有exe文件。此篩選基于文件內(nèi)容剔应。接下來(lái)睡腿，應(yīng)該檢查文件名擴(kuò)展名，以決定是否對(duì)偽裝的exe文件檢測(cè)[35]發(fā)出警報(bào)峻贮。

惡意文件哈希檢測(cè)(MFHD):該模塊檢測(cè)網(wǎng)絡(luò)主機(jī)下載的任何惡意文件席怪。它基于惡意文件散列的黑名單。處理網(wǎng)絡(luò)流量纤控，分析所有連接挂捻，并為在連接上傳輸時(shí)標(biāo)識(shí)的每個(gè)新文件計(jì)算MD5、SHA1和SHA256散列船万。然后將計(jì)算的散列與黑名單[36]匹配刻撒。

惡意域名檢測(cè)(MDND):此模塊用于檢測(cè)到惡意域名的任何連接骨田。它是基于惡意域名的黑名單。過(guò)濾DNS流量声怔，分析所有DNS請(qǐng)求态贤，并將查詢與黑名單[37]匹配。

惡意IP地址檢測(cè)(MIPD):該模塊檢測(cè)受感染主機(jī)和C&C服務(wù)器之間的任何連接醋火。該檢測(cè)基于C&C服務(wù)器的惡意ip黑名單悠汽。MIPD處理網(wǎng)絡(luò)流量，以在源IP地址和目標(biāo)IP地址中搜索與IP黑名單[38]中的每個(gè)連接的匹配芥驳。

惡意SSL證書檢測(cè)(MSSLD):該模塊基于惡意SSL證書黑名單檢測(cè)C&C通信柿冲。這個(gè)黑名單包括兩種形式的SSL證書，SHA1指紋和serial & subject晚树，它們與惡意軟件和惡意活動(dòng)有關(guān)姻采。處理網(wǎng)絡(luò)流量并過(guò)濾所有安全連接。然后將每個(gè)安全連接的SSL證書與SSL證書黑名單[39]匹配爵憎。

域通量檢測(cè)(DFD):該模塊檢測(cè)算法生成的域通量慨亲，其中受感染的主機(jī)查詢存在大量域，而所有者只需注冊(cè)一個(gè)域宝鼓。這導(dǎo)致許多DNS查詢失敗刑棵。DFD利用DNS查詢失敗來(lái)檢測(cè)域通量攻擊。處理網(wǎng)絡(luò)流量愚铡，特別是DNS流量蛉签。對(duì)所有DNS查詢失敗進(jìn)行分析，并對(duì)來(lái)自相同IP地址的DNS查詢失敗設(shè)置閾值沥寥，以檢測(cè)域通量攻擊并識(shí)別受感染主機(jī)[40]碍舍。

掃描檢測(cè)(SD): SD模塊檢測(cè)端口掃描攻擊，目的是識(shí)別值得注意的服務(wù)器和服務(wù)邑雅，以便于未來(lái)的數(shù)據(jù)利用片橡。SD基于跟蹤所有失敗的連接嘗試，并在特定的時(shí)間間隔內(nèi)為這些失敗的嘗試設(shè)置一個(gè)閾值淮野，以檢測(cè)掃描攻擊并識(shí)別受感染的主機(jī)[41]捧书。

Tor連接檢測(cè)(TorCD):這個(gè)模塊檢測(cè)到與Tor網(wǎng)絡(luò)的任何連接。它基于公開發(fā)布的Tor服務(wù)器列表骤星。處理網(wǎng)絡(luò)流量经瓷，并將每個(gè)連接的源和目標(biāo)IP地址與Tor服務(wù)器列表[42]匹配。