3.3　恶意软件模型

本文讲的是网络空间欺骗：构筑欺骗防御的科学基石一3.3　恶意软件模型,为了在实际条件下实施我们的方法，我们分析了实际的恶意软件，并寻求能够确定程序运行的一些可测量属性，这些属性可作为恶意行为的指标。我们特别对使用网络资源以及本地资源的程序较为感兴趣，因为它们代表了大多数现代恶意软件，这些恶意软件不仅执行本地任务，而且还参与比如僵尸网络中的某种形式的命令和控制。与静态特征分析和端点异常检测不同，我们将端节点和网络的观测结果相结合，以提供对正在运行程序的完整描述。通过将这些指标与良性活动的观测结果进行比较，可以得出恶意软件对单个传感器的影响，以及这些传感器可能具有的阈值等结论。
这涉及样例收集、粗略分析和筛选、现场分析和指示等多个步骤过程，具体如图3.7所示。其每个步骤的具体描述如下。

原文标题：网络空间欺骗：构筑欺骗防御的科学基石一3.3　恶意软件模型