資源描述:
《基于行為檢測的竊密型木馬檢測研究》由會員上傳分享�����,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、第20卷第2期JOURNALOFGUANGXIUNIVERSITYFORNATIONALITIESVol.20No.22014年6月(NaturalScienceEdition)Jun.2014*基于行為檢測的竊密型木馬檢測研究馬立軍(柳州職業(yè)技術(shù)學(xué)院電子信息工程系,廣西柳州545006)摘要:針對竊密型木馬偽裝技術(shù)不斷發(fā)展����,竊密型木馬檢測難度越來越高的現(xiàn)狀,提出基于行為檢測的竊密型木馬檢測方案.通過對常見竊密型木馬通信機制建模分析��,構(gòu)建竊密型木馬的幾種通信模式
2、.為了提高竊密型木馬檢測精度�,以竊密型木馬通信行為特征,設(shè)計了基于完整會話的竊密型木馬檢測方案.通過對500組實驗數(shù)據(jù)測試表明��,筆者設(shè)計的竊密型木馬檢測方案漏檢率為6.8%�,誤報率為2.7%����,優(yōu)于傳統(tǒng)的木馬檢測方案.關(guān)鍵詞:行為檢測;竊密型;木馬;通信模式;會話中圖分類號:文獻標(biāo)識碼:文章編號:1673-8462(2014)02-0070-05TP393.08A[5]0引言隨著互聯(lián)網(wǎng)的迅猛發(fā)展,木馬制作也在日新月異知和未知的木馬攻擊都有較好的性能.通過對目前木馬檢測的主要技術(shù)分析和研究之后發(fā)現(xiàn)���,當(dāng)前針對木馬檢測更多的仍然是基于特征或者以的同步發(fā)展�,而且木馬
3�、對互聯(lián)網(wǎng)的發(fā)展所造成的危害是越來越明顯,僅以竊密型木馬為例����,每年各種計算機被竊密型木馬攻擊造成的重要信息泄露,給人們帶[6]特征為核心的檢測算法.這一類的算法雖然有各種各樣的改進型的版本��,比如針對特征碼變異的自動識別��,[7].動態(tài)發(fā)現(xiàn)新型木馬的特征并自動進行查殺等等然而從木馬技術(shù)的總體發(fā)展而言��,基于特征的木馬檢測并不能夠完全防范木馬的危害,尤其是當(dāng)前很多竊密型的木馬已經(jīng)朝智能化的方向發(fā)展���,木馬在通訊過程中盡可能地在模擬用戶正常上網(wǎng)的通信過程�����,使得木馬檢測與查[1-2]來了十分巨大的損失.為了能夠提高人們使用互聯(lián)網(wǎng)的安全性��,針對木馬的檢測與防范技術(shù)一直也在不
4��、斷地研究和發(fā)展之中.然而木馬與木馬檢測技術(shù)作為一對矛和盾的關(guān)系����,時刻都處于斗爭和發(fā)展過程中�����,當(dāng)前針對木馬檢測的相關(guān)技術(shù)研究主要有:李煥洲����,陳婧婧[3]等人針對目前特征碼檢測木馬技術(shù)的滯后性,提出了基于行為特征庫的木馬模型���,并應(yīng)用模糊模式識別判斷木馬程序�,該方法在新型木馬不斷涌現(xiàn)的今天具有重要的應(yīng)用意義.胡衛(wèi),張昌宏[4]等人針對木馬植入�,隱蔽和惡意操作所需資源控制盒動態(tài)可疑行為提出了基于動態(tài)行為檢測木馬的系統(tǒng)的基本框架,相關(guān)策略和分析判定方法.顏會娟��,秦杰針對傳統(tǒng)木馬檢測誤檢率和漏檢率較高的問題提出基于非線性支持向量機模型檢測方法���,該模型在檢測已[8]殺的
5、難度越來越高筆者通過深入研究木馬在通信過.程中所具備的一些特殊行為進行分析�����,以此作為竊密型木馬檢測算法的設(shè)計依據(jù)���,提出了基于行為檢測的竊密型木馬檢測的算法.1竊密型木馬通信機制建模竊密型木馬是當(dāng)前一種非常常見的木馬類型�����,也[9]是一種危害十分巨大的木馬.這類木馬通常是隱蔽在用戶的計算機中�,平時對用戶的計算性能和上網(wǎng)*收稿日期:2014-02-10.基金項目:廣西哲學(xué)社會科學(xué)課題“基于物聯(lián)網(wǎng)技術(shù)的圖書館服務(wù)模式研究”(11BTQ001).作者簡介:馬立軍(1970-)�,男,廣西柳州人����,柳州職業(yè)技術(shù)學(xué)院電子信息工程系高級工程師�,研究方向:計算機通信技術(shù).702
6����、014年第2期●馬立軍基于行為檢測的竊密型木馬檢測研究性能幾乎不會造成任何影響,然而在用戶無法察覺的情況下�����,這類木馬在計算機中搜集相關(guān)的重要信息��,并將所獲取的信息發(fā)送給遠程的控制端�����,從而導(dǎo)致目[10]標(biāo)計算機上的重要信息泄漏.通過對大量竊密型木馬進行分析可以發(fā)現(xiàn)���,竊密型木馬按照其通信特征可以分為3類.1)直連型的竊密木馬.直連型的竊密木馬其通信方式是采用被控制的目標(biāo)計算機與控制端建立連接�,之后向控制端開放相應(yīng)的通信端口和通信服務(wù)���,由控制端主動到被控制計算機上下載相關(guān)的信息.比較常見的控制方式比如在被控制的計算機上打開FTP端口并開啟FTP服務(wù)��,此時由控制
7��、端連接目標(biāo)計算機上的FTP端口并使用FTP下載功能�����,從目標(biāo)計算機上下載相關(guān)的信息實現(xiàn)信息竊取的目標(biāo)���,其通信流程如圖1所示.圖2反彈型的竊密木馬通信模型Fig.2ReboundTypeOfTheftTrojansCommunicationModel3)代理型竊密木馬.無論是直連型竊密木馬還是反彈型竊密木馬在數(shù)據(jù)傳輸過程中都會將被控制的計算機和控制端建立連接����,直接進行數(shù)據(jù)傳輸��,這種傳輸模式在木馬檢測技術(shù)越來越強大的今天很容易被木馬檢測軟件監(jiān)測和發(fā)現(xiàn)���,甚至還可以反向定位到控制端的位置,從而徹底摧毀竊密木馬的整個攻擊體系���,而代理型竊密木馬則在通信模式上頂替了之前這
8���、種直接通信的模式,在控制端和被控制目標(biāo)之間引入了第三方的計算機作為
