木馬檢測技術(shù)研究范文

本站小編為你精心準備了木馬檢測技術(shù)研究參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

1木馬的工作原理

木馬程序一般采用的是客戶端/服務(wù)器模式，是一種基于C/S模式的遠程控制技術(shù)，客戶端是控制端，用于黑客遠程監(jiān)視和控制植入木馬的計算機，主要運行在入侵機中，服務(wù)器端是被控端，木馬采用欺騙或者漏洞攻擊等手段把服務(wù)器程序安裝到受害者的計算機中，即“植入木馬”，也就是我們所說的計算機“中了木馬”。如果將木馬植入并且成功觸發(fā)的話，控制端和被控制端就會按TCP/IP協(xié)議來進行通信，這樣控制者就會獲得被控制者的一些信息[7]。木馬的工作原理如圖1所示，在目標機上執(zhí)行服務(wù)器端以后，木馬就會打開一個默認的端口來監(jiān)聽，在客戶機向服務(wù)器發(fā)出連接請求的指令后，服務(wù)器上的相關(guān)程序就會自動運行該請求，二者建立連接后，客戶端發(fā)出指令，服務(wù)器端在計算機中就會執(zhí)行該指令，同時把數(shù)據(jù)傳回客戶端，以此來控制主機。

2行為分析技術(shù)在木馬檢測中的應(yīng)用

21木馬行為特征行為分析方法在木馬檢測中的應(yīng)用，簡單來說，就是在運行程序的過程中，如果檢測出具有木馬的行為特征，如進程隱藏、在注冊表設(shè)置自啟動項等，那么該應(yīng)用程序則有可能是木馬，所以首先應(yīng)該對木馬行為特征進行確定。木馬行為特征，是指木馬在代碼上所具有的共有特點。對其確認的步驟主要是：通過觀察大量的己知木馬的動態(tài)行為，從里面提取出有別于合法程序的比較明顯的行為特征，記錄下來，再通過和各個木馬的行為特征比對，從里面提取出所有的木馬或是大多數(shù)的木馬所具有的行為特征。

2．2行為分析技術(shù)行為分析是一種新的檢測技術(shù)，可以主動進行防御木馬攻擊。該技術(shù)和傳統(tǒng)的木馬檢測技術(shù)不同，它通過捕獲某個程序行為，再和木馬或者病毒所特有的一些行為特征對比分析，然后再通過一些算法像貝葉斯算法、概率論等，或采用數(shù)據(jù)挖掘技術(shù)來對該程序是木馬或是病毒的可疑程度進行推斷。該檢測方法能夠及時有效地發(fā)現(xiàn)新型惡意代碼，是目前國際上反木馬技術(shù)的新趨勢。木馬行為特征庫可以歸納總結(jié)出來，如果單純依賴木馬行為特征庫，只要運行的程序中出現(xiàn)了單個具有木馬行為特征的行為，就認定其為木馬，會帶來較大的誤報率，比如：修改注冊表項，大部分木馬程序具有該行為特征，可以將其作為區(qū)分合法程序的行為特征，但是一些合法程序也具有在注冊表設(shè)置自啟動項等一些修改注冊表項的行為特征，如桌面工具類軟件、迅雷、QQ程序的安裝等，而且并不是所有的木馬程序都會進行注冊表項的操作，所以在考慮木馬行為特征的同時，還應(yīng)關(guān)注合法程序區(qū)別于木馬的行為特征，通過多項特征的組合來作為判別木馬程序的依據(jù)，從而降低誤報率和漏報率。M.schultZ等人最早提出了采用樸素貝葉斯算法等來檢測未知的惡意程序代碼，因其具有較強的概率推理能力，可以通過對樣本的多個屬性的取值來對樣本分類，而且它們都可被用來對未知的類別樣本分類，這和把行為分析技術(shù)用來判定未知木馬的目的一致，所以不僅可以用來檢測已知的木馬，對未知的木馬或是已知的木馬變種也能檢測出來。

3樸素貝葉斯算法在木馬行為分析中的應(yīng)用

假設(shè)已知的木馬的個數(shù)為m，合法的程序個數(shù)為n，行為特征具有k個(m>0，n>0，k＞0，且m、n和k均為整數(shù))。把m個木馬里具有第i個行為特征的木馬數(shù)記為(k≥i＞0，且i為整數(shù))。假設(shè)有一個可執(zhí)行程序，該程序既不在m個木馬程序中，也不在n個合法程序中，但該程序具有k個行為特征中的1個行為特征，不具有另外(k-l)個行為特征，那么需要判別該程序是不是木馬程序。

4基于行為分析的木馬檢測模型

在上述理論的基礎(chǔ)上，結(jié)合監(jiān)控技術(shù)，設(shè)計了一個基于行為分析的木馬檢測模型，采用樸素貝葉斯算法作為可疑行為分析模塊的檢測算法。基于行為分析的木馬檢測模型如圖2所示。圖2基于行為分析的木馬檢測模型(參見右欄)各模塊主要功能說明如下。程序?qū)崟r監(jiān)控模塊：對系統(tǒng)內(nèi)部的可疑行為進行監(jiān)控，在此歸納了幾種常見的木馬行為屬性，主要有進程隱藏，界面隱藏，注冊表修改，自動運行，安裝鉤子，線程的注入等。這些行為在普通程序中出現(xiàn)的概率遠小于在木馬中出現(xiàn)的概率，木馬在運行過程中會暴露這些屬性，它們是分析檢測木馬的重要依據(jù)。目錄文件監(jiān)控模塊：本模塊對系統(tǒng)存儲的重要文件或者對用戶重要的文件、文件目錄實施操作監(jiān)控，實時記錄下用戶對特定文件或目錄創(chuàng)建、修改、重命名及刪除操作，由于偷竊性是木馬的一個重要特征，最終會將偷竊的敏感文件或數(shù)據(jù)通過網(wǎng)絡(luò)向外在的控制端進行數(shù)據(jù)的傳輸，所以會同時將相關(guān)數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)監(jiān)控模塊進行監(jiān)控。

網(wǎng)絡(luò)監(jiān)控模塊：對局域網(wǎng)中各機器網(wǎng)絡(luò)通信情況進行檢測，通過網(wǎng)絡(luò)監(jiān)控發(fā)現(xiàn)網(wǎng)絡(luò)通信的異常。主要根據(jù)目錄文件監(jiān)控模塊傳來的進程PID、進程路徑名等一些進程信息對網(wǎng)絡(luò)情況進行監(jiān)控，由此可以得到該進程打開的端口號和傳輸情況。而對一些無連接、隱藏通信端口的木馬，通過網(wǎng)絡(luò)監(jiān)控不易發(fā)現(xiàn)時，卻也很有可能通過行為特征的分析將這些木馬檢測出來。本模塊和目錄文件監(jiān)控模塊除了確定木馬在系統(tǒng)中如隱藏、修改注冊表等一系列行為特征外，還可以一起來確定另外一個決定性特征：文件偷竊特征。可疑行為分析模塊：在此模塊中采用樸素貝葉斯算法對木馬行為特征進行分析，通過第3節(jié)的分析，P(X|T)、P(T)、P(X|LP)和P(LP)做為先驗概率是可以事先算出來的，然后再按照公式3-3，3-4和判斷條件進行木馬行為的判斷。由于樸素貝葉斯算法的最大特點是不需要搜索，只需簡單地計算各個行為特征發(fā)生的頻率數(shù)，就可以估計出每個行為特征的概率估計值，因而用樸素貝葉斯算法判別木馬具有較高的效率。木馬殺除和報警響應(yīng)模塊：對檢測出的木馬做最終處理，當檢測到有木馬攻擊的時候一方面采取切斷TCP連接等措施對木馬進行阻止或刪除；另一方面向用戶或管理員發(fā)出報警，彈出相應(yīng)的警告窗體，記錄著木馬的發(fā)送時間，木馬類型、其源MAC地址、目的MAC地址、源lP地址、目的IP地址等關(guān)鍵信息。管理員或?qū)徲媶T可以對報警信息進行查看，可以通過電子郵件查收，同時可以根據(jù)需要生成審計報告，為其提供決策支持。另一方面將審計結(jié)果進行存儲，把告警信息存入網(wǎng)絡(luò)審計數(shù)據(jù)庫。

5結(jié)束語

目前，行為分析技術(shù)是國內(nèi)外反病毒、反木馬等安全領(lǐng)域研究的熱點，其優(yōu)點是在一定程度上可檢測出新型木馬。本文提出一種基于行為分析的木馬檢測模型，結(jié)合監(jiān)控技術(shù)，采用樸素貝葉斯算法通過對木馬運行起來所表現(xiàn)出來的木馬行為特征進行判定，可對各種已知和未知的木馬進行查殺，從而達到有效地防御、檢測木馬的目的。

作者：賈嫻 單位：菏澤學(xué)院數(shù)學(xué)系