木馬檢測(cè)技術(shù)研究范文
本站小編為你精心準(zhǔn)備了木馬檢測(cè)技術(shù)研究參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
1木馬的工作原理
木馬程序一般采用的是客戶端/服務(wù)器模式,是一種基于C/S模式的遠(yuǎn)程控制技術(shù),客戶端是控制端,用于黑客遠(yuǎn)程監(jiān)視和控制植入木馬的計(jì)算機(jī),主要運(yùn)行在入侵機(jī)中,服務(wù)器端是被控端,木馬采用欺騙或者漏洞攻擊等手段把服務(wù)器程序安裝到受害者的計(jì)算機(jī)中,即“植入木馬”,也就是我們所說(shuō)的計(jì)算機(jī)“中了木馬”。如果將木馬植入并且成功觸發(fā)的話,控制端和被控制端就會(huì)按TCP/IP協(xié)議來(lái)進(jìn)行通信,這樣控制者就會(huì)獲得被控制者的一些信息[7]。木馬的工作原理如圖1所示,在目標(biāo)機(jī)上執(zhí)行服務(wù)器端以后,木馬就會(huì)打開一個(gè)默認(rèn)的端口來(lái)監(jiān)聽,在客戶機(jī)向服務(wù)器發(fā)出連接請(qǐng)求的指令后,服務(wù)器上的相關(guān)程序就會(huì)自動(dòng)運(yùn)行該請(qǐng)求,二者建立連接后,客戶端發(fā)出指令,服務(wù)器端在計(jì)算機(jī)中就會(huì)執(zhí)行該指令,同時(shí)把數(shù)據(jù)傳回客戶端,以此來(lái)控制主機(jī)。
2行為分析技術(shù)在木馬檢測(cè)中的應(yīng)用
21木馬行為特征行為分析方法在木馬檢測(cè)中的應(yīng)用,簡(jiǎn)單來(lái)說(shuō),就是在運(yùn)行程序的過(guò)程中,如果檢測(cè)出具有木馬的行為特征,如進(jìn)程隱藏、在注冊(cè)表設(shè)置自啟動(dòng)項(xiàng)等,那么該應(yīng)用程序則有可能是木馬,所以首先應(yīng)該對(duì)木馬行為特征進(jìn)行確定。木馬行為特征,是指木馬在代碼上所具有的共有特點(diǎn)。對(duì)其確認(rèn)的步驟主要是:通過(guò)觀察大量的己知木馬的動(dòng)態(tài)行為,從里面提取出有別于合法程序的比較明顯的行為特征,記錄下來(lái),再通過(guò)和各個(gè)木馬的行為特征比對(duì),從里面提取出所有的木馬或是大多數(shù)的木馬所具有的行為特征。
2.2行為分析技術(shù)行為分析是一種新的檢測(cè)技術(shù),可以主動(dòng)進(jìn)行防御木馬攻擊。該技術(shù)和傳統(tǒng)的木馬檢測(cè)技術(shù)不同,它通過(guò)捕獲某個(gè)程序行為,再和木馬或者病毒所特有的一些行為特征對(duì)比分析,然后再通過(guò)一些算法像貝葉斯算法、概率論等,或采用數(shù)據(jù)挖掘技術(shù)來(lái)對(duì)該程序是木馬或是病毒的可疑程度進(jìn)行推斷。該檢測(cè)方法能夠及時(shí)有效地發(fā)現(xiàn)新型惡意代碼,是目前國(guó)際上反木馬技術(shù)的新趨勢(shì)。木馬行為特征庫(kù)可以歸納總結(jié)出來(lái),如果單純依賴木馬行為特征庫(kù),只要運(yùn)行的程序中出現(xiàn)了單個(gè)具有木馬行為特征的行為,就認(rèn)定其為木馬,會(huì)帶來(lái)較大的誤報(bào)率,比如:修改注冊(cè)表項(xiàng),大部分木馬程序具有該行為特征,可以將其作為區(qū)分合法程序的行為特征,但是一些合法程序也具有在注冊(cè)表設(shè)置自啟動(dòng)項(xiàng)等一些修改注冊(cè)表項(xiàng)的行為特征,如桌面工具類軟件、迅雷、QQ程序的安裝等,而且并不是所有的木馬程序都會(huì)進(jìn)行注冊(cè)表項(xiàng)的操作,所以在考慮木馬行為特征的同時(shí),還應(yīng)關(guān)注合法程序區(qū)別于木馬的行為特征,通過(guò)多項(xiàng)特征的組合來(lái)作為判別木馬程序的依據(jù),從而降低誤報(bào)率和漏報(bào)率。M.schultZ等人最早提出了采用樸素貝葉斯算法等來(lái)檢測(cè)未知的惡意程序代碼,因其具有較強(qiáng)的概率推理能力,可以通過(guò)對(duì)樣本的多個(gè)屬性的取值來(lái)對(duì)樣本分類,而且它們都可被用來(lái)對(duì)未知的類別樣本分類,這和把行為分析技術(shù)用來(lái)判定未知木馬的目的一致,所以不僅可以用來(lái)檢測(cè)已知的木馬,對(duì)未知的木馬或是已知的木馬變種也能檢測(cè)出來(lái)。
3樸素貝葉斯算法在木馬行為分析中的應(yīng)用
假設(shè)已知的木馬的個(gè)數(shù)為m,合法的程序個(gè)數(shù)為n,行為特征具有k個(gè)(m>0,n>0,k>0,且m、n和k均為整數(shù))。把m個(gè)木馬里具有第i個(gè)行為特征的木馬數(shù)記為(k≥i>0,且i為整數(shù))。假設(shè)有一個(gè)可執(zhí)行程序,該程序既不在m個(gè)木馬程序中,也不在n個(gè)合法程序中,但該程序具有k個(gè)行為特征中的1個(gè)行為特征,不具有另外(k-l)個(gè)行為特征,那么需要判別該程序是不是木馬程序。
4基于行為分析的木馬檢測(cè)模型
在上述理論的基礎(chǔ)上,結(jié)合監(jiān)控技術(shù),設(shè)計(jì)了一個(gè)基于行為分析的木馬檢測(cè)模型,采用樸素貝葉斯算法作為可疑行為分析模塊的檢測(cè)算法。基于行為分析的木馬檢測(cè)模型如圖2所示。圖2基于行為分析的木馬檢測(cè)模型(參見右欄)各模塊主要功能說(shuō)明如下。程序?qū)崟r(shí)監(jiān)控模塊:對(duì)系統(tǒng)內(nèi)部的可疑行為進(jìn)行監(jiān)控,在此歸納了幾種常見的木馬行為屬性,主要有進(jìn)程隱藏,界面隱藏,注冊(cè)表修改,自動(dòng)運(yùn)行,安裝鉤子,線程的注入等。這些行為在普通程序中出現(xiàn)的概率遠(yuǎn)小于在木馬中出現(xiàn)的概率,木馬在運(yùn)行過(guò)程中會(huì)暴露這些屬性,它們是分析檢測(cè)木馬的重要依據(jù)。目錄文件監(jiān)控模塊:本模塊對(duì)系統(tǒng)存儲(chǔ)的重要文件或者對(duì)用戶重要的文件、文件目錄實(shí)施操作監(jiān)控,實(shí)時(shí)記錄下用戶對(duì)特定文件或目錄創(chuàng)建、修改、重命名及刪除操作,由于偷竊性是木馬的一個(gè)重要特征,最終會(huì)將偷竊的敏感文件或數(shù)據(jù)通過(guò)網(wǎng)絡(luò)向外在的控制端進(jìn)行數(shù)據(jù)的傳輸,所以會(huì)同時(shí)將相關(guān)數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)監(jiān)控模塊進(jìn)行監(jiān)控。
網(wǎng)絡(luò)監(jiān)控模塊:對(duì)局域網(wǎng)中各機(jī)器網(wǎng)絡(luò)通信情況進(jìn)行檢測(cè),通過(guò)網(wǎng)絡(luò)監(jiān)控發(fā)現(xiàn)網(wǎng)絡(luò)通信的異常。主要根據(jù)目錄文件監(jiān)控模塊傳來(lái)的進(jìn)程PID、進(jìn)程路徑名等一些進(jìn)程信息對(duì)網(wǎng)絡(luò)情況進(jìn)行監(jiān)控,由此可以得到該進(jìn)程打開的端口號(hào)和傳輸情況。而對(duì)一些無(wú)連接、隱藏通信端口的木馬,通過(guò)網(wǎng)絡(luò)監(jiān)控不易發(fā)現(xiàn)時(shí),卻也很有可能通過(guò)行為特征的分析將這些木馬檢測(cè)出來(lái)。本模塊和目錄文件監(jiān)控模塊除了確定木馬在系統(tǒng)中如隱藏、修改注冊(cè)表等一系列行為特征外,還可以一起來(lái)確定另外一個(gè)決定性特征:文件偷竊特征。可疑行為分析模塊:在此模塊中采用樸素貝葉斯算法對(duì)木馬行為特征進(jìn)行分析,通過(guò)第3節(jié)的分析,P(X|T)、P(T)、P(X|LP)和P(LP)做為先驗(yàn)概率是可以事先算出來(lái)的,然后再按照公式3-3,3-4和判斷條件進(jìn)行木馬行為的判斷。由于樸素貝葉斯算法的最大特點(diǎn)是不需要搜索,只需簡(jiǎn)單地計(jì)算各個(gè)行為特征發(fā)生的頻率數(shù),就可以估計(jì)出每個(gè)行為特征的概率估計(jì)值,因而用樸素貝葉斯算法判別木馬具有較高的效率。木馬殺除和報(bào)警響應(yīng)模塊:對(duì)檢測(cè)出的木馬做最終處理,當(dāng)檢測(cè)到有木馬攻擊的時(shí)候一方面采取切斷TCP連接等措施對(duì)木馬進(jìn)行阻止或刪除;另一方面向用戶或管理員發(fā)出報(bào)警,彈出相應(yīng)的警告窗體,記錄著木馬的發(fā)送時(shí)間,木馬類型、其源MAC地址、目的MAC地址、源lP地址、目的IP地址等關(guān)鍵信息。管理員或?qū)徲?jì)員可以對(duì)報(bào)警信息進(jìn)行查看,可以通過(guò)電子郵件查收,同時(shí)可以根據(jù)需要生成審計(jì)報(bào)告,為其提供決策支持。另一方面將審計(jì)結(jié)果進(jìn)行存儲(chǔ),把告警信息存入網(wǎng)絡(luò)審計(jì)數(shù)據(jù)庫(kù)。
5結(jié)束語(yǔ)
目前,行為分析技術(shù)是國(guó)內(nèi)外反病毒、反木馬等安全領(lǐng)域研究的熱點(diǎn),其優(yōu)點(diǎn)是在一定程度上可檢測(cè)出新型木馬。本文提出一種基于行為分析的木馬檢測(cè)模型,結(jié)合監(jiān)控技術(shù),采用樸素貝葉斯算法通過(guò)對(duì)木馬運(yùn)行起來(lái)所表現(xiàn)出來(lái)的木馬行為特征進(jìn)行判定,可對(duì)各種已知和未知的木馬進(jìn)行查殺,從而達(dá)到有效地防御、檢測(cè)木馬的目的。
作者:賈嫻 單位:菏澤學(xué)院數(shù)學(xué)系