摘 :文章首先介绍前网络环境木马特征工作原理较分析常见木马检测方法优缺点面挑战然木马网络通信质特征出发分析基网络流量特征未知木马检测技术提出种基网络流量特征分析木马检测模型
关键词 :流量特征木马检测恶意代码检测
计算机网络普计算机病毒迅速发展木马病毒计算机病毒中占相重带危害损失日俱增木马病毒技术研究检测成网络安全领域热点重点
1 木马特征攻击原理
11木马特征
计算机网络安全中木马指段具特殊功恶意代码代码通常隐藏正常程序中恶意代码会入侵户计算机然窃取户信息破坏户系统户计算机做跳板实现 Dos 攻击者隐藏身种门程序[1]
目前网络类型木马然程序程序语言进行编制台环境运行发挥着作着许特征[2]
()隐蔽性隐蔽性木马首特征点病毒特征相似木马类软件服务器端程序控机系统运行时会种方法隐藏修改注册表ini文件便控系统次启动载入木马程式服务器端正常程序绑定成程序软件户绑定程式时木马时入侵户系统
(二)动运行性木马程序通修改系统配置文件wininisysteminiwinstartbat注册表方式目标机系统启动时动运行加载
(三)欺骗性木马程序达长期隐蔽目必需助系统中已文件防户发现常常见文件名扩展名dll\win\sys\explorer等字样者仿制易区文件名字母l数字1字母o数字0常修改基文件中难分辨字符甚系统文件中已文件名保存路径中
(四)动恢复性现木马程序中功模块已单文件组成具重备份相互恢复系统旦植入木马想利删某文件进行清太更先进木马利线程监控技术木马清更加困难
(五)功特殊性通常木马功十分特殊普通文件操作外木马具搜索Cache中口令设置口令扫描目标机器IP址进行键盘记录远程注册表操作锁定鼠标等功
12木马攻击原理
完整木马程序包含两部分:客户端(控制器部分)服务端(服务器部分)植入受害者做服务端黑客利客户端攻击入侵运行服务端受害者电脑木马程序服务端运行会产生迷惑性进程名欺骗受害者受害者知情情况开端口指定址发送数(时通信软件密码户口令网银行帐号密码等)攻击者甚利开端口入侵受害者计算机系统完整木马系统硬件部分软件部分具体连接部分构成
[3]
典型木马工作原理:服务器端程序提供服务客户端程序接受服务木马服务器端程序目标计算机启动运行通常会开某默认端口进行监听木马客户端服务器端程序提出连接请求时木马服务器端相应程序会动运行服务器端程序客户端建立连接客户端享服务器端部分操作权限控制目标计算机实现特定操作图1 示
图1木马客户端服务器方式
2 木马检测技术
木马隐蔽性强攻击范围广危害等特点成常见网络攻击技术互联网安全构成严重威胁针木马研究效检测遏制方法具重现实意义目前常木马检测方法包括:特征码扫描虚拟机技术基动态行动防御启发式分析技术云查杀
21常见木马检测技术
()特征码扫描
特征码扫描技术检测已知恶意程序简单实方法现常见反病毒软件木马检测软件该方法特征码某已知木马程序特串串二进制信息作该木马程序唯标识反病毒软件病毒库中特征码扫描文件进行进判断该文件否木马程序[4]
(二)虚拟机技术
虚拟机技术计算机动加密木马程序代码进行虚拟执行原出木马程序真实代码然进行检测
(三)基动态行动防御
基动态行动防御技术[5]程序行作判断病毒识未知恶意代码通疑似危险行注册表关键键值修改驱动程序加载远程进程注入特定 API 函数调等进行监控判定否木马程序
(四)启发式分析技术
启发式分析技术[6]模拟恶意软件分析员判定病毒程担虚拟分析师角色恶意软件分析员出现新生威胁中断学病毒辨验知识通编程应启发式分析技术断提升恶意软件检测率
(五)基云安全木马检测
云安全网络中软件异常行进行监测[7]截获网络种恶意程序木马等新状况实时推送服务器端进行分析处理然解决方案逐分发客户端进行防护
表1木马检测方法优缺点
22基流量特征木马检测技术
现木马检测方法均存缺陷木马程序部实现完成功
目变控端控制端间传输流量特征便难改变流量特征角度进行检测[8]效解决木马免杀逃避检测问题
文献[9]前已基流量机安全防护方法做深入分析着重介绍关网络流量行知识库建立没具体针木马网络特征规律提出针性基流量特征判定方法文献 [10]研究远程控制类型木马通信 3 阶段分析流量行特征发现木马建立连接阶段会动态 DNS 行数传输时报文会置推送标志位PSH 1导致 PSH 报文数量增
3 基流量分析木马检测技术
31行流量特征
正常网络程序般机服务器端发出请求服务器端请求结果返回客户机时发出请求数包返回结果页面文件者图片会出现行流量远行流量特征
木马程序正相反控端服务器端控制端发送命令控端执行进行响应结果回传控制端回传屏幕截图文件系统信息摄头采集信息等回传数会远发送命令数会呈现出行流量远行流量正常软件截然相反特征图2图 3 示然控制端传文件控端时会短暂出现行流量行流量种操作实际木马控制阶段频率低传文件般文件
图2 正常进程(Mathonexe)行流量特征
图3 木马进程(netmanexe)行流量特征
见木马程序明显流量特征应包含两点:第行流量会远行流量第二行流量行流量占时间例高
网卡捕获数包中存建立连接断开连接请求应答数包木马程序存量心跳包等非传输数数包数包计算流量特征时关心计算行流量时间时候需数包滤掉获够更准确反映传递真实数流量信息数包区传递数数包处数包般通丢弃数包达滤数包效果
32 网络连接特征
P2P 软件行流量特征会木马程序相似仅仅行流量特征判定会出现误判情况然P2P 程序存区木马明显特征P2P 程序会线户提供资源建立连接远程 IP 数量会远远木马程序木马程序般控制端进行通信
33 启动特征
木马程序进入控端保证次计算机启动时获控制权通常采种启动技术正常程序限列入白名单软件般会开机时进行启动考虑作判定进程否木马程序辅助系统首先设置开机时启动然刚启动机进程进行次扫描开机时启动进程列表果木马程序通常列表中显示
4 基流量木马检测系统
基木马网络流量特征分析木马流量特征模型建立种通网络流量特征效检测未知木马检测系统系统架构图4示
图4基流量木马检测系统
41 监控模块
监控模块 WinPcap 捕获网卡中原始数包针原始数包采协议进行滤接受 TCPUDP 协议数包提取出已捕获数包重信息包括数包发送者接收时间数包源 IP源端口目IP目端口通IP端口信息获取机中数包收发关进程提取出数包关键信息传递预处理模块
42 预处理模块
预处理模块监控模块传递数包关键信息根进程进行区分进程根发送者接收数包时间秒钟发送数包分行行数包相加进程秒钟行流量值进程秒钟行流量传递判定模块进行判定
43 判定模块
判定模块分四判定步骤 :白名单判定行流量判定网络连接特征判定启动判定判定模块流程图 5示
图5判定模块工作流程
第步判定模块进程名白名单中信进程名列表果进程白名单中直接判定信进程否继续判断第二步通进程行流量特征进行判断计算行流量均值行流量均值值(ARAverage Ratio)果AR阈值α直接判定正常程序否计算该进程滤掉数包行流量行流量时间占行流量差异时间值(修正时间RTR Revise Time Ratio)计算 程中数包阈值选取δ果 RTR 值阈值β直接判定正常程序否继续步判定第三步计算 网络连接数(NCNNetwork Connection Number) 果NCN 阈值γ判定该程序应该 P2P 程序判定正常程序否进入第四步判定第四步果疑进程开机启动列表中终判定疑进程
44 告警模块
告警模块判定模块疑进程列表相关信息(进程名进程完整路径等)告知户户选择否该进程加入白名单果户确定该进程正常进程选择加入白名单中会次该进程告警
5结束语
着互联网广泛应木马程序日趋泛滥相初木马程序现木马程序植入方式攻击形式隐藏技术已发生巨变化未知木马已计算机网络构成极威胁文分析木马网络流量特征提出种基网络流量特征未知木马检测系统未知木马检测方面具良应前景
参考文献:
[1] 国家互联网应急中心 CNCERT 互联网安全威胁报告 [EBOL] httpwwwcertorgcnpublishmainuploadFile2014monthly12pdf201412
[2] 吴耀东互联网木马病毒分析防范[J]科技视野2013(8)
[3] 王树森陈木马病毒攻击原理防治策略[J]软件导刊2012(6)
[4] Gao D Reiter M K Song D Binhunt Automatically finding semantic differences in binary programs[M] Heidelberg Springer Berlin 2008
[5] 谢柏林余争 基应层协议分析应层实时动防御系统 [J]计算机学报201134(03)452463
[6] 林泓动防御技术研究实现 [D]成电子科技学2011
[7] 翔基云安全技术防病毒软件商业模式分析研究 [D]北京北京邮电学2011
[8] 胥攀刘胜利兰景宏基数流分析木马检测方法 [J]计算机应研究201532(3)890894
[9] 袁东风基网络流量机安全防护系统研究实现 [D]北京北京邮电学2011
[10] 李巍李丽辉李佳林绅文远控型木马通信三阶段流量行特征分析 [J]技术研究2015051015
文档香网(httpswwwxiangdangnet)户传
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档