基于网络流量特征的木马检测技术研究


    基网络流量特征木马检测技术研究

    摘  :文章首先介绍前网络环境木马特征工作原理较分析常见木马检测方法优缺点面挑战然木马网络通信质特征出发分析基网络流量特征未知木马检测技术提出种基网络流量特征分析木马检测模型
    关键词 :流量特征木马检测恶意代码检测



    计算机网络普计算机病毒迅速发展木马病毒计算机病毒中占相重带危害损失日俱增木马病毒技术研究检测成网络安全领域热点重点
    1 木马特征攻击原理
    11木马特征
    计算机网络安全中木马指段具特殊功恶意代码代码通常隐藏正常程序中恶意代码会入侵户计算机然窃取户信息破坏户系统户计算机做跳板实现 Dos 攻击者隐藏身种门程序[1]
    目前网络类型木马然程序程序语言进行编制台环境运行发挥着作着许特征[2]
    ()隐蔽性隐蔽性木马首特征点病毒特征相似木马类软件服务器端程序控机系统运行时会种方法隐藏修改注册表ini文件便控系统次启动载入木马程式服务器端正常程序绑定成程序软件户绑定程式时木马时入侵户系统
    (二)动运行性木马程序通修改系统配置文件wininisysteminiwinstartbat注册表方式目标机系统启动时动运行加载
    (三)欺骗性木马程序达长期隐蔽目必需助系统中已文件防户发现常常见文件名扩展名dll\win\sys\explorer等字样者仿制易区文件名字母l数字1字母o数字0常修改基文件中难分辨字符甚系统文件中已文件名保存路径中
    (四)动恢复性现木马程序中功模块已单文件组成具重备份相互恢复系统旦植入木马想利删某文件进行清太更先进木马利线程监控技术木马清更加困难
    (五)功特殊性通常木马功十分特殊普通文件操作外木马具搜索Cache中口令设置口令扫描目标机器IP址进行键盘记录远程注册表操作锁定鼠标等功
    12木马攻击原理
    完整木马程序包含两部分:客户端(控制器部分)服务端(服务器部分)植入受害者做服务端黑客利客户端攻击入侵运行服务端受害者电脑木马程序服务端运行会产生迷惑性进程名欺骗受害者受害者知情情况开端口指定址发送数(时通信软件密码户口令网银行帐号密码等)攻击者甚利开端口入侵受害者计算机系统完整木马系统硬件部分软件部分具体连接部分构成
    [3]
    典型木马工作原理:服务器端程序提供服务客户端程序接受服务木马服务器端程序目标计算机启动运行通常会开某默认端口进行监听木马客户端服务器端程序提出连接请求时木马服务器端相应程序会动运行服务器端程序客户端建立连接客户端享服务器端部分操作权限控制目标计算机实现特定操作图1 示

    图1木马客户端服务器方式
    2 木马检测技术
    木马隐蔽性强攻击范围广危害等特点成常见网络攻击技术互联网安全构成严重威胁针木马研究效检测遏制方法具重现实意义目前常木马检测方法包括:特征码扫描虚拟机技术基动态行动防御启发式分析技术云查杀
    21常见木马检测技术
    ()特征码扫描
    特征码扫描技术检测已知恶意程序简单实方法现常见反病毒软件木马检测软件该方法特征码某已知木马程序特串串二进制信息作该木马程序唯标识反病毒软件病毒库中特征码扫描文件进行进判断该文件否木马程序[4]
    (二)虚拟机技术
    虚拟机技术计算机动加密木马程序代码进行虚拟执行原出木马程序真实代码然进行检测
    (三)基动态行动防御
    基动态行动防御技术[5]程序行作判断病毒识未知恶意代码通疑似危险行注册表关键键值修改驱动程序加载远程进程注入特定 API 函数调等进行监控判定否木马程序
    (四)启发式分析技术
    启发式分析技术[6]模拟恶意软件分析员判定病毒程担虚拟分析师角色恶意软件分析员出现新生威胁中断学病毒辨验知识通编程应启发式分析技术断提升恶意软件检测率
    (五)基云安全木马检测
    云安全网络中软件异常行进行监测[7]截获网络种恶意程序木马等新状况实时推送服务器端进行分析处理然解决方案逐分发客户端进行防护
    表1木马检测方法优缺点

    22基流量特征木马检测技术
    现木马检测方法均存缺陷木马程序部实现完成功
    目变控端控制端间传输流量特征便难改变流量特征角度进行检测[8]效解决木马免杀逃避检测问题
    文献[9]前已基流量机安全防护方法做深入分析着重介绍关网络流量行知识库建立没具体针木马网络特征规律提出针性基流量特征判定方法文献 [10]研究远程控制类型木马通信 3 阶段分析流量行特征发现木马建立连接阶段会动态 DNS 行数传输时报文会置推送标志位PSH 1导致 PSH 报文数量增
    3 基流量分析木马检测技术
    31行流量特征
    正常网络程序般机服务器端发出请求服务器端请求结果返回客户机时发出请求数包返回结果页面文件者图片会出现行流量远行流量特征
    木马程序正相反控端服务器端控制端发送命令控端执行进行响应结果回传控制端回传屏幕截图文件系统信息摄头采集信息等回传数会远发送命令数会呈现出行流量远行流量正常软件截然相反特征图2图 3 示然控制端传文件控端时会短暂出现行流量行流量种操作实际木马控制阶段频率低传文件般文件

    图2 正常进程(Mathonexe)行流量特征

    图3 木马进程(netmanexe)行流量特征
    见木马程序明显流量特征应包含两点:第行流量会远行流量第二行流量行流量占时间例高
    网卡捕获数包中存建立连接断开连接请求应答数包木马程序存量心跳包等非传输数数包数包计算流量特征时关心计算行流量时间时候需数包滤掉获够更准确反映传递真实数流量信息数包区传递数数包处数包般通丢弃数包达滤数包效果
    32 网络连接特征
    P2P 软件行流量特征会木马程序相似仅仅行流量特征判定会出现误判情况然P2P 程序存区木马明显特征P2P 程序会线户提供资源建立连接远程 IP 数量会远远木马程序木马程序般控制端进行通信
    33 启动特征
    木马程序进入控端保证次计算机启动时获控制权通常采种启动技术正常程序限列入白名单软件般会开机时进行启动考虑作判定进程否木马程序辅助系统首先设置开机时启动然刚启动机进程进行次扫描开机时启动进程列表果木马程序通常列表中显示
    4 基流量木马检测系统
    基木马网络流量特征分析木马流量特征模型建立种通网络流量特征效检测未知木马检测系统系统架构图4示

    图4基流量木马检测系统
    41 监控模块
    监控模块 WinPcap 捕获网卡中原始数包针原始数包采协议进行滤接受 TCPUDP 协议数包提取出已捕获数包重信息包括数包发送者接收时间数包源 IP源端口目IP目端口通IP端口信息获取机中数包收发关进程提取出数包关键信息传递预处理模块
    42 预处理模块
    预处理模块监控模块传递数包关键信息根进程进行区分进程根发送者接收数包时间秒钟发送数包分行行数包相加进程秒钟行流量值进程秒钟行流量传递判定模块进行判定
    43 判定模块
    判定模块分四判定步骤 :白名单判定行流量判定网络连接特征判定启动判定判定模块流程图 5示

    图5判定模块工作流程
    第步判定模块进程名白名单中信进程名列表果进程白名单中直接判定信进程否继续判断第二步通进程行流量特征进行判断计算行流量均值行流量均值值(ARAverage Ratio)果AR阈值α直接判定正常程序否计算该进程滤掉数包行流量行流量时间占行流量差异时间值(修正时间RTR Revise Time Ratio)计算 程中数包阈值选取δ果 RTR 值阈值β直接判定正常程序否继续步判定第三步计算 网络连接数(NCNNetwork Connection Number) 果NCN 阈值γ判定该程序应该 P2P 程序判定正常程序否进入第四步判定第四步果疑进程开机启动列表中终判定疑进程
    44 告警模块
    告警模块判定模块疑进程列表相关信息(进程名进程完整路径等)告知户户选择否该进程加入白名单果户确定该进程正常进程选择加入白名单中会次该进程告警
    5结束语
    着互联网广泛应木马程序日趋泛滥相初木马程序现木马程序植入方式攻击形式隐藏技术已发生巨变化未知木马已计算机网络构成极威胁文分析木马网络流量特征提出种基网络流量特征未知木马检测系统未知木马检测方面具良应前景
    参考文献:
    [1] 国家互联网应急中心 CNCERT 互联网安全威胁报告 [EBOL] httpwwwcertorgcnpublishmainuploadFile2014monthly12pdf201412
    [2] 吴耀东互联网木马病毒分析防范[J]科技视野2013(8)
    [3] 王树森陈木马病毒攻击原理防治策略[J]软件导刊2012(6)
    [4] Gao D Reiter M K Song D Binhunt Automatically finding semantic differences in binary programs[M] Heidelberg Springer Berlin 2008
    [5] 谢柏林余争 基应层协议分析应层实时动防御系统 [J]计算机学报201134(03)452463
    [6] 林泓动防御技术研究实现 [D]成电子科技学2011
    [7] 翔基云安全技术防病毒软件商业模式分析研究 [D]北京北京邮电学2011
    [8] 胥攀刘胜利兰景宏基数流分析木马检测方法 [J]计算机应研究201532(3)890894
    [9] 袁东风基网络流量机安全防护系统研究实现 [D]北京北京邮电学2011
    [10] 李巍李丽辉李佳林绅文远控型木马通信三阶段流量行特征分析 [J]技术研究2015051015







    文档香网(httpswwwxiangdangnet)户传
    文档香网(httpswwwxiangdangnet)户传

    《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
    该内容是文档的文本内容,更好的格式请下载文档

    下载文档到电脑,查找使用更方便

    文档的实际排版效果,会与网站的显示效果略有不同!!

    需要 2 香币 [ 分享文档获得香币 ]

    下载文档

    相关文档

    基于周期循环平稳检测算法的频谱感知技术研究

    认知无线电作为一种革命性智能频谱共享技术,可显著提高频谱的使用率,近年来受到了人们的广泛关注。组建实际认知无线电网络需要解决的核心问题是:如何准确地识别频谱空穴并检测授权用户出现。因此,作为解决...

    5年前   
    1043    0

    学生作文《回旋的木马》

    学生作文《回旋的木马》回旋的木马**市广外附设外语学校高一(1)班学生作文 霍羿成 楚歌可以涣散军心,骊歌可以承载眼泪,母亲的感叹声可以呼唤游子,情人的吉他声可以传递爱情。而回旋的木马那柔柔的...

    8年前   
    407    0

    基于胜任特征、可量化的面试工具-CRT

    素质配比表CRT 一种基于胜任特征、可量化的面试工具 作为经理人员,你的老板希望你经常能选拨合适的人选加入公司,此外你的老板认为你应该知道怎样有效面试,但你的确知道怎么办吗?凭你的主...

    14年前   
    27844    0

    锚杆支护智能化无损检测技术研究与应用

    锚杆支护智能化无损检测技术研究与应用为验证应用锚杆支护无损检测技术进行锚杆锚固参数无损检测的可行性和检测结果的准确率,项目工程应用选择在潞安环能股份公司王庄煤矿实施。通过与现场技术人员协商,选...

    10年前   
    526    0

    基于FPGA的温度检测系统设计

    XX学院信息工程学院数字系统与Verilog设计报告题 目: 基于FPGA的温度检测系统设计 姓 名: 学 号: ...

    3年前   
    590    0

    基于旁路式宽带网络流量计费解决方案-计费系统解决方案

    基于旁路式宽带网络流量计费解决方案-计费系统解决方案  1.背景  在“科教兴国”的政策下,高校的信息化建设一直为国家关注的重点。从2002年后,高校校园网建设开始延伸到宿舍楼,但随着高校宿舍...

    11年前   
    468    0

    中科院时勘-基于胜任特征模型的人力资源开发

    基于胜任特征模型的人力资源开发 中共深圳市委组织部经理进修学院中国科学院心理研究所 健康型组织研究院 摘要:建立基于胜任特征模型的人力资源管理体系,已经成为企业管...

    13年前   
    22701    0

    基于心理契约的企业文化特征研究—企业文化

     基于心理契约的企业文化特征研究—企业文化  [摘要] 企业文化是企业全员共循的,以价值观为核心的各种理念及其表现的总和。而心理契约的存在和变化将极大地影响企业员工的工作态度和工作绩效,同时也...

    9年前   
    332    0

    基于ARM的家用ECG检测设备的研究与设计

    本文设计实现了一种心电信号检测系统。硬件上该系统基于医用心电监测仪简化而来,利用心电电极片以及三输入屏蔽导线,通过标准导线收集人体心电信号,随后利用多级放大滤波电路模块对心电信号进行处理。软件上...

    3年前   
    451    0

    基于51单片机红外迎宾及人数检测报警系统

    红外感应式门铃如今常用于店铺门口用于迎接顾客。它可依据顾客的进出状况作出有所差别的反应。主要研究了红外感应技术在我们日常生活中的应用,即感应式门铃。通过对它的研究,学会红外接近开关的原理、电路设...

    3年前   
    811    0

    基于51单片机压力检测系统设计毕业设计

     学号: xx 大 学 毕业设计(论文) (xxxx届) 题 目 ...

    5年前   
    2683    0

    基于单片机的高精度温度检测与控制系统

    温度的检测与控制的系统渐渐在我们的日常生活中愈发重要,在我们的日常生活的领域还有各个国家和地方的都大量涉及单片机对温度的检测与其控制,比如温度计,酒店的紧急火灾报警温度感应器等等。

    2年前   
    837    0

    基于matlab的心电信号QRS波检测与分析

    XX大学课 程 设 计 说 明 书 题目:基于matlab的心电信号QRS波检测与分析 学院(系): 电气工程学院 年级专业: 医疗仪器 学 号: ...

    1年前   
    329    0

    基于数字图像处理的印刷电路板智能检测方法

    基于数字图像处理的印刷电路板智能检测方法基于数字图像处理的印刷电路板智能检测方法摘 要印刷电路板检测作为现代电子产品生产过程关键的一环,在一开始无法形成高效的处理模式,传统的人工检测存在速度...

    1年前   
    251    0

    项目协调技术研究

    项目协调技术研究  摘要:文章讨论了项目协调的作用,构筑了项目协调系统的基本框架,分析了影响协调工作的因素,项目协调系统由协调的主体、项目协调技术、被协调对象等组成,并通过一定的组织形式和项目...

    11年前   
    564    0

    转基因技术研究进展

                                                  转基因技术研究进展   [摘要] 转基因技术可以认为是在一定程度上通过科学技术手段让其他...

    8年前   
    8623    0

    ****工业技术研究院

    西安赛宝工业技术研究院简介 西安赛宝工业技术研究院(简称西安赛宝)是工业和信息化部电子第五研究所(中国赛宝实验室)下属全资子公司。2016年5月13日,电子五所与**省西安市户县人民政府签订...

    6年前   
    2013    0

    悼词的特征

    悼词的特征  民古代衰悼性文章相比,悼词具有以下三个特征。(一)总结死者生平业绩,肯定其一生的贡献 现代性悼词是一种具有高度思想性和现实性的文体,人们以此既寄托哀思又通过死者的业绩激励后来者。...

    9年前   
    695    0

    胜任特征简介

    胜任特征简介一、胜任特征的起源1973年,哈佛大学的著名心理学家McClelland 发表了“测量胜任特征而不是智力”的文章,对以往的智力和能力倾向测验进行了批评,认为这种来源于筛选大学申请者...

    9年前   
    561    0

    高三一轮复习生物考点限时检测:种群的特征和数量变化

    1.[2021•南师大附中联考]如图为种群特征的概念图,下列叙述中,错误的是(  ) A.c表示种群密度,是种群最基本的数量特征B.b表示年龄组成,年龄组成为增长型的种群,种群数量一定会越来越大...

    3年前   
    629    0