木马检测技术研究范文

1木马的工作原理

木马程序一般采用的是客户端/服务器模式，是一种基于C/S模式的远程控制技术，客户端是控制端，用于黑客远程监视和控制植入木马的计算机，主要运行在入侵机中，服务器端是被控端，木马采用欺骗或者漏洞攻击等手段把服务器程序安装到受害者的计算机中，即“植入木马”，也就是我们所说的计算机“中了木马”。如果将木马植入并且成功触发的话，控制端和被控制端就会按TCP/IP协议来进行通信，这样控制者就会获得被控制者的一些信息[7]。木马的工作原理如图1所示，在目标机上执行服务器端以后，木马就会打开一个默认的端口来监听，在客户机向服务器发出连接请求的指令后，服务器上的相关程序就会自动运行该请求，二者建立连接后，客户端发出指令，服务器端在计算机中就会执行该指令，同时把数据传回客户端，以此来控制主机。

2行为分析技术在木马检测中的应用

21木马行为特征行为分析方法在木马检测中的应用，简单来说，就是在运行程序的过程中，如果检测出具有木马的行为特征，如进程隐藏、在注册表设置自启动项等，那么该应用程序则有可能是木马，所以首先应该对木马行为特征进行确定。木马行为特征，是指木马在代码上所具有的共有特点。对其确认的步骤主要是：通过观察大量的己知木马的动态行为，从里面提取出有别于合法程序的比较明显的行为特征，记录下来，再通过和各个木马的行为特征比对，从里面提取出所有的木马或是大多数的木马所具有的行为特征。

2．2行为分析技术行为分析是一种新的检测技术，可以主动进行防御木马攻击。该技术和传统的木马检测技术不同，它通过捕获某个程序行为，再和木马或者病毒所特有的一些行为特征对比分析，然后再通过一些算法像贝叶斯算法、概率论等，或采用数据挖掘技术来对该程序是木马或是病毒的可疑程度进行推断。该检测方法能够及时有效地发现新型恶意代码，是目前国际上反木马技术的新趋势。木马行为特征库可以归纳总结出来，如果单纯依赖木马行为特征库，只要运行的程序中出现了单个具有木马行为特征的行为，就认定其为木马，会带来较大的误报率，比如：修改注册表项，大部分木马程序具有该行为特征，可以将其作为区分合法程序的行为特征，但是一些合法程序也具有在注册表设置自启动项等一些修改注册表项的行为特征，如桌面工具类软件、迅雷、QQ程序的安装等，而且并不是所有的木马程序都会进行注册表项的操作，所以在考虑木马行为特征的同时，还应关注合法程序区别于木马的行为特征，通过多项特征的组合来作为判别木马程序的依据，从而降低误报率和漏报率。M.schultZ等人最早提出了采用朴素贝叶斯算法等来检测未知的恶意程序代码，因其具有较强的概率推理能力，可以通过对样本的多个属性的取值来对样本分类，而且它们都可被用来对未知的类别样本分类，这和把行为分析技术用来判定未知木马的目的一致，所以不仅可以用来检测已知的木马，对未知的木马或是已知的木马变种也能检测出来。

3朴素贝叶斯算法在木马行为分析中的应用

假设已知的木马的个数为m，合法的程序个数为n，行为特征具有k个(m>0，n>0，k＞0，且m、n和k均为整数)。把m个木马里具有第i个行为特征的木马数记为(k≥i＞0，且i为整数)。假设有一个可执行程序，该程序既不在m个木马程序中，也不在n个合法程序中，但该程序具有k个行为特征中的1个行为特征，不具有另外(k-l)个行为特征，那么需要判别该程序是不是木马程序。

4基于行为分析的木马检测模型

在上述理论的基础上，结合监控技术，设计了一个基于行为分析的木马检测模型，采用朴素贝叶斯算法作为可疑行为分析模块的检测算法。基于行为分析的木马检测模型如图2所示。图2基于行为分析的木马检测模型(参见右栏)各模块主要功能说明如下。程序实时监控模块：对系统内部的可疑行为进行监控，在此归纳了几种常见的木马行为属性，主要有进程隐藏，界面隐藏，注册表修改，自动运行，安装钩子，线程的注入等。这些行为在普通程序中出现的概率远小于在木马中出现的概率，木马在运行过程中会暴露这些属性，它们是分析检测木马的重要依据。目录文件监控模块：本模块对系统存储的重要文件或者对用户重要的文件、文件目录实施操作监控，实时记录下用户对特定文件或目录创建、修改、重命名及删除操作，由于偷窃性是木马的一个重要特征，最终会将偷窃的敏感文件或数据通过网络向外在的控制端进行数据的传输，所以会同时将相关数据发送给网络监控模块进行监控。

网络监控模块：对局域网中各机器网络通信情况进行检测，通过网络监控发现网络通信的异常。主要根据目录文件监控模块传来的进程PID、进程路径名等一些进程信息对网络情况进行监控，由此可以得到该进程打开的端口号和传输情况。而对一些无连接、隐藏通信端口的木马，通过网络监控不易发现时，却也很有可能通过行为特征的分析将这些木马检测出来。本模块和目录文件监控模块除了确定木马在系统中如隐藏、修改注册表等一系列行为特征外，还可以一起来确定另外一个决定性特征：文件偷窃特征。可疑行为分析模块：在此模块中采用朴素贝叶斯算法对木马行为特征进行分析，通过第3节的分析，P(X|T)、P(T)、P(X|LP)和P(LP)做为先验概率是可以事先算出来的，然后再按照公式3-3，3-4和判断条件进行木马行为的判断。由于朴素贝叶斯算法的最大特点是不需要搜索，只需简单地计算各个行为特征发生的频率数，就可以估计出每个行为特征的概率估计值，因而用朴素贝叶斯算法判别木马具有较高的效率。木马杀除和报警响应模块：对检测出的木马做最终处理，当检测到有木马攻击的时候一方面采取切断TCP连接等措施对木马进行阻止或删除；另一方面向用户或管理员发出报警，弹出相应的警告窗体，记录着木马的发送时间，木马类型、其源MAC地址、目的MAC地址、源lP地址、目的IP地址等关键信息。管理员或审计员可以对报警信息进行查看，可以通过电子邮件查收，同时可以根据需要生成审计报告，为其提供决策支持。另一方面将审计结果进行存储，把告警信息存入网络审计数据库。

5结束语

目前，行为分析技术是国内外反病毒、反木马等安全领域研究的热点，其优点是在一定程度上可检测出新型木马。本文提出一种基于行为分析的木马检测模型，结合监控技术，采用朴素贝叶斯算法通过对木马运行起来所表现出来的木马行为特征进行判定，可对各种已知和未知的木马进行查杀，从而达到有效地防御、检测木马的目的。

作者：贾娴 单位：菏泽学院数学系