基于网络的检测方法.ppt

一种基于分层聚类方法的木马通信行为检测模型 李世淙 中科院计算所 lishicong@ 引言 研究背景 网络窃密已经成为严重的网络安全威胁。 木马是窃取用户机密信息最重要的手段之一。 与其他恶意软件不同，木马的运行不会引起系统明显的变化，具有隐蔽性，不易被发现。 网络应用的日益丰富，使得检测更加困难。 木马分类 从通信方式的角度出发，将木马分为：远程控制型和单独作业型。 远程控制型：与攻击者实时通信，监听/执行攻击命令。 单独作业型：单独运行，并通过邮件、即时通信软件、FTP等方式回传任务执行结果。 研究对象 本文主要研究远程控制型木马的通信行为检测。选取该类型木马为研究对象的主要原因为： 远程控制型木马是非常典型的木马类型，大多数流行木马都属于此类型。 远程控制型木马提供非常全面的功能，如键盘记录、屏幕截取、密码盗窃等。 远程控制型木马具有实时性、高效性（执行任务成功率较高）的特点。 检测方法分类 已有的木马检测方法，根据检测环境的不同可以分为两类： 基于主机的检测方法 基于网络的检测方法 基于主机的检测方法 基于主机的检测方法又可以分为两类： 对二进制代码的检测：针对木马程序本身进行检测。提取木马程序的二进制特征，并在此基础上进行检测。 对主机行为的检测：针对主机的系统调用、系统资源占用等行为特征进行分析。对主机的行为特征进行建模，并以此为基准进行检测。