基于ID3决策树木马动态检测技术研究.docVIP

基于ID3决策树的木马动态检测技术研究 　　摘要： 木马是目前计算机网络面临的主要安全威胁之一。针对现有木马检测方法的不足，提出了行为分析与ＩＤ３决策树相结合的木马动态检测技术，对其原理、算法、实现和性能进行了详细介绍。利用ＩＤ３算法对样本进行学习建立的木马判定决策树，根据程序运行时的行为判定其是否为木马。在Ｗｉｎｄｏｗｓ系统下的实现和测试显示该技术具有较高的准确率。 　　关键词： 　　中图分类号： ＴＰ３９３ 文献标识码：Ａ 文章编号：２０９５－２１６３（２０１１）０１－００３２－０３ 　　 　　０引言 　　随着计算机网络的普及与广泛应用，计算机网络信息系统已成为企业、院校、政府等各部门最重要的基础设施和信息交流工具。然而，目前的网络信息系统还存在严重的安全问题，木马、病毒等各种网络攻击行为正严重威胁着广大用户的数据和信息的安全。 　　木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制的后门程序。 　　根据国家互联网应急中心（ＣＮＣＥＲＴ/ＣＣ）自２０１１－０１到２０１１－０３以来发布的《网络安全信息与动态周报》，统计境内被木马控制的ＩＰ地址数量如下：１月份１２万个，２月份１３万个，３月份４１．４万个。 　　由上述数据可知木马事件愈发猖獗，网络安全迫切需要快速有效的木马检测技术。 　　目前，主流的木马检测方法包括：端口识别[１]、注册表监控[２]、特征码检测[１]、静态文件信息检测[３]和内存完整性检测[４]等。但是上述方法都存在不足。端口识别的方法可以在一定程度上检测到木马，但高级木马程序都有在植入到目标系统前定制新的通信端口的能力，从而逃过这种方法的检测[１]。注册表监控方法很难发现诸如采用文件关联方法实现自动运行的木马，而对于只运行一次的木马，因其无需设置自动运行信息，无法使用该方法进行检测[２]。由于木马的种类日益增多，很难全面、准确地提取所有木马的特征码，所以基于特征码检测的方法存在明显的漏检问题[１]。静态文件信息检测是指在Ｗｉｎｄｏｗｓ环境下，根据从ＰＥ可执行文件中提取的静态信息判断文件是否为木马文件[３]。与特征码检测方法类似，该方法只有在拥有大量具有代表性的样本的情况下才能作为检测木马的有效方法，对新出现的木马容易出现漏检问题。内存完整性检测多是通过检测代码区块的完整性来判断木马的存在，但无法检测到改变内存其他区域的木马[４]。 　　针对上述检测方法的不足，现提出木马动态检测方法。该方法将行为分析与ＩＤ３算法产生的决策树相结合，将程序运行时的行为作为判定依据。 　　本文在Ｗｉｎｄｏｗｓ系统下实现了基于ＩＤ３决策树的木马动态检测系统。经测试，该决策树的准确率达到９７．２％，错检率２．８％，漏检率０．０％，证明采用ＩＤ３决策树进行木马动态检测是可行的。 　　１ＩＤ３决策树 　　１．１ＩＤ３算法与木马动态检测 　　ＩＤ３算法的优点是实现简单，判定速度快。ＩＤ３算法的缺点主要是倾向于取值较多的属性，对噪声敏感[５]。但在本文的木马动态检测中，所有的判定属性均只有两个值：０和１；另外，木马文件跟正常文件相比，会出现正常文件所不会有的行为特点，即“噪声”，ＩＤ３算法对噪声敏感的特性有利于木马的检测。 　　选择使用行为分析进行木马动态检测是为了从根本上判断出文件是否合法。根据文件运行时的行为进行判断更有说服力。 　　将ＩＤ３算法与行为分析相结合就是为了能够快速、准确地进行木马动态检测。 　　１．２ＩＤ３决策树生成公式 　　下面介绍ＩＤ３算法公式的定义[６－７]。 　　定义１：若有ｎ个消息，其给定的概率分布为ｐ＝（ｐ１，…，ｐｎ），则该分布传递的信息量称为ｐ的熵，记为 　　定义４：信息增益度的公式为： 　　Ｇａｉｎ（Ｘ，Ｔ）＝Ｉｎｆｏ（Ｔ）－Ｉｎｆｏ（Ｘ，Ｔ） （３） 　　１．３ＩＤ３决策树生成算法 　　通过学习ＩＤ３算法[８－９]，现给出ＩＤ３决策树的生成算法。 　　算法：Ｇｅｎｅｒａｔｅ＿ｄｅｃｉｓｉｏｎ＿ｔｒｅｅ（ｓａｍｐｌｅｓ， ａｔｔｒｉｂｕｔｅ）。由给定的训练数据产生一棵判定树。 　　输入：训练样本ｓａｍｐｌｅｓ，离散值；候选属性的集合ａｔｔｒｉｂｕｔｅ＿ｌｉｓｔ。 　　输出：一棵决策树。 　　算法伪代码： 　　Ｇｅｎｅｒａｔｅ＿ｄｅｃｉｓｉｏｎ＿ｔｒｅｅ（ｓａｍｐｌｅｓ， ａｔｔｒｉｂｕｔｅ＿ｌｉｓｔ） 　　（１）创建结点 Ｎ； 　　（２）ｉｆｓａｍｐｌｅｓ 都在同一个类Ｃ 　　ｔｈｅｎｒｅｔｕｒｎ Ｎ 作为叶结点，以类Ｃ 标记； 　　ｅｎｄｉｆ 　　（３）ｉｆａｔｔｒｉｂｕｔｅ＿ｌｉｓｔ 为空 　　ｔｈｅｎｒｅｔｕｒｎ Ｎ 作为叶结点，标记为 ｓａｍｐｌｅｓ 中最普通的类； 　　ｅｌｓｅ 　　（４）选择ａｔｔｒｉｂｕｔｅ＿ｌｉｓ