基于动态博弈木马检测策略研究.docVIP

基于动态博弈木马检测策略研究 　　[摘 要]通过分析计算机木马检测系统木马检测的特点， 提出了基于不完全信息动态博弃理论的检测策略选择方法。 　　[关键词]木马检测策略 动态博弈 　　中图分类号：TM925.07 文献标识码：A 文章编号：1009-914X（2015）05-0282-01 　　1 引言 　　近年来， 随着网络应用复杂度的不断提高， 网络攻击方法层出不穷。各种网络攻击方法中， 木马攻击是最具危险的手段之一。一旦计算机系统被种植木马， 就将长期潜伏， 对系统的保密性、可用性造成致命伤害。本文提出了一种在新型木马检测系统中， 基于不完全信息博弈理论的计算机木马检测策略选择方法， 为解决准确检测木马问题提供了新的思路。 　　2 计算机木马检测系统构成 　　本文成果应用的计算机木马检测系统由主机信息检测模块、网络信息检测模块和智能决策模块三个模块组成。 　　主机信息检测模块对主机的文件、进程、网络连接、加载文件等信息结合白名单检测、端口关联等检测方法， 按照检测策略进行检测。网络信息检测模块基于网络协议的分析， 对宿主主机发出的数据包进行层层剥离， 准确获取数据包信息， 同时根据各种信息特征进行统计， 从中发掘可疑网络流量信息。智能决策模块将网络和主机获取的数据根据攻击特征进行逐项分析， 然后对分项结果关联形成检测结论， 最终显示给用户。 　　3 木马检测与反检测博弈行为分析 　　3.1 木马反检测的一般方法及分析 　　木马必须的功能包括隐蔽启动、网络外联。木马反检测方法大体有隐藏进程、隐藏模块、隐藏网络连接、隐藏文件、隐藏服务、隐藏启动项、穿透防火墙。 　　3.2 木马检测的博弃行为 　　在木马检测过程中， 自始至终存在着对抗双方检测与反检测的博弈。木马检测系统要制定应对不同等级木马的检测策略。从检测到的可疑程序中将这些正常程序甄别出是系统的重要工作。在计算机被种植木马的环境下， 检测工作是一个双方不完全信息动态博弈的过程， 检测系统必须逐步寻找最优策略， 以达到检出目的。 　　3.3 不完全信息动态博弃 　　根据随机博弈的思想， 检测系统的每一个部分检测的结果概括成一种“状态”。双方在该部分的收益取决于各自采用的策略。通常， 一个两方随机博弈用如下七元组描述（S，，， Q，，，β），其中： 　　一般的木马检测博弈过程如下：在某个检测模块工作的时刻t， 博弈处于状态∈S。，木马从反检测策略集中选择策略， ， 系统从检测策略集中选择策略， 然后木马得到一个收益= （，，）， 系统得到收益= （，，），然后博弈进入第二个状态∈S。 　　根据不完全信息动态博弈理论， 当期收益不仅取决于当前状态和这种状态下木马与检测系统选择的策略， 还取决于双方针对对方类型所做的概率分布判断。根据随机博弈理论， 木马的收益应该为= （，，）， 假设此时木马对不会被检测出的概率判断为μ， 根据不完全信息博弈理论，其收益为= （，，，μ）， 同理， 假设此时检测系统对木马是否判断出被检测出的概率判断为λ， 此状态下其收益为= （，，，λ）。 　　4 基于动态博弈的木马检测策略选择 　　木马检测环境下， 针对一个特定的状态， 策略选择过程为： 　　（1）首先确定检测系统和木马的策略集； 　　（2）当前状态下， 确定针对检测系统不同的策略， 木马对被检出的概率μ分布； 　　（3）根据木马实现技术水平的高低确定木马类型， 然后检测系统确定木马类型的概率分布ν，在此基础上根据木马在当前状态下采取不同的策略下， 确定木马判断出被检出的概率分布λ； 　　（4）确定木马的收益函数。为了长时间牢固控制主机（I）， 木马需具备反检测手段（T）， 由此确定木马的线性收益函数为：=（I-T）（1-μ）（1） 　　（5）确定检测系统的收益函数。检测系统的收益函数与木马反检测水平（T），检测系统获取的信息（），木马判断检测系统会采取的检测方式信息（）相关， 由此确定检测系统的线性收益函数为：=（γI-T-）（1-γ）（2） 　　假设检测系统对木马类型的判断概率是，则对n类木马， 系统在该状态下的收益为： 　　（6）计算纳什均衡解， 确定木马检测策略。要达到纳什均衡解必须满足两个条件：检测系统采取的策略要实现自己的收益最大化；要使木马的收益尽可能高。 　　成立的策略为其最优策略，其中表示确定检测系统所有策略下的最大收益，为选择该策略下的木马的判断概率。 　　对检测系统而言，使得条件： 　　成立的策略为其最优策略，其中表示系统在木马自防护策略下的最大收益，为选择该策略下的系统的检出判断概率。 　　5 示例与仿真 　　以主机信息检测部分为例，使用简化策略进行仿真分析。 　　（1） 确定双方策略集 　　在主机信