一种基于分层聚类方法的木马通信行为检测模型-Seebug.ppt

一种基于分层聚类方法的木马通信行为检测模型 李世淙 中科院计算所 lishicong@ 引言 研究背景 网络窃密已经成为严重的网络安全威胁。 木马是窃取用户机密信息最重要的手段之一。 与其他恶意软件不同，木马的运行不会引起系统明显的变化，具有隐蔽性，不易被发现。 网络应用的日益丰富，使得检测更加困难。 木马分类 从通信方式的角度出发，将木马分为：远程控制型和单独作业型。 远程控制型：与攻击者实时通信，监听/执行攻击命令。 单独作业型：单独运行，并通过邮件、即时通信软件、FTP等方式回传任务执行结果。 研究对象 本文主要研究远程控制型木马的通信行为检测。选取该类型木马为研究对象的主要原因为： 远程控制型木马是非常典型的木马类型，大多数流行木马都属于此类型。 远程控制型木马提供非常全面的功能，如键盘记录、屏幕截取、密码盗窃等。 远程控制型木马具有实时性、高效性（执行任务成功率较高）的特点。 检测方法分类 已有的木马检测方法，根据检测环境的不同可以分为两类： 基于主机的检测方法 基于网络的检测方法 基于主机的检测方法 基于主机的检测方法又可以分为两类： 对二进制代码的检测：针对木马程序本身进行检测。提取木马程序的二进制特征，并在此基础上进行检测。 对主机行为的检测：针对主机的系统调用、系统资源占用等行为特征进行分析。对主机的行为特征进行建模，并以此为基准进行检测。 基于网络的检测方法 基于网络的检测方法可分为两类： 对应用层负载的检测：对应用层负载内容进行检测。提取应用层内容的特征，并在此基础上进行检测。 对网络行为的检测：针对应用层以下的各协议层进行特征提取，在这些特征的基础上建立网络行为模型，并利用模型进行检测。 本文方法简介 利用网络行为分析的概念、思想和方法，从网络层和传输层两个层次对木马的网络通信行为进行分析；基于通信行为特征和层次聚类方法，建立木马和正常应用的网络通信行为模型；利用建模结果对木马的通信行为进行检测。 木马网络通信行为分析 若干概念 1、被控端和控制端 被控端植入目标主机，接收攻击命令执行攻击任务。控制端直接由攻击者控制，向被控端发送命令。 2、主连接和子连接 主连接为两端通信初始化时建立的连接，一般贯穿整个通信周期，负责传递保活、控制命令等信息。子连接为木马执行特定任务时建立的若干连接（如键盘记录、文件传输、屏幕截取等），任务结束后，连接随即断开。 3、IP对通信会话 由在一定的时间内（timeout, 5min）一对IP（源IP、目的IP）之间所有的通信数据组成。引入会话概念后，可从网络层和传输层连接两个层面统计数据信息，如连接持续时间（传输层）、连接数目（网络层）。将木马通信的检测转化为IP对通信会话的检测。 木马的行为分析 流出的数据包大于流入的数据包。 流出的字节数大于流入的字节数。 主连接建立后，贯穿于整个会话周期，持续时间 接近于会话时间，大于其余子连接的持续时间。 主连接负责保活及命令传递功能，因而在大部分时间内处于空闲状态。攻击者在接受到返回结果后，会有一个分析的时间（analyzing time）, 这个时间远大于数据包时间间隔。 特征选取 1、进/出包数之比：当outin时，1，反之，0. 2、进/出流量之比：同上 3、持续时间之比：session的持续时间比主连接的持续时间。 4、数据包时间间距：主连接的平均包间距。 模型建立 步骤： 聚类 层次聚类是将数据集组成一个树形的聚类。根据层次分解的方向，又可以进一步分解为凝聚和分裂。本文主要采用凝聚的方法。 2. 为每个类标记（正常、异常、未知） 本文采用概率比较的方法对模型中的类进行标记。 聚类基本思想 针对要聚类的n各个实例，计算n*n的距离矩阵，将最接近的两个实例类合并成一个类，这样类的总数就减少一个，然后重新计算各类之间的距离，再将最接近的类进行合并，以此类推，直到最后合并成一个类或到达某个终止条件为止。 类的表示： 类的合并： 距离计算： 本文采取对数似然值（Log-likelihood）的距离计算方法。 聚类方法的优点： 既能处理值为数值型的变量，也能处理值为类别的变量； 聚类的过程中，只保存每个中间类的统计特征值，减少了计算开销，适用于大型的数据集。 标记方法： 根据每个类中正常和异常实例所占的比例，对类进行标记。具体方法如下： 试验与分析 聚类结果统计 我们在聚类结果的基础上，分别对进出包数、进出流量、连接持续时间、数据包时间间隔进行了统计。结果分析验证了我们所选取的特征具有较好的区分效果。统计结果如下图（详情请参考论文） 检测结果 我们选取了比较典型的5种木马作为检测的对象，它们分别是：Gh0st、