一种基于网络行为分析的反弹式木马检测方法.docxVIP

一种基于网络行为分析的反弹式木马检测方法赵天福，周丹平，王康，张博（江南计算技术研究所，江苏无锡 214083）摘 要 ：该文首先对反弹式木马的通信过程进行了分析，建立了反弹式木马的网络行为模型，提出了数据包簇的概念，并给出了形式化描述。接着从网络行为分析的角 一种基于网络行为分析 的反弹式木马检测方法 赵天福，周丹平，王康，张博 （江南计算技术研究所，江苏无锡 214083） 摘 要 ：该文首先对反弹式木马的通信过程进行了分析，建立了反弹式木马的网络行为模型，提出了数 据包簇的概念，并给出了形式化描述。接着从网络行为分析的角度，提出了通过 3 个网络行为特征去检测木 马心跳行为，通过 6 个网络行为特征去检测反弹式木马的交互性操控行为，并给出了实现算法。实验结果表明， 该算法对反弹式木马具有较好的检测效果。 关键词 ：反弹式木马检测 ；网络行为分析 ；心跳行为 ；操控行为 ；数据包簇 中图分类号 ：TP393.08 文献标识码 ：A 文章编号 ：1671-1122（2011）09-0080-04 Detecting Rebound Port Trojan Based on Network Behavior Analysis ZHAO Tian-fu, ZHOU Dan-ping, WANG Kang, ZHANG Bo ( Jiangnan Institute of Computing Technology, Wuxi Jiangsu 214083, China ) Abstract: The communicating process of rebound port Trojan is analyzed firstly, then the network behavior model of rebound port Trojan is constructed and the PACKET-CLUSTER concept with formalization description is proposed. Three network behavior characteristics of Trojan heartbeat and six network behavior characteristics of Trojan operation are proposed. Finally the implement methods are proposed. The experimental results show that our method can efficiently detect rebound port Trojan. Key words: rebound port trojan; network behavior analysis; heartbeat behavior; operation behavior; packet cluster 0 引言 随着网络攻防对抗的升级，反弹式木马已经成为网络木马的标准形态。反弹式木马通过模拟正常网络应用，隐藏自己的网 络行为，以规避现有网络安全系统的检测和拦截。反弹式木马规避检测的方式包括 ：1）模拟正常网络应用协议，木马最为常用 的伪装协议是 H T T P 协议，攻击者伪造 H T T P 协议头将所需传递的信息进行封装，为了规避防火墙的端口封堵，木马的受控端 作为客户端，木马的控制端被设计成服务器端并开放端口，以将木马伪装成正常的 H T T P 应用 ；2）采用加密或编码技术对所传 输的内容进行变形以规避基于特征匹配的 IDS 的检测。 本文通过分析反弹端口木马的网络行为，总结木马的网络行为模型，并设计了一种基于网络行为分析的木马检测算法，可以 有效检测现有的流行木马，使得木马常用的规避手段失效。文章以下部分是这样安排的，第 1 节介绍与本文相关的一些工作，第 2 节给出了反弹式木马的网络行为模型，第 3 节论述了如何通过统计的方法识别出木马行为，第 4 节给出了实验结果验证了本文 方法的有效性，最后进行总结。 1 相关工作 木马作为黑客常用的攻击手段之一，自然是一些 I D S 关注的对象。基于特征匹配的入侵检测技术，可以实现对已知特征木 马的检测，其检测能力受制于所掌握木马样本的数量。基于特征匹配的木马检测技术的一个主要弱点就是其无法应对木马经常 采用的加密变形技术。基于特征匹配的木马检测系统必须不断地扩充其特征库，以应对新木马或木马变种的出现。 收稿时间 ：2011-07-15 作者简介 ：赵天福（198 0-），男，江苏，工程师，硕士，主要研究方向 ：计算机网络，信息安全 ；周丹平（1970-），男，江西，高级工程师， 本 科，主要