基于改进序列联配算法的土木网络特征自动提取模型.docxVIP

基于改进序列联配算法的土木网络特征自动提取模型 0 木马等恶意程序的攻击威胁及融合 特洛伊木马和其他窃取秘密的恶意软件是对受害者计算机的监听和控制。计算机一旦被植入木马,其重要文件和信息不仅会被窃取,用户的一切操作行为也都会被密切监视,而且还会被攻击者远程操控对周围其它计算机实施攻击。 由于修改病毒特征码,软件加密等防查杀工具的广泛使用,木马等恶意程序的变种数量也是逐年增加,例如当前较为流行的灰鸽子木马,其一个版本的变种都多达数千种,同时网络用户安全意识和各种主机杀毒防护能力参差不齐,导致大量的木马等恶意程序依然存在于网络中。通过对大量的版本木马及其变种进行研究,发现就同一款木马而言,尽管其不同变种在大小、特征码位置等方面变化较大,但是其通信模式确很少变化,这就为我们在网络中检测木马提供了前提条件。 本文研究了目前特洛伊木马在网络通信方面所主要采用的技术方法,并结合生物信息学中广泛应用的序列联配算法(Needleman-Wunsch算法),设计了一种基于网络的木马通信特征自动提取模型,并将此模型的分析结果转化为可应用于NIDS的规则形式,以便应用到现有的入侵检测系统中,对提取出的特征进行试验测试。 1 特洛伊木马网络模式研究 1.1 传统型的木马 特洛伊木马是一种C/S(客户端/服务器)结构的远程控制程序,其工作模式一般为,将被控制端程序通过某种方式植入目标主机,被控端程序与运行在攻击者主机上的控制端程序通过某种通信机制建立连接,接收、执行控制端发来的命令,并将结果反馈给控制端,从而实现对目标主机的控制。 早期传统木马程序的被控制端在植入目标主机之后,开启端口等待控制端的对其进行连接。如果被控制端主机装有防火墙,那么控制端发起的连接就会被服务端主机上的防火墙拦截,使被控制端程序不能收到连接,导致其不能正常工作。另外,局域网内通过共享代理服务器的互联网IP地址接入互联网的主机,由于该主机没有独立的互联网IP地址(只有内部局域网的IP地址),通常植入于该主机的木马也不能正常工作。因此传统型的木马程序一般不能在装有防火墙和在局域网内部的目标主机中正常使用,这就使传统木马逐渐被取代。 对防火墙的特性进行分析发现:防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是,出现了与传统木马工作原理相反的反弹式木马,这也是目前网络中主流木马所采用的通信方式。反弹式木马被控制端在植入目标主机后,主动连接控制端,定时向控制端主机发出连接请求,并根据其中的特定信息进行相互认证,控制端必须能够认证被控制端,以避免任何第三方数据的干扰和破坏,而被控制端也必须认证控制端以避免任何不被允许的服务端利用其通道的资源,而后控制端便可以通过被控制端对目标主机进行远程控制操作。 1.2 常用的tcp或udp协议 由于木马的通信模型属于C/S(客户/服务器)结构,一般的木马采用了常规的TCP或UDP协议进行通信,即将交互的数据作为TCP或UDP数据包的载荷进行传输。然而,为了达到提高木马穿透防火墙能力或通信隐蔽性等目的,很多木马根据某些协议的特点,对其通信进行了隐藏处理。 1.2.1 个ip包的通信 利用IP数据包头部填充字段进行隐蔽通信,但一个IP包通常只能隐藏约8bit的消息,传输带宽有限,因此独立采用此种通信方式传输数据的木马较少,通常会结合载荷共同完成通信认证与数据传输。 1.2.2 icmp安全机制 ICMP反弹式木马采用ICMP协议,把命令或数据封装在ICMP报文中,并设置某些特定的标识符等特征与网络中正常的ICMP报文相区别,由被控端发出ECHO请求(ICMP_ECHO),并由木马的控制端进行响应(ICMP_ECHOREPLY)并携带控制指令。如图1所示,由于控制端将数据包伪装为ping的回执信息,所以较容易穿透防火墙,而且该协议的数据包直接封装在IP数据包中,不使用端口号,也较难于发现。 1.2.3 http隧道 HTTP协议只规定了通信的方式及数据格式,不能规定通信的内容,因此,可以在HTTP消息之中建立隧道。利用HTTP的消息体可实现较高的隐蔽通信带宽。由于HTTP是目前Internet上使用最为广泛的协议之一,而且HTTP服务在大部分情况下都被允许通过网络访问控制系统,因此HTTP隧道在当前流行的木马中使用得尤为广泛。常用的请求方法有两种:GET和POST。如图2所示,当木马被控端向控制端查询的指令时,大多采用GET方式请求指令响应。利用POST方式,木马被控端就可以将控制器所需要的数据返回。被控端主动和控制端建立HTTP连接,将认证信息和数据嵌入到HTTP包头的GET和POST关键字段和HTTP数据包体中。 综上,在提取特征时,不仅要分析常规木马通信数据包的载荷部分,还要针对其可能利用的隐蔽通信字段进行分析,以便能