基于通信行为证据链的木马检测系统
发布时间:2021-09-18 23:59
目前,新型木马软件的不断出现,当前基于特征码的防火墙和入侵检测系统已经难以实现对新出现的未知木马软件的检测,基于主机的行为检测方法又难以在网络层部署。本文提出了一种新的基于网络连接的通信行为证据链的木马软件检测模型DTrojan。该模型结合贝叶斯分类算法的理论和思想,首先对大量已知木马的网络特征进行抽象、提取和概括,形成待检测(分类)特征项,然后通过对木马样本数据进行一定的训练形成检测引擎(即分类器)实现对未知木马的检测。该模型部署在整个局域网的网关处,以整个局域网的通信数据作为木马检测的数据基础,针对木马软件在通信连接建立、数据交互、连接维持等不同阶段的多个通信特征进行检测,该检测模型并不会通过单一的特征来判定木马,而是会在综合多次检测和多个特征检测结果来判定木马,并会给出木马的可疑概率供用户参考,因此该系统不仅能够对未知木马具有良好的检测能力,而且有着非常低的误报率。同时在此模型的基础上实现了恶意软件检测的原型系统DTrojanPrototype。该系统能够有效实现对整个局域网内主机的流量特征进行检测,从而实现对整个局域网的防护,有效解决了单机检测系统的跨平台问题和多次重复安装问题...
【文章来源】:南京邮电大学江苏省
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
新增木马样本捕获统计(万)
找到一个已知分类的待分类项的集合,这个集合被看做是训练样本得到在所有上网分类类别下,各个特征属性对应的条件概率估计。2 1 1), ( | ),..., ( | )mP a y P a y ;1 2 2 2 2( | ), ( | ),..., ( | )mP a y P a y P a y ;2| ),..., ( | )n m n y P a y 。各个特征所包含的属性是条件独立的,则根据贝叶斯定理会有如下( | ) ( )( )i iP x y P yP x 中的分母对于所有类别来说为常数,因此只要将分子最大化即可条件独立的,所以有:1 21 ( ) ( | ) ( | )... ( | ) ( ) ( ) ( | )mi i i m i i i j ijP y P a y P a y P a y P y P y P a y 的分析过程,朴素贝叶斯分类算法的流程可概括如图 3.1 所示(暂
图 3.2 pcshare 尝试性外联发包序列从图 3.2 中可以看出,恶意软件在向控制端发送数据包时,每次并非只发送了一个而是发送一组数据包 (包含若干个 SYN 包),在本文中,时间间隔小于阀值 的若包被认为是一个数据包簇。由于恶意软件尝试性连接的控制端具有固定的 IP 地址口通常情况下恶意软件在尝试性连接失败后会改变源端口号再次进行尝试连接,因此以将检测周期 T 内, 首先寻找相邻数据包的最大时间间隔 ,根据确定数据包分簇的时间间隔的阀值 ,整个尝试连接过程便可以看作是一个尝试外簇的集合:
【参考文献】:
期刊论文
[1]基于动态内存池和WinpCap的高速数据捕获技术[J]. 甘彪,凌小峰,宫新保. 信息技术. 2012(01)
[2]基于网络通信指纹的启发式木马识别系统[J]. 唐彰国,李焕洲,钟明全,张健. 计算机工程. 2011(17)
[3]基于网络数据包的邮件还原技术研究[J]. 吴勋,刘嘉勇. 通信技术. 2011(04)
[4]基于应用层协议分析的应用层实时主动防御系统[J]. 谢柏林,余顺争. 计算机学报. 2011(03)
[5]基于NIDS的网络侧木马检测技术[J]. 陈星霖. 网络安全技术与应用. 2009(10)
[6]基于ICMP的木马通信技术研究[J]. 林小进,钱江. 微处理机. 2009(01)
[7]木马通信的隐蔽技术[J]. 张春诚,路刚,冯元. 电脑知识与技术. 2008(35)
[8]基于远程线程注入的进程隐藏技术研究[J]. 何志,范明钰,罗彬杰. 计算机应用. 2008(S1)
[9]基于NDIS隐蔽通信技术的木马病毒分析[J]. 杨志程,舒辉,董卫宇. 计算机工程. 2008(10)
[10]基于流统计特性的网络流量分类算法[J]. 林平,余循宜,刘芳,雷振明. 北京邮电大学学报. 2008(02)
硕士论文
[1]基于Linux的千兆网络数据包捕捉技术的研究与实现[D]. 王磊.山东大学 2007
[2]木马程序的工作机理及防卫措施的研究[D]. 吕尤.北京邮电大学 2007
[3]木马攻击与防范技术研究[D]. 王战浩.上海交通大学 2007
[4]基于木马的网络攻击技术研究[D]. 刘成光.西北工业大学 2004
本文编号:3400588
【文章来源】:南京邮电大学江苏省
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
新增木马样本捕获统计(万)
找到一个已知分类的待分类项的集合,这个集合被看做是训练样本得到在所有上网分类类别下,各个特征属性对应的条件概率估计。2 1 1), ( | ),..., ( | )mP a y P a y ;1 2 2 2 2( | ), ( | ),..., ( | )mP a y P a y P a y ;2| ),..., ( | )n m n y P a y 。各个特征所包含的属性是条件独立的,则根据贝叶斯定理会有如下( | ) ( )( )i iP x y P yP x 中的分母对于所有类别来说为常数,因此只要将分子最大化即可条件独立的,所以有:1 21 ( ) ( | ) ( | )... ( | ) ( ) ( ) ( | )mi i i m i i i j ijP y P a y P a y P a y P y P y P a y 的分析过程,朴素贝叶斯分类算法的流程可概括如图 3.1 所示(暂
图 3.2 pcshare 尝试性外联发包序列从图 3.2 中可以看出,恶意软件在向控制端发送数据包时,每次并非只发送了一个而是发送一组数据包 (包含若干个 SYN 包),在本文中,时间间隔小于阀值 的若包被认为是一个数据包簇。由于恶意软件尝试性连接的控制端具有固定的 IP 地址口通常情况下恶意软件在尝试性连接失败后会改变源端口号再次进行尝试连接,因此以将检测周期 T 内, 首先寻找相邻数据包的最大时间间隔 ,根据确定数据包分簇的时间间隔的阀值 ,整个尝试连接过程便可以看作是一个尝试外簇的集合:
【参考文献】:
期刊论文
[1]基于动态内存池和WinpCap的高速数据捕获技术[J]. 甘彪,凌小峰,宫新保. 信息技术. 2012(01)
[2]基于网络通信指纹的启发式木马识别系统[J]. 唐彰国,李焕洲,钟明全,张健. 计算机工程. 2011(17)
[3]基于网络数据包的邮件还原技术研究[J]. 吴勋,刘嘉勇. 通信技术. 2011(04)
[4]基于应用层协议分析的应用层实时主动防御系统[J]. 谢柏林,余顺争. 计算机学报. 2011(03)
[5]基于NIDS的网络侧木马检测技术[J]. 陈星霖. 网络安全技术与应用. 2009(10)
[6]基于ICMP的木马通信技术研究[J]. 林小进,钱江. 微处理机. 2009(01)
[7]木马通信的隐蔽技术[J]. 张春诚,路刚,冯元. 电脑知识与技术. 2008(35)
[8]基于远程线程注入的进程隐藏技术研究[J]. 何志,范明钰,罗彬杰. 计算机应用. 2008(S1)
[9]基于NDIS隐蔽通信技术的木马病毒分析[J]. 杨志程,舒辉,董卫宇. 计算机工程. 2008(10)
[10]基于流统计特性的网络流量分类算法[J]. 林平,余循宜,刘芳,雷振明. 北京邮电大学学报. 2008(02)
硕士论文
[1]基于Linux的千兆网络数据包捕捉技术的研究与实现[D]. 王磊.山东大学 2007
[2]木马程序的工作机理及防卫措施的研究[D]. 吕尤.北京邮电大学 2007
[3]木马攻击与防范技术研究[D]. 王战浩.上海交通大学 2007
[4]基于木马的网络攻击技术研究[D]. 刘成光.西北工业大学 2004
本文编号:3400588
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3400588.html
