木马网络通信特征提取模型的设计与实现
本文关键词:木马网络通信特征提取模型的设计与实现,由笔耕文化传播整理发布。
邢云冬,刘胜利:木马网络通信特征提取模型的设计与实现
2010,31(20)4383
对防火墙的特性进行分析发现:防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是,出现了与传统木马工作原理相反的反弹式木马,这也是目前网络中主流木马所采用的通信方式。反弹式木马被控制端在植入目标主机后,主动连接控制端,定时向控制端主机发出连接请求,并根据其中的特定信息进行相互认证,控制端必须能够认证被控制端,以避免任何第三方数据的干扰和破坏,而被控制端也必须认证控制端以避免任何不被允许的服务端利用其通道的资源,而后控制端便可以通过被控制端对目标主机进行远程控制操作。1.2特洛伊木马通信方式研究
由于木马的通信模型属于C/S(客户/服务器)结构,一般的木马采用了常规的TCP或UDP协议进行通信,即将交互的数据作为TCP或UDP数据包的载荷进行传输。然而,为了达到提高木马穿透防火墙能力或通信隐蔽性等目的,很多木马根据某些协议的特点,对其通信进行了隐藏处理…。
1.2.1
利用IP数据包头部填充字段
利用IP数据包头部填充字段进行隐蔽通信翻,但一个IP
包通常只能隐藏约8bit的消息,传输带宽有限,因此独立采用此种通信方式传输数据的木马较少,通常会结合载荷共同完成通信认证与数据传输。
1.2.2
ICMP报文传输
ICMP反弹式木马采用ICMP协议啪,把命令或数据封装
在ICMP报文中,并设置某些特定的标识符等特征与网络中正常的ICMP报文相区别,由被控端发出ECHO请求(ICMPECH0),并由木马的控制端进行响应(ICMPECHOREPLY)并携带控制指令。如图l所示,由于控制端将数据包伪装为ping的回执信息,所以较容易穿透防火墙,而且该协议的数据包直接封装在IP数据包中,不使用端口号,也较难于发现。
(1)发送icmp_ECHO请求
.
I被控端
控制端
.(2)发ICMP_ECHOREPLY同执
图lICMP反弹式木马通信模型
1.2.3
HrrP隧道
HTTP协议只规定了通信的方式及数据格式,不能规定通
信的内容,,因此,可以在HrrP消息之中建立隧道。利用HrrP的消息体可实现较高的隐蔽通信带宽“J。由于HrrP是目前
Interact上使用最为广泛的协议之一,而且H丌P服务在大部
分情况下都被允许通过网络访问控制系统,因此HrrP隧道在当前流行的木马中使用得尤为广泛。常用的请求方法有两种:GET和POST。如图2所示,当木马被控端向控制端查询的指令时,大多采用GET方式请求指令响应。利用POST方式,木马被控端就可以将控制器所需要的数据返回。被控端主动和控制端建立HrrP连接,将认证信息和数据嵌入到HrrP包头的GET和POST关键字段和HTTP数据包体中。
综上,在提取特征时,不仅要分析常规木马通信数据包的载荷部分,还要针对其可能利用的隐蔽通信字段进行分析,以便能够准确提取木马的网络通信特征。
万方数据
控制命令
被控端
一
控制端
Post所需数
一
图2木马HTTP隧道通信模型
2基于序列连配的特征提取方法研究
序列联配是将两个或多个字符序列进行比较和对齐,从而尽可能确切地反映序列之间的~致程度,获取我们所需的信息。在生物信息学中,序列联配的应用非常广泛,如用于解决比较DNA序列和蛋自质序列、分析生物同源性等问题。在文本分析、序列聚类、网络安全等领域序列联配算法也得到了诸多应用。
2.1
Needleman-Wunseh算法
首先给出相似度川定义:假设每个匹配字符得分为m,一
个空格扣分为11,一个不匹配字符扣分为t,通过全局序列比对所得到的序列Sl,S2相似度可表示为
R(S1,s2)=匹配字符数×m+不匹配字符数×t+空格数XBNeedleman.Wunsch算法“1正是一种基于动态规划思想的算法,通过全局联配的方法,最终找到相似度最大的联配结果。该算法有两个主要步骤:
(1)计算所给定的两个序列整个的相似分值,并得到一个相似度矩阵;
(2)根据相似度矩阵,按照动态规划的方法回溯寻找最优的联配。
以序列S1=GI。C妇rAGCG,s2=GIXC枷为例,利用Nee-
dleman.Wunsch算法可以得到全局最优比对,结果如表1所示。
表l序列Sl、S2全局最优比对结果
SlGCCCT
AGCGS2
GCG
CAA
T
G结果
G
C
C
A
×
G
×表示不匹配,o表示插入空格。
例如,假设每个匹配字符一分,一个空格扣两分,一个不匹配字符扣一分,则上例中Sl,S2全局最优比对得分为
(5x1Hl×一2H3x-1)=0
2.2鼓励连续的Needleman.Wunsch算法
Needleman—Wunsch算法的不足是比较容易产生碎片嘲,结果中的碎片不仅不能体现该数据流的特征,而且很有可能成为干扰信息,从而导致误报率提高M。为了减少碎片的产生,我们采用了增加连续部分特征串权重的方法,来降低产生碎片的概率。具体的实现过程,可用伪代码描述如下:
(1)初始化
1)设ISlf=M,}S2f=N
P(O,0)=0,Q(O,0)=0
2)Foreachi=l,2,…,N
P(O,J)=jn,Om,j)=0
3)Foreachi=l,2,…,M
P(i,O)=in,Q(i,O)=0
本文关键词:木马网络通信特征提取模型的设计与实现,由笔耕文化传播整理发布。
本文编号:204277
本文链接:https://www.wllwen.com/kejilunwen/wltx/204277.html
