返回
基于行为特征库的木马检测模型设计

基于行为特征库的木马检测模型设计

ID:40919029

大小:347.46 KB

页数:5页

时间:2019-08-10

基于行为特征库的木马检测模型设计_第1页
基于行为特征库的木马检测模型设计_第2页
基于行为特征库的木马检测模型设计_第3页
基于行为特征库的木马检测模型设计_第4页
基于行为特征库的木马检测模型设计_第5页
资源描述:

《基于行为特征库的木马检测模型设计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2011年1月四川师范大学学报(自然科学版)Jan.,2011第34卷第1期JournalofSicbuanNormalUniversity(NaturalScience)VDJ.34.No.1基于行为特征库的木马检测模型设计李焕洲,陈婧婧,钟明全,唐彰国(I.四川师范大学网络与通信技术研究所,四川成都6101012.四川师范大学计算机科学学院,四川成都610101)摘要:目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的

2、行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.关键词:木马;行为特征;模糊模式识别中图分类号:TP393.08文献标志码:A文章编号:1001—8395(2011)o1—0123—05doi:10.3969/j.issn

3、.1001—8395.2011.O1.024随着互联网技术的发展和普及,利用广泛开放的发展趋势.基于木马当前检测现状,我们搜集了的网络环境进行全球通信已经成为时代发展的趋大量的木马,并对其行为特征进行分析、提取,详细势,人们日常的经济和社会生活也越来越依赖互联归纳了木马的行为特征,同时在此基础上提取木马网,但是网络技术给人们带来巨大便利的同时也带通适性行为特征,构建了木马的行为特征库,设计来了各种各样的安全威胁,例如黑客攻击、特洛伊了基于行为特征库的木马检测模型,并应用模糊模木马泛滥等.目前市面上的许多

4、杀毒软件都支持木型识别方法判断木马程序.马查杀,而且还有一些专业的木马查杀工具可供选1木马行为特征库择,但是这些杀毒软件和专业木马查杀工具普遍采用特征码检测.1.1木马行为特征分析木马从入侵目标系统开基于特征码检测有一定的局限性,需要对木马始后,使用各种手段欺骗用户、对自身进行隐藏伪进行跟踪、反汇编及其它分析,比较复杂,而且基于装,掩盖在目标系统中留下的任何蛛丝马迹,但是此技术的查杀机制对新型木马的检测迟滞或束手无论其如何伪装隐藏,都会表现出许多行为特征,无策.而基于木马行为特征的检测技术可以解决这并在

5、目标系统中留下痕迹.本文对木马植入阶段、一问题,根据木马行为特征的分析可以检测出新型木马安装阶段、木马进/线程启动运行阶段、木马网木马.此外,基于特征码检测所提取的特征码本身络通信阶段分别归纳了相应的木马行为特征,可参占用的空间开销较大,同时随着新型木马的不断涌考文献[1—13],并在参考文献的基础上归纳融合现,提取的特征码持续更新,影响检测效率.而木马了测试木马程序过程中的行为特征,具体如下.的行为特征本身占用开销较小,检测效率较高,同1)木马植入阶段.木马进行攻击时,首先利用时仍然具有可扩展性.目前

6、,一些主流的杀毒软件,各种手段骗取用户的信任,将木马被控端植入到目如NOD32、卡巴斯基、瑞星等,在使用特征码检测技标系统里.在木马植人阶段,木马表现出的行为特术的同时也加人了对木马行为特征的分析,虽然只征为:(a)利用操作系统或一些常用软件的漏洞进是作为辅助检测技术,对木马行为特征的归纳也不行攻击植入;(b)与病毒结合成复合的恶意程序植够全面,但这种检测机制正逐渐成为木马检测领域入;(c)利用端口植人;(d)利用交互脚本植入;(e)收稿日期:2010—03—23基金项目:四川省应用基础研究项目(07J

7、Y029—0l1)和四川省教育厅自然科学重点基金(08ZA043)资助项目作者简介:李焕洲(1974一),男,副教授,主要从事网络监控和可信计算的研究】24四川师范大学学报(自然科学版)34卷利用电子邮件植入;(f)利用网络发送超链接,引诱第2步,计算各行为特征的总出现频率均值用户点击等。E(BC):;2)木马安装阶段.和其它阶段相比,木马在安装阶段存在显著的区别于一般合法程序的行为特第3步,计算各行为特征的类问频率均方差征.在该阶段,木马行为作用的主要对象之一是木D(BC)={[E(BC)一E(曰c)

8、]+马程序本身,因而,木马的安装阶段是检测与清除[E(BC)一E(Bq")];木马的最佳时机.在木马安装阶段,木马表现出的第4步,按照均方差大小排序,选取前15个组行为特征为:(a)自动压缩或者解压缩文件;(b)文成模糊特征集,即木马通适性行为特征,同时划分件自我删除;(c)设置自启动;(d)修改系统时间;了行为特征危险等级,如表1所示,并在此基础上(e)关闭、增加或修改服务;(f)修改系统配置文件;构建木马行为特征库.(g)修改文件关联等

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。