返回
基于动态博弈的木马检测策略研究

基于动态博弈的木马检测策略研究

ID:46419858

大小:66.00 KB

页数:5页

时间:2019-11-23

基于动态博弈的木马检测策略研究_第1页
基于动态博弈的木马检测策略研究_第2页
基于动态博弈的木马检测策略研究_第3页
基于动态博弈的木马检测策略研究_第4页
基于动态博弈的木马检测策略研究_第5页
资源描述:

《基于动态博弈的木马检测策略研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于动态博弈的木马检测策略研究[摘要]通过分析计算机木马检测系统木马检测的特点,提出了基于不完全信息动态博弃理论的检测策略选择方法。[关键词]木马检测策略动态博弈中图分类号:TM925.07文献标识码:A文章编号:1009-914X(2015)05-0282-011引言近年来,随着网络应用复杂度的不断提高,网络攻击方法层出不穷。各种网络攻击方法中,木马攻击是最具危险的手段之一。一旦计算机系统被种植木马,就将长期潜伏,对系统的保密性、可用性造成致命伤害。本文提出了一种在新型木马检测系统屮,基于不完全信息博弈理论的计算机

2、木马检测策略选择方法,为解决准确检测木马问题提供了新的思路。2计算机木马检测系统构成本文成果应用的计算机木马检测系统由主机信息检测模块、网络信息检测模块和智能决策模块三个模块组成。主机信息检测模块对主机的文件、进程、网络连接、加载文件等信息结合口名单检测、端口关联等检测方法,按照检测策略进行检测。网络信息检测模块基于网络协议的分析,对宿主主机发出的数据包进行层层剥离,准确获取数据包信息,同时根据各种信息特征进行统计,从中发掘可疑网络流量信息。智能决策模块将网络和主机获取的数据根据攻击特征进行逐项分析,然后对分项结果关

3、联形成检测结论,最终显示给用户。3木马检测与反检测博弈行为分析3.1木马反检测的一般方法及分析木马必须的功能包括隐蔽启动、网络外联。木马反检测方法大体有隐藏进程、隐藏模块、隐藏网络连接、隐藏文件、隐藏服务、隐藏启动项、穿透防火墙。3.2木马检测的博弃行为在木马检测过程中,自始至终存在着对抗双方检测与反检测的博弈。木马检测系统耍制定应对不同等级木马的检测策略。从检测到的可疑程序中将这些正常程序甄别出是系统的重要工作。在计算机被种植木马的环境下,检测工作是一个双方不完全信息动态博弈的过程,检测系统必须逐步寻找最优策略,以

4、达到检出目的。3.3不完全信息动态博弃根据随机博弈的思想,检测系统的每一个部分检测的结果概括成一种“状态”。双方在该部分的收益取决于各自采用的策略。通常,一个两方随机博弈用如下七元组描述(S,,,Q,,,B),其中:一般的木马检测博弈过程如下:在某个检测模块工作的时刻t,博弈处于状态eSo,木马从反检测策略集中选择策略,,系统从检测策略集中选择策略,然后木马得到一个收益二(,,),系统得到收益二(,,),然后博弈进入第二个状态WS。根据不完全信息动态博弈理论,当期收益不仅取决于当前状态和这种状态下木马与检测系统选择的

5、策略,还取决于双方针对对方类型所做的概率分布判断。根据随机博弈理论,木马的收益应该为二(,,),假设此时木马对不会被检测岀的概率判断为U,根据不完全信息博弈理论,其收益为二(,,,P),同理,假设此时检测系统对木马是否判断出被检测出的概率判断为入,此状态下其收益为二(,,,入)。4基于动态博弈的木马检测策略选择木马检测环境下,针对一个特定的状态,策略选择过程为:(1)首先确定检测系统和木马的策略集;(2)当前状态下,确定针对检测系统不同的策略,木马对被检出的概率u分布;(3)根据木马实现技术水平的高低确定木马类型,然

6、后检测系统确定木马类型的概率分布v,在此基础上根据木马在当前状态下采取不同的策略下,确定木马判断出被检出的概率分布入;(4)确定木马的收益函数。为了长吋间牢固控制主机(I),木马需具备反检测手段(T),由此确定木马的线性收益函数为:=(I-T)(1-u)(1)(5)确定检测系统的收益函数。检测系统的收益函数与木马反检测水平(T),检测系统获取的信息(),木马判断检测系统会采取的检测方式信息()相关,由此确定检测系统的线性收益函数为:二(YI-T-)(1-Y)(2)假设检测系统对木马类型的判断概率是,则对n类木马,系统

7、在该状态下的收益为:(6)计算纳什均衡解,确定木马检测策略。要达到纳什均衡解必须满足两个条件:检测系统采取的策略要实现自己的收益最人化;要使木马的收益尽可能高。成立的策略'为其最优策略,其中表示确定检测系统所有策略下的最大收益,’为选择该策略下的木马的判断概率。对检测系统而言,使得条件:成立的策略'为其最优策略,其中'表示系统在木马自防护策略下的最大收益,’为选择该策略下的系统的检出判断概率。5示例与仿真以主机信息检测部分为例,使用简化策略进行仿真分析。(1)确定双方策略集在主机信息检测状态下,检测系统的策略集。(2

8、)确定木马对检测系统策略类型评估的概率口分布根据木马反检测能力的高低分为三类,高级木马,中级木马,和初级木马,根据经验,木马对检测系统策略评估正确的概率u分布如表1。(4)确定木马在当前状态下的收益根据经验确定控制主机I值,反检测T值表。(6)计算纳什均衡解木马的最优策略是;根据式(3)及表3,检测系统的最优策略是。6结论木马检测策略是木马检测

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。