基于通信行为分析的木马检测技术研究
Research on Trojan Horse Detection Technology Based on Communication Behavior Analysis
近年来,木马等恶意程序对网络安全所造成的威胁日益严重.本文主要研究网络中木马的隐蔽通信原理及木马通信的检测问题.通过研究木马的通信技术,分析木马网络通信过程及其行为特点,本文给出了木马通信隐蔽性模型和木马通信行为检测模型.进而结合数据挖掘技术中的C4.5决策树分类算法,提出了一种通用性较强的木马通信行为检测方法,设计并实现了一个具有较低误报率和漏报率的木马通信行为检测系统.首先对木马的工作原理和关键技术进行研究,重点分析了木马的通信技术.根据木马通信原理建立了木马通信隐蔽模型.通过对实际木马样本的通信隐蔽性进行分析,得出了木马难以模拟正常网络通信行为的结论,并指出基于行为分析的检测技术是完全可行的.模型中指出木马通信隐蔽性与通信协议隐蔽性、标识特征隐蔽性、通信流量隐蔽性和通信行为隐蔽性等具有相关关系,对常见木马的通信隐蔽性提出了量化评估准则,给出定量分析结果.其次,根据木马通信过程中的不同阶段对木马通信行为进行分析,并总结各阶段的行为特点,建立了木马通信行为检测模型并提出了基于行为特征集的检测方法.针对木马通信行为特点、利用网络流量分析的方法,将TCP协议数据流作为检测模型的特征提取层面;通过对比数据挖掘技术中常用的分类算法,采用C4.5决策树算法作为检测模型的分类器构造算法.第三,针对木马通信过程不同阶段的行为特点提取通信行为特征,并结合时频分析技术对行为特征的区分能力进行分析.综合分析分类精度、算法效率和检测效率等多方面因素,对提取的行为特征进行选择,给出5个检测性能高且时间复杂度不超过线性级的通信行为特征.本文还对检测方法进行了时间复杂度分析,证明了检测方法的高效性.根据检测方法设计并实现了木马通信行为检测系统,并提出了基于数组链表的快速会话提取算法,提高了系统效率.随后对检测系统进行了功能测试,测试结果表明该系统可有效检测常见的木马和木马变种.最后,指出了下一步研究的方向.
- 作者:
- 孙海涛
- 学位授予单位:
- 解放军信息工程大学
- 专业名称:
- 计算机应用技术
- 授予学位:
- 硕士
- 学位年度:
- 2011年
- 导师姓名:
- 刘胜利
- 中图分类号:
- TP393.08
- 关键词:
- 木马;行为分析;木马检测;行为特征;C4.5决策树
- Trojan horse;Behavior analysis;Trojan detection;Behavioral characteristics;C4.5 decision tree