本站小編為你精心準備了木馬檢測技術研究參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1木馬的工作原理

木馬程序一般采用的是客戶端/服務器模式，是一種基于C/S模式的遠程控制技術，客戶端是控制端，用于黑客遠程監視和控制植入木馬的計算機，主要運行在入侵機中，服務器端是被控端，木馬采用欺騙或者漏洞攻擊等手段把服務器程序安裝到受害者的計算機中，即“植入木馬”，也就是我們所說的計算機“中了木馬”。如果將木馬植入并且成功觸發的話，控制端和被控制端就會按TCP/IP協議來進行通信，這樣控制者就會獲得被控制者的一些信息[7]。木馬的工作原理如圖1所示，在目標機上執行服務器端以后，木馬就會打開一個默認的端口來監聽，在客戶機向服務器發出連接請求的指令后，服務器上的相關程序就會自動運行該請求，二者建立連接后，客戶端發出指令，服務器端在計算機中就會執行該指令，同時把數據傳回客戶端，以此來控制主機。

2行為分析技術在木馬檢測中的應用

21木馬行為特征行為分析方法在木馬檢測中的應用，簡單來說，就是在運行程序的過程中，如果檢測出具有木馬的行為特征，如進程隱藏、在注冊表設置自啟動項等，那么該應用程序則有可能是木馬，所以首先應該對木馬行為特征進行確定。木馬行為特征，是指木馬在代碼上所具有的共有特點。對其確認的步驟主要是：通過觀察大量的己知木馬的動態行為，從里面提取出有別于合法程序的比較明顯的行為特征，記錄下來，再通過和各個木馬的行為特征比對，從里面提取出所有的木馬或是大多數的木馬所具有的行為特征。

2．2行為分析技術行為分析是一種新的檢測技術，可以主動進行防御木馬攻擊。該技術和傳統的木馬檢測技術不同，它通過捕獲某個程序行為，再和木馬或者病毒所特有的一些行為特征對比分析，然后再通過一些算法像貝葉斯算法、概率論等，或采用數據挖掘技術來對該程序是木馬或是病毒的可疑程度進行推斷。該檢測方法能夠及時有效地發現新型惡意代碼，是目前國際上反木馬技術的新趨勢。木馬行為特征庫可以歸納總結出來，如果單純依賴木馬行為特征庫，只要運行的程序中出現了單個具有木馬行為特征的行為，就認定其為木馬，會帶來較大的誤報率，比如：修改注冊表項，大部分木馬程序具有該行為特征，可以將其作為區分合法程序的行為特征，但是一些合法程序也具有在注冊表設置自啟動項等一些修改注冊表項的行為特征，如桌面工具類軟件、迅雷、QQ程序的安裝等，而且并不是所有的木馬程序都會進行注冊表項的操作，所以在考慮木馬行為特征的同時，還應關注合法程序區別于木馬的行為特征，通過多項特征的組合來作為判別木馬程序的依據，從而降低誤報率和漏報率。M.schultZ等人最早提出了采用樸素貝葉斯算法等來檢測未知的惡意程序代碼，因其具有較強的概率推理能力，可以通過對樣本的多個屬性的取值來對樣本分類，而且它們都可被用來對未知的類別樣本分類，這和把行為分析技術用來判定未知木馬的目的一致，所以不僅可以用來檢測已知的木馬，對未知的木馬或是已知的木馬變種也能檢測出來。

3樸素貝葉斯算法在木馬行為分析中的應用

假設已知的木馬的個數為m，合法的程序個數為n，行為特征具有k個(m>0，n>0，k＞0，且m、n和k均為整數)。把m個木馬里具有第i個行為特征的木馬數記為(k≥i＞0，且i為整數)。假設有一個可執行程序，該程序既不在m個木馬程序中，也不在n個合法程序中，但該程序具有k個行為特征中的1個行為特征，不具有另外(k-l)個行為特征，那么需要判別該程序是不是木馬程序。

4基于行為分析的木馬檢測模型

在上述理論的基礎上，結合監控技術，設計了一個基于行為分析的木馬檢測模型，采用樸素貝葉斯算法作為可疑行為分析模塊的檢測算法。基于行為分析的木馬檢測模型如圖2所示。圖2基于行為分析的木馬檢測模型(參見右欄)各模塊主要功能說明如下。程序實時監控模塊：對系統內部的可疑行為進行監控，在此歸納了幾種常見的木馬行為屬性，主要有進程隱藏，界面隱藏，注冊表修改，自動運行，安裝鉤子，線程的注入等。這些行為在普通程序中出現的概率遠小于在木馬中出現的概率，木馬在運行過程中會暴露這些屬性，它們是分析檢測木馬的重要依據。目錄文件監控模塊：本模塊對系統存儲的重要文件或者對用戶重要的文件、文件目錄實施操作監控，實時記錄下用戶對特定文件或目錄創建、修改、重命名及刪除操作，由于偷竊性是木馬的一個重要特征，最終會將偷竊的敏感文件或數據通過網絡向外在的控制端進行數據的傳輸，所以會同時將相關數據發送給網絡監控模塊進行監控。

網絡監控模塊：對局域網中各機器網絡通信情況進行檢測，通過網絡監控發現網絡通信的異常。主要根據目錄文件監控模塊傳來的進程PID、進程路徑名等一些進程信息對網絡情況進行監控，由此可以得到該進程打開的端口號和傳輸情況。而對一些無連接、隱藏通信端口的木馬，通過網絡監控不易發現時，卻也很有可能通過行為特征的分析將這些木馬檢測出來。本模塊和目錄文件監控模塊除了確定木馬在系統中如隱藏、修改注冊表等一系列行為特征外，還可以一起來確定另外一個決定性特征：文件偷竊特征。可疑行為分析模塊：在此模塊中采用樸素貝葉斯算法對木馬行為特征進行分析，通過第3節的分析，P(X|T)、P(T)、P(X|LP)和P(LP)做為先驗概率是可以事先算出來的，然后再按照公式3-3，3-4和判斷條件進行木馬行為的判斷。由于樸素貝葉斯算法的最大特點是不需要搜索，只需簡單地計算各個行為特征發生的頻率數，就可以估計出每個行為特征的概率估計值，因而用樸素貝葉斯算法判別木馬具有較高的效率。木馬殺除和報警響應模塊：對檢測出的木馬做最終處理，當檢測到有木馬攻擊的時候一方面采取切斷TCP連接等措施對木馬進行阻止或刪除；另一方面向用戶或管理員發出報警，彈出相應的警告窗體，記錄著木馬的發送時間，木馬類型、其源MAC地址、目的MAC地址、源lP地址、目的IP地址等關鍵信息。管理員或審計員可以對報警信息進行查看，可以通過電子郵件查收，同時可以根據需要生成審計報告，為其提供決策支持。另一方面將審計結果進行存儲，把告警信息存入網絡審計數據庫。

5結束語

目前，行為分析技術是國內外反病毒、反木馬等安全領域研究的熱點，其優點是在一定程度上可檢測出新型木馬。本文提出一種基于行為分析的木馬檢測模型，結合監控技術，采用樸素貝葉斯算法通過對木馬運行起來所表現出來的木馬行為特征進行判定，可對各種已知和未知的木馬進行查殺，從而達到有效地防御、檢測木馬的目的。

作者：賈嫻 單位：菏澤學院數學系