發(fā)布時(shí)間：2021-09-18 23:59

　　目前，新型木馬軟件的不斷出現(xiàn)，當(dāng)前基于特征碼的防火墻和入侵檢測系統(tǒng)已經(jīng)難以實(shí)現(xiàn)對新出現(xiàn)的未知木馬軟件的檢測，基于主機(jī)的行為檢測方法又難以在網(wǎng)絡(luò)層部署。本文提出了一種新的基于網(wǎng)絡(luò)連接的通信行為證據(jù)鏈的木馬軟件檢測模型DTrojan。該模型結(jié)合貝葉斯分類算法的理論和思想，首先對大量已知木馬的網(wǎng)絡(luò)特征進(jìn)行抽象、提取和概括，形成待檢測（分類）特征項(xiàng)，然后通過對木馬樣本數(shù)據(jù)進(jìn)行一定的訓(xùn)練形成檢測引擎（即分類器）實(shí)現(xiàn)對未知木馬的檢測。該模型部署在整個(gè)局域網(wǎng)的網(wǎng)關(guān)處，以整個(gè)局域網(wǎng)的通信數(shù)據(jù)作為木馬檢測的數(shù)據(jù)基礎(chǔ)，針對木馬軟件在通信連接建立、數(shù)據(jù)交互、連接維持等不同階段的多個(gè)通信特征進(jìn)行檢測，該檢測模型并不會(huì)通過單一的特征來判定木馬，而是會(huì)在綜合多次檢測和多個(gè)特征檢測結(jié)果來判定木馬，并會(huì)給出木馬的可疑概率供用戶參考，因此該系統(tǒng)不僅能夠?qū)ξ粗抉R具有良好的檢測能力，而且有著非常低的誤報(bào)率。同時(shí)在此模型的基礎(chǔ)上實(shí)現(xiàn)了惡意軟件檢測的原型系統(tǒng)DTrojanPrototype。該系統(tǒng)能夠有效實(shí)現(xiàn)對整個(gè)局域網(wǎng)內(nèi)主機(jī)的流量特征進(jìn)行檢測，從而實(shí)現(xiàn)對整個(gè)局域網(wǎng)的防護(hù)，有效解決了單機(jī)檢測系統(tǒng)的跨平臺(tái)問題和多次重復(fù)安裝問題... 

【文章來源】：南京郵電大學(xué)江蘇省

【文章頁數(shù)】：65 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

新增木馬樣本捕獲統(tǒng)計(jì)(萬)

找到一個(gè)已知分類的待分類項(xiàng)的集合，這個(gè)集合被看做是訓(xùn)練樣本得到在所有上網(wǎng)分類類別下，各個(gè)特征屬性對應(yīng)的條件概率估計(jì)。2 1 1), ( | ),..., ( | )mP a y P a y ；1 2 2 2 2( | ), ( | ),..., ( | )mP a y P a y P a y ；2| ),..., ( | )n m n y P a y 。各個(gè)特征所包含的屬性是條件獨(dú)立的，則根據(jù)貝葉斯定理會(huì)有如下( | ) ( )( )i iP x y P yP x 中的分母對于所有類別來說為常數(shù)，因此只要將分子最大化即可條件獨(dú)立的，所以有：1 21 ( ) ( | ) ( | )... ( | ) ( ) ( ) ( | )mi i i m i i i j ijP y P a y P a y P a y P y P y P a y 的分析過程，樸素貝葉斯分類算法的流程可概括如圖 3.1 所示（暫

圖 3.2 pcshare 嘗試性外聯(lián)發(fā)包序列從圖 3.2 中可以看出，惡意軟件在向控制端發(fā)送數(shù)據(jù)包時(shí)，每次并非只發(fā)送了一個(gè)而是發(fā)送一組數(shù)據(jù)包 (包含若干個(gè) SYN 包)，在本文中，時(shí)間間隔小于閥值 的若包被認(rèn)為是一個(gè)數(shù)據(jù)包簇。由于惡意軟件嘗試性連接的控制端具有固定的 IP 地址口通常情況下惡意軟件在嘗試性連接失敗后會(huì)改變源端口號(hào)再次進(jìn)行嘗試連接，因此以將檢測周期 T 內(nèi)， 首先尋找相鄰數(shù)據(jù)包的最大時(shí)間間隔 ，根據(jù)確定數(shù)據(jù)包分簇的時(shí)間間隔的閥值 ，整個(gè)嘗試連接過程便可以看作是一個(gè)嘗試外簇的集合：

【參考文獻(xiàn)】：
期刊論文
[1]基于動(dòng)態(tài)內(nèi)存池和WinpCap的高速數(shù)據(jù)捕獲技術(shù)[J]. 甘彪,凌小峰,宮新保.  信息技術(shù). 2012(01)
[2]基于網(wǎng)絡(luò)通信指紋的啟發(fā)式木馬識(shí)別系統(tǒng)[J]. 唐彰國,李煥洲,鐘明全,張健.  計(jì)算機(jī)工程. 2011(17)
[3]基于網(wǎng)絡(luò)數(shù)據(jù)包的郵件還原技術(shù)研究[J]. 吳勛,劉嘉勇.  通信技術(shù). 2011(04)
[4]基于應(yīng)用層協(xié)議分析的應(yīng)用層實(shí)時(shí)主動(dòng)防御系統(tǒng)[J]. 謝柏林,余順爭.  計(jì)算機(jī)學(xué)報(bào). 2011(03)
[5]基于NIDS的網(wǎng)絡(luò)側(cè)木馬檢測技術(shù)[J]. 陳星霖.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2009(10)
[6]基于ICMP的木馬通信技術(shù)研究[J]. 林小進(jìn),錢江.  微處理機(jī). 2009(01)
[7]木馬通信的隱蔽技術(shù)[J]. 張春誠,路剛,馮元.  電腦知識(shí)與技術(shù). 2008(35)
[8]基于遠(yuǎn)程線程注入的進(jìn)程隱藏技術(shù)研究[J]. 何志,范明鈺,羅彬杰.  計(jì)算機(jī)應(yīng)用. 2008(S1)
[9]基于NDIS隱蔽通信技術(shù)的木馬病毒分析[J]. 楊志程,舒輝,董衛(wèi)宇.  計(jì)算機(jī)工程. 2008(10)
[10]基于流統(tǒng)計(jì)特性的網(wǎng)絡(luò)流量分類算法[J]. 林平,余循宜,劉芳,雷振明.  北京郵電大學(xué)學(xué)報(bào). 2008(02)

碩士論文
[1]基于Linux的千兆網(wǎng)絡(luò)數(shù)據(jù)包捕捉技術(shù)的研究與實(shí)現(xiàn)[D]. 王磊.山東大學(xué) 2007
[2]木馬程序的工作機(jī)理及防衛(wèi)措施的研究[D]. 呂尤.北京郵電大學(xué) 2007
[3]木馬攻擊與防范技術(shù)研究[D]. 王戰(zhàn)浩.上海交通大學(xué) 2007
[4]基于木馬的網(wǎng)絡(luò)攻擊技術(shù)研究[D]. 劉成光.西北工業(yè)大學(xué) 2004



本文編號(hào)：3400588