本文關(guān)鍵詞：木馬網(wǎng)絡(luò)通信特征提取模型的設(shè)計(jì)與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

邢云冬，劉勝利：木馬網(wǎng)絡(luò)通信特征提取模型的設(shè)計(jì)與實(shí)現(xiàn)

２０１０，３１（２０）４３８３

對防火墻的特性進(jìn)行分析發(fā)現(xiàn)：防火墻對于連入的連接往往會進(jìn)行非常嚴(yán)格的過濾，但是對于連出的連接卻疏于防范。于是，出現(xiàn)了與傳統(tǒng)木馬工作原理相反的反彈式木馬，這也是目前網(wǎng)絡(luò)中主流木馬所采用的通信方式。反彈式木馬被控制端在植入目標(biāo)主機(jī)后，主動連接控制端，定時(shí)向控制端主機(jī)發(fā)出連接請求，并根據(jù)其中的特定信息進(jìn)行相互認(rèn)證，控制端必須能夠認(rèn)證被控制端，以避免任何第三方數(shù)據(jù)的干擾和破壞，而被控制端也必須認(rèn)證控制端以避免任何不被允許的服務(wù)端利用其通道的資源，而后控制端便可以通過被控制端對目標(biāo)主機(jī)進(jìn)行遠(yuǎn)程控制操作。１．２特洛伊木馬通信方式研究

由于木馬的通信模型屬于Ｃ／Ｓ（客戶／服務(wù)器）結(jié)構(gòu)，一般的木馬采用了常規(guī)的ＴＣＰ或ＵＤＰ協(xié)議進(jìn)行通信，即將交互的數(shù)據(jù)作為ＴＣＰ或ＵＤＰ數(shù)據(jù)包的載荷進(jìn)行傳輸。然而，為了達(dá)到提高木馬穿透防火墻能力或通信隱蔽性等目的，很多木馬根據(jù)某些協(xié)議的特點(diǎn)，對其通信進(jìn)行了隱藏處理…。

１．２．１

利用ＩＰ數(shù)據(jù)包頭部填充字段

利用ＩＰ數(shù)據(jù)包頭部填充字段進(jìn)行隱蔽通信翻，但一個(gè)ＩＰ

包通常只能隱藏約８ｂｉｔ的消息，傳輸帶寬有限，因此獨(dú)立采用此種通信方式傳輸數(shù)據(jù)的木馬較少，通常會結(jié)合載荷共同完成通信認(rèn)證與數(shù)據(jù)傳輸。

１．２．２

ＩＣＭＰ報(bào)文傳輸

ＩＣＭＰ反彈式木馬采用ＩＣＭＰ協(xié)議啪，把命令或數(shù)據(jù)封裝

在ＩＣＭＰ報(bào)文中，并設(shè)置某些特定的標(biāo)識符等特征與網(wǎng)絡(luò)中正常的ＩＣＭＰ報(bào)文相區(qū)別，由被控端發(fā)出ＥＣＨＯ請求（ＩＣＭＰＥＣＨ０），并由木馬的控制端進(jìn)行響應(yīng)（ＩＣＭＰＥＣＨＯＲＥＰＬＹ）并攜帶控制指令。如圖ｌ所示，由于控制端將數(shù)據(jù)包偽裝為ｐｉｎｇ的回執(zhí)信息，所以較容易穿透防火墻，而且該協(xié)議的數(shù)據(jù)包直接封裝在ＩＰ數(shù)據(jù)包中，不使用端口號，也較難于發(fā)現(xiàn)。

（１）發(fā)送ｉｃｍｐ＿ＥＣＨＯ請求

．

Ｉ被控端

控制端

．（２）發(fā)ＩＣＭＰ＿ＥＣＨＯＲＥＰＬＹ同執(zhí)

圖ｌＩＣＭＰ反彈式木馬通信模型

１．２．３

ＨｒｒＰ隧道

ＨＴＴＰ協(xié)議只規(guī)定了通信的方式及數(shù)據(jù)格式，不能規(guī)定通

信的內(nèi)容，，因此，可以在ＨｒｒＰ消息之中建立隧道。利用ＨｒｒＰ的消息體可實(shí)現(xiàn)較高的隱蔽通信帶寬“Ｊ。由于ＨｒｒＰ是目前

Ｉｎｔｅｒａｃｔ上使用最為廣泛的協(xié)議之一，而且Ｈ丌Ｐ服務(wù)在大部

分情況下都被允許通過網(wǎng)絡(luò)訪問控制系統(tǒng)，因此ＨｒｒＰ隧道在當(dāng)前流行的木馬中使用得尤為廣泛。常用的請求方法有兩種：ＧＥＴ和ＰＯＳＴ。如圖２所示，當(dāng)木馬被控端向控制端查詢的指令時(shí)，大多采用ＧＥＴ方式請求指令響應(yīng)。利用ＰＯＳＴ方式，木馬被控端就可以將控制器所需要的數(shù)據(jù)返回。被控端主動和控制端建立ＨｒｒＰ連接，將認(rèn)證信息和數(shù)據(jù)嵌入到ＨｒｒＰ包頭的ＧＥＴ和ＰＯＳＴ關(guān)鍵字段和ＨＴＴＰ數(shù)據(jù)包體中。

綜上，在提取特征時(shí)，不僅要分析常規(guī)木馬通信數(shù)據(jù)包的載荷部分，還要針對其可能利用的隱蔽通信字段進(jìn)行分析，以便能夠準(zhǔn)確提取木馬的網(wǎng)絡(luò)通信特征。

萬方數(shù)據(jù)

控制命令

被控端

一

控制端

Ｐｏｓｔ所需數(shù)

一

圖２木馬ＨＴＴＰ隧道通信模型

２基于序列連配的特征提取方法研究

序列聯(lián)配是將兩個(gè)或多個(gè)字符序列進(jìn)行比較和對齊，從而盡可能確切地反映序列之間的～致程度，獲取我們所需的信息。在生物信息學(xué)中，序列聯(lián)配的應(yīng)用非常廣泛，如用于解決比較ＤＮＡ序列和蛋自質(zhì)序列、分析生物同源性等問題。在文本分析、序列聚類、網(wǎng)絡(luò)安全等領(lǐng)域序列聯(lián)配算法也得到了諸多應(yīng)用。

２．１

Ｎｅｅｄｌｅｍａｎ－Ｗｕｎｓｅｈ算法

首先給出相似度川定義：假設(shè)每個(gè)匹配字符得分為ｍ，一

個(gè)空格扣分為１１，一個(gè)不匹配字符扣分為ｔ，通過全局序列比對所得到的序列Ｓｌ，Ｓ２相似度可表示為

Ｒ（Ｓ１，ｓ２）＝匹配字符數(shù)×ｍ＋不匹配字符數(shù)×ｔ＋空格數(shù)ＸＢＮｅｅｄｌｅｍａｎ．Ｗｕｎｓｃｈ算法“１正是一種基于動態(tài)規(guī)劃思想的算法，通過全局聯(lián)配的方法，最終找到相似度最大的聯(lián)配結(jié)果。該算法有兩個(gè)主要步驟：

（１）計(jì)算所給定的兩個(gè)序列整個(gè)的相似分值，并得到一個(gè)相似度矩陣；

（２）根據(jù)相似度矩陣，按照動態(tài)規(guī)劃的方法回溯尋找最優(yōu)的聯(lián)配。

以序列Ｓ１＝ＧＩ。Ｃ婦ｒＡＧＣＧ，ｓ２＝ＧＩＸＣ枷為例，利用Ｎｅｅ－

ｄｌｅｍａｎ．Ｗｕｎｓｃｈ算法可以得到全局最優(yōu)比對，結(jié)果如表１所示。

表ｌ序列Ｓｌ、Ｓ２全局最優(yōu)比對結(jié)果

ＳｌＧＣＣＣＴ

ＡＧＣＧＳ２

ＧＣＧ

ＣＡＡ

Ｔ

Ｇ結(jié)果

Ｇ

Ｃ

Ｃ

Ａ

×

Ｇ

×表示不匹配，ｏ表示插入空格。

例如，假設(shè)每個(gè)匹配字符一分，一個(gè)空格扣兩分，一個(gè)不匹配字符扣一分，則上例中Ｓｌ，Ｓ２全局最優(yōu)比對得分為

（５ｘ１Ｈｌ×一２Ｈ３ｘ－１）＝０

２．２鼓勵連續(xù)的Ｎｅｅｄｌｅｍａｎ．Ｗｕｎｓｃｈ算法

Ｎｅｅｄｌｅｍａｎ—Ｗｕｎｓｃｈ算法的不足是比較容易產(chǎn)生碎片嘲，結(jié)果中的碎片不僅不能體現(xiàn)該數(shù)據(jù)流的特征，而且很有可能成為干擾信息，從而導(dǎo)致誤報(bào)率提高Ｍ。為了減少碎片的產(chǎn)生，我們采用了增加連續(xù)部分特征串權(quán)重的方法，來降低產(chǎn)生碎片的概率。具體的實(shí)現(xiàn)過程，可用偽代碼描述如下：

（１）初始化

１）設(shè)ＩＳｌｆ＝Ｍ，｝Ｓ２ｆ＝Ｎ

Ｐ（Ｏ，０）＝０，Ｑ（Ｏ，０）＝０

２）Ｆｏｒｅａｃｈｉ＝ｌ，２，…，Ｎ

Ｐ（Ｏ，Ｊ）＝ｊｎ，Ｏｍ，ｊ）＝０

３）Ｆｏｒｅａｃｈｉ＝ｌ，２，…，Ｍ

Ｐ（ｉ，Ｏ）＝ｉｎ，Ｑ（ｉ，Ｏ）＝０

  本文關(guān)鍵詞：木馬網(wǎng)絡(luò)通信特征提取模型的設(shè)計(jì)與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。