一種基于分層聚類方法的木馬通信行為檢測模型

1、一種基于分層聚類方法的木馬通信一種基于分層聚類方法的木馬通信行為檢測模型行為檢測模型李世淙中科院計(jì)算所引言研究背景研究背景網(wǎng)絡(luò)竊密已經(jīng)成為嚴(yán)重的網(wǎng)絡(luò)安全威脅。木馬是竊取用戶機(jī)密信息最重要的手段之一。與其他惡意軟件不同，木馬的運(yùn)行不會引起系統(tǒng)明顯的變化，具有隱蔽性，不易被發(fā)現(xiàn)。網(wǎng)絡(luò)應(yīng)用的日益豐富，使得檢測更加困難。木馬分類木馬分類 從通信方式的角度出發(fā)，將木馬分為：遠(yuǎn)程控制型和單獨(dú)作業(yè)型。1. 遠(yuǎn)程控制型：與攻擊者實(shí)時通信，監(jiān)聽/執(zhí)行攻擊命令。2. 單獨(dú)作業(yè)型：單獨(dú)運(yùn)行，并通過郵件、即時通信軟件、FTP等方式回傳任務(wù)執(zhí)行結(jié)果。研究對象研究對象本文主要研究遠(yuǎn)程控制型木馬的通信行為檢測。選取該類型木

2、馬為研究對象的主要原因?yàn)椋?遠(yuǎn)程控制型木馬是非常典型的木馬類型，大多數(shù)流行木馬都屬于此類型。 遠(yuǎn)程控制型木馬提供非常全面的功能，如鍵盤記錄、屏幕截取、密碼盜竊等。 遠(yuǎn)程控制型木馬具有實(shí)時性、高效性（執(zhí)行任務(wù)成功率較高）的特點(diǎn)。檢測方法分類檢測方法分類已有的木馬檢測方法，根據(jù)檢測環(huán)境的不同可以分為兩類：基于主機(jī)的檢測方法基于網(wǎng)絡(luò)的檢測方法基于主機(jī)的檢測方法基于主機(jī)的檢測方法基于主機(jī)的檢測方法又可以分為兩類：對二進(jìn)制代碼的檢測：針對木馬程序本身進(jìn)行檢測。提取木馬程序的二進(jìn)制特征，并在此基礎(chǔ)上進(jìn)行檢測。對主機(jī)行為的檢測：針對主機(jī)的系統(tǒng)調(diào)用、系統(tǒng)資源占用等行為特征進(jìn)行分析。對主機(jī)的行為特征進(jìn)行建模，并

3、以此為基準(zhǔn)進(jìn)行檢測?；诰W(wǎng)絡(luò)的檢測方法基于網(wǎng)絡(luò)的檢測方法基于網(wǎng)絡(luò)的檢測方法可分為兩類：對應(yīng)用層負(fù)載的檢測：對應(yīng)用層負(fù)載內(nèi)容進(jìn)行檢測。提取應(yīng)用層內(nèi)容的特征，并在此基礎(chǔ)上進(jìn)行檢測。對網(wǎng)絡(luò)行為的檢測：針對應(yīng)用層以下的各協(xié)議層進(jìn)行特征提取，在這些特征的基礎(chǔ)上建立網(wǎng)絡(luò)行為模型，并利用模型進(jìn)行檢測。本文方法簡介本文方法簡介 利用網(wǎng)絡(luò)行為分析的概念、思想和方法，從網(wǎng)絡(luò)層和傳輸層兩個層次對木馬的網(wǎng)絡(luò)通信行為進(jìn)行分析；基于通信行為特征和層次聚類方法，建立木馬和正常應(yīng)用的網(wǎng)絡(luò)通信行為模型；利用建模結(jié)果對木馬的通信行為進(jìn)行檢測。木馬網(wǎng)絡(luò)通信行為分析若干概念若干概念1、被控端被控端和控制端控制端 被控端被控端植入目標(biāo)

4、主機(jī)，接收攻擊命令執(zhí)行攻擊任務(wù)。控制端控制端直接由攻擊者控制，向被控端發(fā)送命令。2、主連接主連接和子連接子連接 主連接主連接為兩端通信初始化時建立的連接，一般貫穿整個通信周期，負(fù)責(zé)傳遞保活、控制命令等信息。子連接子連接為木馬執(zhí)行特定任務(wù)時建立的若干連接（如鍵盤記錄、文件傳輸、屏幕截取等），任務(wù)結(jié)束后，連接隨即斷開。3、IP對通信會話對通信會話由在一定的時間內(nèi)（timeout, 5min）一對IP（源IP、目的IP）之間所有的通信數(shù)據(jù)組成。引入會話概念后，可從網(wǎng)絡(luò)層和傳輸層連接兩個層面統(tǒng)計(jì)數(shù)據(jù)信息，如連接持續(xù)時間（傳輸層）、連接數(shù)目（網(wǎng)絡(luò)層）。將木馬通信的檢測轉(zhuǎn)化為IP對通信會話的檢測。木馬的行

5、為分析木馬的行為分析1.流出的數(shù)據(jù)包大于流入的數(shù)據(jù)包。2.流出的字節(jié)數(shù)大于流入的字節(jié)數(shù)。3.主連接建立后，貫穿于整個會話周期，持續(xù)時間 接近于會話時間，大于其余子連接的持續(xù)時間。4.主連接負(fù)責(zé)?；罴懊顐鬟f功能，因而在大部分時間內(nèi)處于空閑狀態(tài)。攻擊者在接受到返回結(jié)果后，會有一個分析的時間（analyzing time）, 這個時間遠(yuǎn)大于數(shù)據(jù)包時間間隔。特征選取特征選取1、進(jìn)/出包數(shù)之比：當(dāng)outin時，1，反之，0.2、進(jìn)/出流量之比：同上3、持續(xù)時間之比：session的持續(xù)時間比主連接的持續(xù)時間。4、數(shù)據(jù)包時間間距：主連接的平均包間距。模型建立步驟步驟：1. 聚類 層次聚類是將數(shù)據(jù)集組成一

6、個樹形的聚類。根據(jù)層次分解的方向，又可以進(jìn)一步分解為凝聚和分裂。本文主要采用凝聚的方法。2. 為每個類標(biāo)記（正常、異常、未知） 本文采用概率比較的方法對模型中的類進(jìn)行標(biāo)記。聚類基本思想聚類基本思想針對要聚類的n各個實(shí)例，計(jì)算n*n的距離矩陣，將最接近的兩個實(shí)例類合并成一個類，這樣類的總數(shù)就減少一個，然后重新計(jì)算各類之間的距離，再將最接近的類進(jìn)行合并，以此類推，直到最后合并成一個類或到達(dá)某個終止條件為止。類的表示類的表示：類的合并類的合并：距離計(jì)算距離計(jì)算：本文采取對數(shù)似然值（Log-likelihood）的距離計(jì)算方法。聚類方法的優(yōu)點(diǎn)：聚類方法的優(yōu)點(diǎn)：既能處理值為數(shù)值型的變量，也能處理值為類別的變量；聚類的過程中，只保存每個中間類的統(tǒng)計(jì)特征值，減少了計(jì)算開銷，適用于大型的數(shù)據(jù)集。標(biāo)記方法標(biāo)記方法： 根據(jù)每個類中正常和異常實(shí)例所占的比例，對類進(jìn)行標(biāo)記。具體方法如下：試驗(yàn)與分析聚類結(jié)果統(tǒng)計(jì)聚類結(jié)果統(tǒng)計(jì)我們在聚類結(jié)果的基礎(chǔ)上，分別對進(jìn)出包數(shù)、進(jìn)出流量、連接持續(xù)時間、數(shù)據(jù)包時間間隔進(jìn)行了統(tǒng)計(jì)。結(jié)果分析驗(yàn)證了我們所選取的特征具有較好的區(qū)分效果。統(tǒng)計(jì)結(jié)果如下圖（詳情請參考論文）檢測結(jié)果檢測結(jié)果我們選取了比較典型的5種木馬作為檢測的對象，它們分別是：Gh0st、Drat2010、 Zxshel