基于模糊識別和網(wǎng)絡(luò)行為的木馬檢測模型設(shè)計

陳　莊，王國棟

( 重慶理工大學(xué) 計算機(jī)科學(xué)與工程學(xué)院,重慶　400054)

?

基于模糊識別和網(wǎng)絡(luò)行為的木馬檢測模型設(shè)計

陳莊，王國棟

( 重慶理工大學(xué) 計算機(jī)科學(xué)與工程學(xué)院,重慶400054)

摘要：當(dāng)前主流的木馬檢測技術(shù)主要基于特征碼檢測，但這種檢測方法往往存在滯后，無法及早發(fā)現(xiàn)未知木馬。此外，目前基于行為的木馬檢測方法過于單一，容易產(chǎn)生誤檢或漏檢。針對以上情況，提出了一種基于模糊識別和網(wǎng)絡(luò)行為的二次檢測模型，旨在對采用模糊識別方法檢測出來的木馬程序進(jìn)行二次檢測，從而獲得更好的檢出率，降低誤檢機(jī)率。

關(guān)鍵詞：木馬檢測；特征碼；模糊識別；網(wǎng)絡(luò)流量

目前，主流的木馬檢測技術(shù)依然是基于特征碼的檢測，也稱為靜態(tài)檢測技術(shù)。該技術(shù)主要是提取木馬的靜態(tài)特征構(gòu)建特征庫，然后對其進(jìn)行查殺。然而特征碼技術(shù)存在一定的局限性，比如資源空間占用大、無法及時預(yù)防和對抗未知的木馬攻擊等。針對靜態(tài)檢測技術(shù)的缺陷，目前出現(xiàn)了一種新的檢測技術(shù)——基于行為分析的檢測技術(shù)，也稱為動態(tài)檢測技術(shù)。該技術(shù)不依賴于強(qiáng)大的病毒特征庫，而是主要根據(jù)木馬從植入到通信整個過程表現(xiàn)出來的行為對其進(jìn)行查殺[1-6]。作為當(dāng)前新興的木馬檢測技術(shù)，基于行為分析的木馬檢測技術(shù)發(fā)展迅速。李煥洲等[2]提出了基于行為特征庫的木馬檢測模型，應(yīng)用模糊識別技術(shù)識別木馬程序。易軍凱等[4]綜合木馬的幾個網(wǎng)絡(luò)行為特征，利用層級聚類、Davies-Bouldin指數(shù)和K-means聚類方法進(jìn)行木馬檢測。趙天福等[6]從網(wǎng)絡(luò)行為的角度來分析木馬的心跳行為和交互性操作行為，從而識別木馬程序。這些檢測方法在一定程度上促進(jìn)了基于行為分析的木馬檢測技術(shù)的發(fā)展。但基于行為的分析容易造成誤判，即將正常程序誤判為木馬程序進(jìn)行刪除。上述學(xué)者在檢測時僅考慮了木馬的檢出效果，對誤判的情況考慮得不夠充分，造成誤判的概率較高，這在一定程度上也影響了木馬的檢出率。

針對上述問題，本文提出了一種基于模糊識別和網(wǎng)絡(luò)行為的二次木馬檢測模型。首先利用模糊識別的方法進(jìn)行訓(xùn)練識別，然后對識別出來的木馬進(jìn)行網(wǎng)絡(luò)流量行為分析，進(jìn)行二次檢測[8-15]。實驗結(jié)果表明：本文提出的二次木馬檢測模型具有較好的檢出效果，同時減少了誤判的發(fā)生。

1木馬行為分析

基于行為分析的木馬檢測，簡而言之就是在程序運(yùn)行的過程中，檢測其是否具有木馬的行為特征，如果有，則判斷該程序可能是木馬，進(jìn)而進(jìn)行阻止或查殺。但是，并不是所有的木馬都具有明顯區(qū)別于合法程序的特征，因此要對木馬的行為特征進(jìn)行詳細(xì)的分析與了解。木馬程序一般在植入、安裝、啟動和通信等階段體現(xiàn)出不同尋常的行為特征。

通過查閱相關(guān)文獻(xiàn)，本文歸納出木馬在植入、安裝、啟動和通信階段的行為特征。

1) 植入階段

木馬在進(jìn)行攻擊之前，往往會通過操作系統(tǒng)的漏洞或者零日漏洞，將木馬程序植入入侵的主機(jī)。木馬程序也可以通過網(wǎng)站鏈接的形式注入用戶的電腦。此外，還可通過郵件的方式將程序附著到文件上進(jìn)行傳播，從而達(dá)到隱藏自身的目的。

2) 安裝階段

在通常情況下，木馬安裝程序都將木馬服務(wù)器及相關(guān)程序拷貝到系統(tǒng)目錄下，因為系統(tǒng)目錄下存在大量的系統(tǒng)文件，用戶擔(dān)心破壞系統(tǒng)文件，一般不會輕易進(jìn)行修改或刪除操作。此外，木馬的命名和系統(tǒng)文件有很大的相似性，這也增加了定位的難度。在安裝階段，木馬顯著區(qū)別于合法程序的行為特征主要有：自啟動設(shè)置；修改注冊表；修改系統(tǒng)配置文件；殺死其他進(jìn)程；修改文件關(guān)聯(lián)等。

3) 啟動階段

木馬服務(wù)器端安裝之后，服務(wù)器會采用“進(jìn)程隱藏”的方式，以進(jìn)程或者線程的形式運(yùn)行，這也是大多數(shù)木馬在該階段的顯著特征之一。此外，該階段木馬行為特征還包括利用遠(yuǎn)程線程注入技術(shù)獲取系統(tǒng)權(quán)限，采用API攔截技術(shù)攔截系統(tǒng)信息，以子進(jìn)程的形式附著在系統(tǒng)進(jìn)程上等。

4) 通信階段

在該階段，木馬客戶端往往會通過發(fā)送控制指令或者接收信息達(dá)到控制目標(biāo)主機(jī)、竊取私密信息的目的。目前，木馬在通信階段表現(xiàn)出來的行為特征主要有：端口反彈或反向鏈接；采用ICMP 作為通信協(xié)議；使用隧道技術(shù)實現(xiàn)隱蔽通信等。

綜上所述，本文將根據(jù)木馬所表現(xiàn)的異常行為特征，通過特征提取進(jìn)行模糊識別，然后應(yīng)用網(wǎng)絡(luò)流量分析二次檢測木馬，提高木馬的檢出效果，減少誤判的發(fā)生。

2木馬檢測模型

木馬行為的提取和判斷是木馬檢測關(guān)鍵的一步，因此如何提取木馬行為以及如何判斷是否是木馬成為研究的重點(diǎn)。由于單一的檢測方法會造成誤檢的發(fā)生，所以采用一種二次檢測的方式來進(jìn)行木馬的檢測，從而降低誤檢的概率。本文采取如下步驟對木馬進(jìn)行檢測(如圖1所示)：

1) 利用概率統(tǒng)計學(xué)中的均方差法進(jìn)行實驗。采用類間頻率均方差法計算不同行為對識別木馬程序的貢獻(xiàn)度，總結(jié)出排名前10位的特征作為木馬程序的通用特征，構(gòu)建木馬程序行為特征庫。

2) 根據(jù)隸屬度函數(shù)分別計算待測樣本、正常樣本、木馬樣本的行為特征隸屬度，通過貼合度計算判斷木馬程序和正常程序。

3) 對檢測出來的木馬程序進(jìn)行網(wǎng)絡(luò)流量的檢測，進(jìn)一步確定是否為木馬程序，如果流量異常則為木馬程序，否則不是。

圖1　檢測步驟

2.1模糊識別數(shù)學(xué)模型

設(shè)木馬程序有m個樣本，合法程序有n個樣本，根據(jù)采集到的k個通用行為特征，每個程序樣本均會有其中的s(0

(1)

同理，合法程序樣本集N也可用上述指標(biāo)特征矩陣表示。如果xij=1表示木馬程序樣本j具有第i個行為特征，反之則不具有[5,7]。

設(shè)將y個程序樣本按照樣本的k個指標(biāo)特征分為c個級別(或類別)加以識別，其模糊識別矩陣為

(2)

待測樣本有兩種可能：一種是木馬程序；另一種是合法程序。因此，設(shè)c=2，根據(jù)k個通用行為特征加以識別，其模糊識別矩陣如下：

(3)

對于一個分類樣本，獲取其k個特征的隸屬度u1,u2,…,uk，這k個特征在分類中的作用是不同的，可以根據(jù)計算得到的相關(guān)貼近度按照就近原則進(jìn)行分類。

2.2檢測模型

2.2.1特征提取

木馬程序在運(yùn)行的過程中往往會表現(xiàn)出與正常程序相似或者一致的行為特征，但是由于木馬程序在竊取數(shù)據(jù)的過程中某些行為較為活躍，這對識別木馬起到了一定的輔助作用。當(dāng)某些行為在木馬程序中出現(xiàn)的頻率非常高，而在正常程序中出現(xiàn)的頻率較低時，就可以認(rèn)為該行為對識別木馬程序所作的貢獻(xiàn)較大。因此，經(jīng)過實驗分析對比，利用概率統(tǒng)計學(xué)中的均方差法進(jìn)行實驗。采用類間頻率均方差可以很好地反映不同行為對木馬程序識別的貢獻(xiàn)度。具體計算過程如下：

步驟4根據(jù)計算的均方差的大小進(jìn)行排序，選出前10個組成的“模糊特征集”，以此作為判別木馬行為的通用特征。排名前10位的木馬程序通用行為特征見表1。

表1　排名前10位的木馬程序通用行為特征

2.2.2模糊識別階段

木馬程序集T的隸屬函數(shù)：

(4)

式中：

t為特征量的個數(shù)。

正常程序集N的隸屬函數(shù)：

(5)

待測程序集F的隸屬函數(shù)：

(6)

(7)

同樣，針對正常程序進(jìn)行通用的操作，可以得到模糊集：

(8)

對待測程序集進(jìn)行特征頻率的統(tǒng)計，并根據(jù)隸屬函數(shù)計算待測程序集的模糊集：

(9)

步驟3計算貼近度。根據(jù)步驟2計算得到的模糊集計算F與T之間的貼近度以及F與N之間的貼近度。本文采用的是Euclid貼近度[1]，計算公式如下：

(10)

步驟4根據(jù)“擇近原則”將待測程序文件歸于木馬程序或正常程序。

2.2.3網(wǎng)絡(luò)流量檢測階段

在模糊識別階段，一般通過通用行為模糊化來進(jìn)行檢測，這樣易將部分正常程序當(dāng)成木馬程序，從而導(dǎo)致誤判。因此，本研究采用二次檢測技術(shù)，從網(wǎng)絡(luò)流量的角度對篩選出來的木馬程序進(jìn)行第2次檢測，從而獲得更高的檢出率。

木馬程序在通信階段往往存在大量的人為參與過程，這主要表現(xiàn)在：

1) 所有的控制命令發(fā)起方都在客戶端，與正常的C/S架構(gòu)有明顯的差異。

2) 由于客戶端需要對服務(wù)端不停地發(fā)送指令，因此服務(wù)端響應(yīng)的數(shù)據(jù)量勢必會很大。

3) 一般客戶端發(fā)送的指令為短文本，而服務(wù)端上傳的數(shù)據(jù)多為圖像、報文等數(shù)據(jù)。

4) 木馬程序的通信往往具有周期性。

根據(jù)以上特點(diǎn)，選用了一款名為Wireshark的流量監(jiān)控軟件對程序進(jìn)行監(jiān)控與識別?？刂菩湍抉R程序在網(wǎng)絡(luò)通信方面有明顯的時序特性。通過對木馬控制行為的分析，采用文獻(xiàn)[3]提到的時序分析方法進(jìn)行第2階段的檢測。

步驟1進(jìn)行時序分簇處理。簇是在時序關(guān)系上密切的數(shù)據(jù)包的集合，如果相鄰數(shù)據(jù)包的時間間隔在一定的閾值T內(nèi)，則表示這兩個數(shù)據(jù)包屬于一個簇，否則不屬于一個簇。T一般由網(wǎng)絡(luò)的往返時延決定，具體計算公式如下：

(11)

其中t(i+1)-t(i)表示當(dāng)前會話中兩個有交互行為的相鄰數(shù)據(jù)包的時間差。一般情況下，取最近20次通信的往返數(shù)據(jù)包的平均值，即n=20，經(jīng)過放大后則為T的取值。式(11)中k為放大倍數(shù)。

通過構(gòu)造臨時數(shù)據(jù)包列表，對網(wǎng)絡(luò)數(shù)據(jù)流中的每一個數(shù)據(jù)包，判斷其與臨時列表中最后一個數(shù)據(jù)包的時間差是否大于T。如果是，就將臨時列表中的數(shù)據(jù)包集合構(gòu)成一個簇；否則，將其加至末尾，如此循環(huán)。以pk表示數(shù)據(jù)包，clu表示簇，sn表示會話，則其關(guān)系為

(12)

(13)

運(yùn)用數(shù)理統(tǒng)計思想，計算首包方向cdir、首包時間ctime、序列數(shù)量cnum、序列均值cavg、序列純度cpure、時間跨度ctc、序列最值cmax、序列速度csp這8個屬性。以屬性向量作為簇的特征值，記為：

步驟2進(jìn)行距離計算。通過計算加權(quán)歐式距離來計算分簇間的關(guān)聯(lián)度，反映其在網(wǎng)絡(luò)行為上的關(guān)系，具體計算公式為

(14)

式中：proci表示簇屬性向量中的不同屬性值；ωi表示不同屬性值的計算權(quán)值。

步驟3對控制行為進(jìn)行識別。通過計算網(wǎng)絡(luò)流的相鄰數(shù)據(jù)分簇的加權(quán)歐氏距離可以發(fā)現(xiàn)，正常網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)流時序分簇處理后無明顯控制響應(yīng)交互行為，且變化過程無規(guī)律；而控制型木馬程序則相反，經(jīng)過處理后，相鄰分簇之間呈現(xiàn)平穩(wěn)的規(guī)律，表明控制和響應(yīng)會話有明顯的交互行為，且有一定的周期。因此，通過計算相鄰分簇加權(quán)歐氏距離的方差d，然后根據(jù)統(tǒng)計學(xué)思想計算加權(quán)歐氏距離均值w，并將其設(shè)為閾值th，判斷距離方差d是否超過th，以此進(jìn)一步檢測木馬程序。如果超過th，則證明是正常程序，否則是木馬程序。

3實驗結(jié)果與分析

本文的實驗在成都中科慧創(chuàng)科技有限公司搭建的云平臺上實現(xiàn)，主要采用Windows 7-32位操作系統(tǒng)。樣本集是由成都中科慧創(chuàng)科技有限公司提供，共計300個樣本，其中200個為木馬程序，100個為正常程序。首先，選取50個木馬程序和50個正常程序進(jìn)行訓(xùn)練學(xué)習(xí)，然后對剩余的150個木馬程序和50個正常程序進(jìn)行測試。實驗數(shù)據(jù)見表2。

表2　實驗樣本數(shù)據(jù)

為了評判檢測模型的準(zhǔn)確性，本文選擇檢測率和誤判率2個指標(biāo)進(jìn)行佐證。檢測率等于正確檢測出木馬程序的數(shù)量與測試集中木馬程序的總數(shù)之比；誤判率等于檢測為木馬程序但實際上為正常程序的數(shù)量與測試集中正常程序的總數(shù)之比。

首先選擇數(shù)量不同的測試集，分別使用模糊識別算法、木馬心跳行為進(jìn)行單一算法檢測，然后與本文采用的二次檢測算法進(jìn)行對比，結(jié)果見表3。

實驗結(jié)果表明：本文采用的模糊識別和網(wǎng)絡(luò)行為的二次檢測算法在檢測木馬程序時比單一的檢測算法具有更高的檢測率和更低的誤判率。

為了更全面地驗證算法的有效性，選定相同數(shù)量、不同類型的木馬，驗證對比單一算法與二次檢測算法的檢測效率，實驗結(jié)果見表4。

表3　數(shù)量不同的樣本數(shù)據(jù)檢測木馬程序?qū)嶒灲Y(jié)果對比

表4　不同類型木馬程序檢測實驗結(jié)果對比

實驗結(jié)果表明：在檢測不同類型木馬時，二次檢測算法在檢測率和誤判率方面效果好于單一檢測算法。

通過對比兩組實驗結(jié)果可以發(fā)現(xiàn)：檢測率有所提升，誤判率有所降低，但這樣的檢測無疑增加了運(yùn)算復(fù)雜度。針對當(dāng)前木馬變種日益增多的情況，特征碼防御往往滯后3～5天，甚至更長，而單一的行為檢測方式則在檢測率和誤判率方面有所欠缺。因此，為了能盡快發(fā)現(xiàn)并阻止木馬等危險性程序，可以在適度犧牲運(yùn)算復(fù)雜度的前提下采用二次檢測技術(shù)來檢測木馬程序。這樣的檢測技術(shù)可以應(yīng)用在如工業(yè)控制系統(tǒng)等與國計民生密切相關(guān)的行業(yè)，保障基礎(chǔ)設(shè)施的安全。

4結(jié)束語

本文針對木馬檢測中產(chǎn)生的誤判問題，將模糊識別和網(wǎng)絡(luò)流量檢測技術(shù)相結(jié)合，對模糊識別后得到的木馬程序進(jìn)行網(wǎng)絡(luò)流量方面的再次檢測，從而得到更高的木馬程序檢出率，降低誤判的概率，對行為檢測技術(shù)的發(fā)展具有一定的推動作用。本文所提檢測技術(shù)的不足之處在于檢測時間過長，資源消耗過多等。這種檢測方式以犧牲運(yùn)算效率為代價來提高檢測率和降低誤檢率。如何在檢測率更高的情況下降低運(yùn)算復(fù)雜度將是下一步的研究重點(diǎn)。此外，當(dāng)前的木馬程序種類繁多也加大了木馬程序檢測的難度和復(fù)雜度。單一地依靠一種技術(shù)已無法應(yīng)對木馬程序的發(fā)展趨勢，只有綜合運(yùn)用各種不同的技術(shù)，從不同角度去檢測，才能在最大程度上保障用戶免受木馬程序的侵襲。

參考文獻(xiàn)：

[1]ZHANG B,YIN J,HAO J.Using fuzzy pattern recognition to detect unknown malicious executables code[M]//Fuzzy Systems and Knowledge Discovery.Berlin ：Springer Berlin Heidelberg,2005:629-634.

[2]李煥洲,陳婧婧,鐘明全,等.基于行為特征庫的木馬檢測模型設(shè)計[J].四川師范大學(xué)學(xué)報(自然科學(xué)版),2011,34(1):123-127.

[3]陳利,張利,姚軼嶄,等.基于時序分析的木馬控制行為識別方法[J].計算機(jī)科學(xué),2013,40(6A):337-339.

[4]陳慶章,莫建華,顧雨捷.用于行為分析反木馬的模糊分類算法研究[C]//全國第 20 屆計算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會議 (CACIS· 2009) 暨全國第 1 屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會議論文集 (上冊).合肥：[出版者不詳]，2009.

[5]易軍凱,劉健民,萬靜.一種基于網(wǎng)絡(luò)行為分析的 HTTP 木馬檢測模型[J].北京化工大學(xué)學(xué)報(自然科學(xué)版),2014 (3):114-118.

[6]張波云,殷建平,唐文勝,等.基于模糊模式識別的未知病毒檢測[J].計算機(jī)應(yīng)用,2005,25(9):2050-2053.

[7]趙天福,周丹平,王康,等.一種基于網(wǎng)絡(luò)行為分析的反彈式木馬檢測方法[J].信息網(wǎng)絡(luò)安全,2011(9):80-83.

[8]張波云,殷建平,唐文勝.一種未知病毒智能檢測系統(tǒng)的研究與實現(xiàn)[J].計算機(jī)工程與設(shè)計,2006,27(11):1936-1938.

[9]LIANG Y,LIANG J,HUANG L,et al.Trojan Detection Model of Nonlinear SVM Based on an Effective Feature Selection Optimization Algorithm[C]//Information Technology and Applications (ITA),2013 International Conference on.USA:IEEE,2013:138-142.

[10]閆軍偉,鐘求喜,賈欣,等.基于行為的分布式惡意代碼檢測技術(shù)[J].計算機(jī)與現(xiàn)代化,2011(9):126-129.

[11]苗甫,王振興,張連成.基于流量統(tǒng)計指紋的惡意代碼檢測模型[J].計算機(jī)工程,2011,37(18):131-133.

[12]孟磊,劉勝利,劉龍,等.基于心跳行為分析的木馬快速檢測方法[J].計算機(jī)工程,2012,38(14):13-16.

[13]郝增帥,郭榮華,文偉平,等.基于特征分析和行為監(jiān)控的未知木馬檢測系統(tǒng)研究與實現(xiàn)[J].信息網(wǎng)絡(luò)安全,2015 (2):57-65.

[14]馬立軍.基于行為檢測的竊密型木馬檢測研究[J].廣西民族大學(xué)學(xué)報(自然科學(xué)版),2014,20(2):70-74.

[15]朱立軍.基于動態(tài)行為的未知惡意代碼識別方法[J].沈陽化工大學(xué)學(xué)報,2012,26(1):77-80.

(責(zé)任編輯楊黎麗)

Design of Trojan Detection Model Based on Fuzzy Recognition and Network Behavior

CHEN Zhuang, WANG Guo-dong

(College of Computer Science and Engineering,Chongqing University of Technology, Chongqing 400054, China)

Abstract:Recently, the Trojan detection technology is mainly based on feature code detection. However, this detection method often has lagging and cannot identify unknown Trojan. In addition, the other detection method based on behavior is too single and is easy to appear error or missing. For the condition of error detection, this paper proposed a second-detection-model based on fuzzy recognition and network behavior and aimed at secondary detection for Trojans detected by fuzzy recognition method. It not only achieves better detection rate, but also reduces the risk of error and missing.

Key words:trojan detection; feature code; fuzzy recognition; network flow

文章編號：1674-8425(2016)04-0084-07

中圖分類號：TP393

文獻(xiàn)標(biāo)識碼：A

doi:10.3969/j.issn.1674-8425(z).2016.04.015

作者簡介：陳莊(1964—)，男，重慶人，教授，主要從事信息安全和人工智能領(lǐng)域研究；王國棟(1990—)，男，河南人，碩士研究生，主要從事信息安全研究。

基金項目：四川省科技支撐計劃資助項目(2015GZ0345)

收稿日期：2015-11-07

引用格式：陳莊,王國棟.基于模糊識別和網(wǎng)絡(luò)行為的木馬檢測模型設(shè)計[J].重慶理工大學(xué)學(xué)報(自然科學(xué))，2016(4):84-90.

Citation format：CHEN Zhuang, WANG Guo-dong.Design of Trojan Detection Model Based on Fuzzy Recognition and Network Behavior[J].Journal of Chongqing University of Technology(Natural Science)，2016(4):84-90.