木马检测技术研究 .pdf

木马检测技术研究

1木马的工作原理

木马程序一般采用的是客户端/服务器模式，是一种基于C/S模式的远程控制

技术，客户端是控制端，用于黑客远程监视和控制植入木马的计算机，主要运行

在入侵机中，服务器端是被控端，木马采用欺骗或者漏洞攻击等手段把服务器程

序安装到受害者的计算机中，即“植入木马”，也就是我们所说的计算机“中了

木马”。如果将木马植入并且成功触发的话，控制端和被控制端就会按TCP/IP

协议来进行通信，这样控制者就会获得被控制者的一些信息[7]。木马的工作原

理如图1所示，在目标机上执行服务器端以后，木马就会打开一个默认的端口来

监听，在客户机向服务器发出连接请求的指令后，服务器上的相关程序就会自动

运行该请求，二者建立连接后，客户端发出指令，服务器端在计算机中就会执行

该指令，同时把数据传回客户端，以此来控制主机。

2行为分析技术在木马检测中的应用

21木马行为特征行为分析方法在木马检测中的应用，简单来说，就是在运行

程序的过程中，如果检测出具有木马的行为特征，如进程隐藏、在注册表设置自

启动项等，那么该应用程序则有可能是木马，所以首先应该对木马行为特征进行

确定。木马行为特征，是指木马在代码上所具有的共有特点。对其确认的步骤主

要是：通过观察大量的己知木马的动态行为，从里面提取出有别于合法程序的比

较明显的行为特征，记录下来，再通过和各个木马的行为特征比对，从里面提取

出所有的木马或是大多数的木马所具有的行为特征。

2．2行为分析技术行为分析是一种新的检测技术，可以主动进行防御木马攻

击。该技术和传统的木马检测技术不同，它通过捕获某个程序行为，再和木马或

者病毒所特有的一些行为特征对比分析，然后再通过一些算法像贝叶斯算法、概

率论等，或采用数据挖掘技术来对该程序是木马或是病毒的可疑程度进行推断。

该检测方法能够及时有效地发现新型恶意代码，是目前国际上反木马技术的新趋

势。木马行为特征库可以归纳总结出来，如果单纯依赖木马行为特征库，只要运

行的程序中出现了单个具有木马行为特征的行为，就认定其为木马，会带来较大

的误报率，比如：修改注册表项，大部分木马程序具有该行为特征，可以将其作

为区分合法程序的行为特征，但是一些合法程序也具有在注册表设置自启动项等

一些修改注册表项的行为特征，如桌面工具类软件、迅雷、QQ程序的安装等，

而且并不是所有的木马程序都会进行注册表项的操作，所以在考虑木马行为特征

的同时，还应关注合法程序区别于木马的行为特征，通过多项特征的组合来作为

判别木马程序的依据，从而降低误报率和漏报率。M.schultZ等人最早提出了采

用朴素贝叶斯算法等来检测未知的恶意程序代码，因其具有较强的概率推理能

力，可以通过对样本的多个属性的取值来对样本分类，而且它们都可被用来对未

知的类别样本分类，这和把行为分析技术用来判定未知木马的目的一致，所以不

仅可以用来检测已知的木马，对未知的木马或是已知的木马变种也能检测出来。

3朴素贝叶斯算法在木马行为分析中的应用

假设已知的木马的个数为m，合法的程序个数为n，行为特征具有k个(m0，

n0，k＞0，且m、n和k均为整数)。把m个木马里具有第i个行为特征的木马数

记为(k≥i＞0，且i为整数)。假设有一个可执行程序，该程序既不在m个木马

程序中，也不在n个合法程序中，但该程序具有k个行为特征中的1个行为特征，

不具有另外(k-l)个行为特征，那么需要判别该程序是不是木马程序。

4基于行为分析的木马检测模型

在上述理论的基础上，结合监控技术，设计了一个基于行为分析的木马检测

模型，采用朴素贝叶斯算法作为可疑行为分析模块的检测算法。基于行为分析的

木马检测模型如图2所示。图2基于行为分析的木马检测模型(参见右栏)各模块

主要功能说明如下。程序实时监控模块：对系统内部的可疑行为进行监控，在此

归纳了几种常见的木马行为属性，主要有进程隐藏，界面隐藏，注册表修改，自

动运行，安装钩子，线程的注入等。这些行为在普通程序中出现的概率远小于在

木马中出现的概率，木马在运行过程中会暴露这些属性，它们是分析检测木马的

重要依据。目录文件监控模块：本模块对系统存储的重要文件或者对用户重要的

文件、文件目录实施操作监控，实时记录下用户对特定文件或目录创建、修改、

重命名及删除操作，由于偷窃性是木马的一个重要特征，最终会将偷窃的敏感文

件或数据通过网络向外在的控制端进行数据的传输，所以会同时将相关数据