基于主机行为特征的恶意软件检测方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
行检测 。G u 等人 实 现的 B o t Mi n e r 系统 , 是基 于感染 主机在 流特征 、 行 为特征 的相似 , 系统 包含 A- p l a n e 与 C - p l a n e两个方
0 引言
僵尸、 木 马等恶意 软件 已成 为互 联 网用 户的最 大 安全 威 胁, 不法分子通过这些 软件控制 感染 主机从事 各种恶 意活 动 , 如 窃取用户敏感 信 息 、 发送 垃圾 邮件 等 。随 着经 济利 益 的驱
动, 各种恶意软件及其变 种层 出不穷 , 对传统 基于特 征匹 配检
Z HANG Yo n g — b i n,Z HANG Ya n ・ n i n g
( S c h o o l o fC o m p u t e r S c i e n c e , No r t h w e s t e r nP o l y t e c h n i c a l U n i v e r s i t y ,X i ’ a n 7 1 0 1 2 9, C h i n a)
d o i : 1 0 . 3 9 6 9 / j . i s s n . 1 0 0 1 - 3 6 9 5 . 2 0 1 4 . 0 2 . 0 5 4
Ma l wa r e d e t e c t i o n b y mo n i t o r i n g h o s t ’ S a c t i v i t i e s
第3 1卷 第 2期 2 0 1 4年 2月
计 算 机 应 用 研 究
Ap p l i c a t i o n Re s e a r c h o f C o mp u t e r s
V0 l _ 31 No . 2 F e b.2 01 4
基 于主 机 行 为 特 征 的恶 意 软 件检 测 方 法
张永斌 , 张艳 宁
( 西北工业大学 计算机学院,西安 7 1 0 1 2 9 ) 摘 要:针对僵尸、 远控木马等恶意软件检测问题 , 提 出一种基 于主机行 为的异常检测模型。该模型通过持续
性 分析算 法 , 判 断主机 与外部 特定 目标 的通信 行为是 否具 有周 期性或 连 续性 , 提 取 出可疑 的 网络行 为 , 并根 据 网 络行 为 的触发 、 启 动等异 常检 测规 则对这 些 可疑 的 网络行 为进行 分 析 , 判 断 主机 是 否 感 染恶 意软 件 。 实验 结果
பைடு நூலகம்
A b s t r a c t :T o d e t e c t m a l w a r e s u c h a s b o t a n d t r o j a n ,t h i s p a p e r p r o p o s e d a m e t h o d b a s e d o n i n h e r e n t a c t i v i t i e s o f c o m p r o —
目前 , 基于 网络特征的检测方法主要是针对僵尸 网络检测 的, 由于僵 尸程序具有很强 的传染能 力 , 很 多研究采 用感染 主
机 的组行为特征对僵尸 网络进行检测 。例如 , Y e n等人 提出
T A MD检测方法 , 该方法 通过感 染 主机在请 求外部 目标 、 通信
报文有效载荷 内容 、 主机 操作 系统等方 面相似 , 对僵 尸 网络进
mi s e d h o s t s .Th i s me t h o d i d e n t i i f e d s u s p i c i o u s n e t wo r k t r a f f i c t h r o u g h p e r s i s t e n t a r i t h me t i c t h a t me a s u r e d i f h o s t s h a d t e mp o r a l r e g u l a r i t y w h e n c o mmu n i c a t i n g w i t h o t h e r h o s t s ,a n d a n a l y z e d s u s p i c i o u s n e t w o r k t r a f f i c t h r o u g h r u l e s o f u s e r d r i v e n a c t i v i t i e s a n d o c c u r r i n g mo me n t s t o d e t e c t c o mp r o mi s e d h o s t s .T h e r e s u h s s h o w t h a t t h e s y s t e m c a n a c c u r a t e l y d e t e c t c o mp r o mi s e d h o s t s
表 明, 该模型可有效检测 出感染恶意软件的主机 , 并具有很低误报率。
关键 词 :网络安 全 ;恶 意软 件 ; 僵 尸 网络 ;木马
中 图分 类号 :T P 3 9 3 . 0 8
文 献标 志码 :A
文章 编 号 :1 0 0 1 . 3 6 9 5 ( 2 0 1 4 ) 0 2 — 0 5 4 7 — 0 4
wi t h l o w e r r o r r a t e s .
K e y w o r d s :n e t w o r k s e c u i r t y ;m a l w a r e ; b o t n e t ;t r o j a n
发现 网络 中已感染恶 意软件 的主机 。
0 引言
僵尸、 木 马等恶意 软件 已成 为互 联 网用 户的最 大 安全 威 胁, 不法分子通过这些 软件控制 感染 主机从事 各种恶 意活 动 , 如 窃取用户敏感 信 息 、 发送 垃圾 邮件 等 。随 着经 济利 益 的驱
动, 各种恶意软件及其变 种层 出不穷 , 对传统 基于特 征匹 配检
Z HANG Yo n g — b i n,Z HANG Ya n ・ n i n g
( S c h o o l o fC o m p u t e r S c i e n c e , No r t h w e s t e r nP o l y t e c h n i c a l U n i v e r s i t y ,X i ’ a n 7 1 0 1 2 9, C h i n a)
d o i : 1 0 . 3 9 6 9 / j . i s s n . 1 0 0 1 - 3 6 9 5 . 2 0 1 4 . 0 2 . 0 5 4
Ma l wa r e d e t e c t i o n b y mo n i t o r i n g h o s t ’ S a c t i v i t i e s
第3 1卷 第 2期 2 0 1 4年 2月
计 算 机 应 用 研 究
Ap p l i c a t i o n Re s e a r c h o f C o mp u t e r s
V0 l _ 31 No . 2 F e b.2 01 4
基 于主 机 行 为 特 征 的恶 意 软 件检 测 方 法
张永斌 , 张艳 宁
( 西北工业大学 计算机学院,西安 7 1 0 1 2 9 ) 摘 要:针对僵尸、 远控木马等恶意软件检测问题 , 提 出一种基 于主机行 为的异常检测模型。该模型通过持续
性 分析算 法 , 判 断主机 与外部 特定 目标 的通信 行为是 否具 有周 期性或 连 续性 , 提 取 出可疑 的 网络行 为 , 并根 据 网 络行 为 的触发 、 启 动等异 常检 测规 则对这 些 可疑 的 网络行 为进行 分 析 , 判 断 主机 是 否 感 染恶 意软 件 。 实验 结果
பைடு நூலகம்
A b s t r a c t :T o d e t e c t m a l w a r e s u c h a s b o t a n d t r o j a n ,t h i s p a p e r p r o p o s e d a m e t h o d b a s e d o n i n h e r e n t a c t i v i t i e s o f c o m p r o —
目前 , 基于 网络特征的检测方法主要是针对僵尸 网络检测 的, 由于僵 尸程序具有很强 的传染能 力 , 很 多研究采 用感染 主
机 的组行为特征对僵尸 网络进行检测 。例如 , Y e n等人 提出
T A MD检测方法 , 该方法 通过感 染 主机在请 求外部 目标 、 通信
报文有效载荷 内容 、 主机 操作 系统等方 面相似 , 对僵 尸 网络进
mi s e d h o s t s .Th i s me t h o d i d e n t i i f e d s u s p i c i o u s n e t wo r k t r a f f i c t h r o u g h p e r s i s t e n t a r i t h me t i c t h a t me a s u r e d i f h o s t s h a d t e mp o r a l r e g u l a r i t y w h e n c o mmu n i c a t i n g w i t h o t h e r h o s t s ,a n d a n a l y z e d s u s p i c i o u s n e t w o r k t r a f f i c t h r o u g h r u l e s o f u s e r d r i v e n a c t i v i t i e s a n d o c c u r r i n g mo me n t s t o d e t e c t c o mp r o mi s e d h o s t s .T h e r e s u h s s h o w t h a t t h e s y s t e m c a n a c c u r a t e l y d e t e c t c o mp r o mi s e d h o s t s
表 明, 该模型可有效检测 出感染恶意软件的主机 , 并具有很低误报率。
关键 词 :网络安 全 ;恶 意软 件 ; 僵 尸 网络 ;木马
中 图分 类号 :T P 3 9 3 . 0 8
文 献标 志码 :A
文章 编 号 :1 0 0 1 . 3 6 9 5 ( 2 0 1 4 ) 0 2 — 0 5 4 7 — 0 4
wi t h l o w e r r o r r a t e s .
K e y w o r d s :n e t w o r k s e c u i r t y ;m a l w a r e ; b o t n e t ;t r o j a n
发现 网络 中已感染恶 意软件 的主机 。