前言:中文期刊网精心挑选了木马检测范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
木马检测范文1
关键词:
中图分类号: TP393 文献标识码:A 文章编号:2095-2163(2011)01-0032-03
0引言
随着计算机网络的普及与广泛应用,计算机网络信息系统已成为企业、院校、政府等各部门最重要的基础设施和信息交流工具。然而,目前的网络信息系统还存在严重的安全问题,木马、病毒等各种网络攻击行为正严重威胁着广大用户的数据和信息的安全。
木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制的后门程序。
根据国家互联网应急中心(CNCERT/CC)自2011-01到2011-03以来的《网络安全信息与动态周报》,统计境内被木马控制的IP地址数量如下:1月份12万个,2月份13万个,3月份41.4万个。
由上述数据可知木马事件愈发猖獗,网络安全迫切需要快速有效的木马检测技术。
目前,主流的木马检测方法包括:端口识别[1]、注册表监控[2]、特征码检测[1]、静态文件信息检测[3]和内存完整性检测[4]等。但是上述方法都存在不足。端口识别的方法可以在一定程度上检测到木马,但高级木马程序都有在植入到目标系统前定制新的通信端口的能力,从而逃过这种方法的检测[1]。注册表监控方法很难发现诸如采用文件关联方法实现自动运行的木马,而对于只运行一次的木马,因其无需设置自动运行信息,无法使用该方法进行检测[2]。由于木马的种类日益增多,很难全面、准确地提取所有木马的特征码,所以基于特征码检测的方法存在明显的漏检问题[1]。静态文件信息检测是指在Windows环境下,根据从PE可执行文件中提取的静态信息判断文件是否为木马文件[3]。与特征码检测方法类似,该方法只有在拥有大量具有代表性的样本的情况下才能作为检测木马的有效方法,对新出现的木马容易出现漏检问题。内存完整性检测多是通过检测代码区块的完整性来判断木马的存在,但无法检测到改变内存其他区域的木马[4]。
针对上述检测方法的不足,现提出木马动态检测方法。该方法将行为分析与ID3算法产生的决策树相结合,将程序运行时的行为作为判定依据。
本文在Windows系统下实现了基于ID3决策树的木马动态检测系统。经测试,该决策树的准确率达到97.2%,错检率2.8%,漏检率0.0%,证明采用ID3决策树进行木马动态检测是可行的。
1ID3决策树
1.1ID3算法与木马动态检测
ID3算法的优点是实现简单,判定速度快。ID3算法的缺点主要是倾向于取值较多的属性,对噪声敏感[5]。但在本文的木马动态检测中,所有的判定属性均只有两个值:0和1;另外,木马文件跟正常文件相比,会出现正常文件所不会有的行为特点,即“噪声”,ID3算法对噪声敏感的特性有利于木马的检测。
选择使用行为分析进行木马动态检测是为了从根本上判断出文件是否合法。根据文件运行时的行为进行判断更有说服力。
将ID3算法与行为分析相结合就是为了能够快速、准确地进行木马动态检测。
1.2ID3决策树生成公式
下面介绍ID3算法公式的定义[6-7]。
定义1:若有n个消息,其给定的概率分布为p=(p1,…,pn),则该分布传递的信息量称为p的熵,记为
定义4:信息增益度的公式为:
Gain(X,T)=Info(T)-Info(X,T) (3)
1.3ID3决策树生成算法
通过学习ID3算法[8-9],现给出ID3决策树的生成算法。
算法:Generate_decision_tree(samples, attribute)。由给定的训练数据产生一棵判定树。
输入:训练样本samples,离散值;候选属性的集合attribute_list。
输出:一棵决策树。
算法伪代码:
Generate_decision_tree(samples, attribute_list)
(1)创建结点 N;
(2)ifsamples 都在同一个类C
thenreturn N 作为叶结点,以类C 标记;
endif
(3)ifattribute_list 为空
thenreturn N 作为叶结点,标记为 samples 中最普通的类;
else
(4)选择attribute_list 中具有最高信息增益的属性best_attr-ibute;
(5)标记结点 N 为best_attribute;
endif
(6)forbest_attribute 的每个属性值aiDo
(7)由结点 N 长出一个条件为 best_attribute = ai 的分枝;
(8)设si 是samples 中best_attribute =ai 的样本的集合;
(9)ifsi 中样本为同一类
then加上一个树叶,标记为 si中样本的类;
(10)else
加上一个由 Generate_decision_tree(si,attribute_list-best_attribute)返回的结点;
endif
endfor
2基于ID3决策树的木马动态检测系统的实现
2.1ID3算法训练数据的获取
本文主要研究Windows系统下的木马动态检测。所提到的木马文件均由国家互联网应急中心提供,类型有文本,文档,图片,音频文件,视频文件和邮件等,这些文件均嵌有不同类型的木马程序。
ID3决策树的建立需要训练样本和候选属性。本文中,将含有木马文件和正常文件作为训练样本,候选属性则是指样本运行时调用的API集合。
利用微软公司提供的开源Detours库对底层API进行拦截,就可以获知哪些API被调用,哪些API没有被调用,被拦截的API集合就是程序运行时的行为属性集合。为了便于利用样本运行后的行为数据计算出决策树的决策属性节点,用0和1代表API是否被调用:0代表没有调用,1代表被调用。样本运行前,所有被设置拦截的API都对应0;样本运行后,被拦截到的API对应的数值变成1。如100101代表API1、API4和API6被调用,API2、API3和API5没有被调用。
训练样本是有类别标识的,将所有样本文件运行结束后,就得到了建立决策树所需要的训练数据。
ID3算法需要的候选属性即所有被调用的API,这些属性均只有两个值:0和1。
2.2ID3决策树的建立
本文中,使用了300个木马文件,300个正常文件作为训练样本。设置拦截的API分为文件操作、网络通信、注册表操作、系统服务操作和进程线程操作五部分。
编程实现ID3算法,将样本文件运行后得到的训练数据经ID3算法的计算后,得到了有决定性意义的API,建立的决策树如下图1所示。
说明:单线箭头表示该API被调用,双线箭头表示该API未被调用。
尽管在使用Detours库时设置了对25个API的拦截(CopyFile、DeleteFile、MoveFile、CreateFile、WriteFile、Create-Process、CreateThread、TerminateProcess、RegSetValue、RegCr-eateKey、RegReplaceKey、ExitWindowsEx、ChangeSeric-eConfig、ClearEventLog、CreateService、DeleteService、socket、bind、send、sendto、connect、listen、recv、recvfrom、accept), 但由于每种API都不是独立出现的,如可能bind、connect和socket同时出现,RegSetValue、RegCreateKey和DeleteFile同时出现,CreateProcess和CreateThread同时出现,所以并不是所有的API在最终的决策树中都作为判定过程的一部分而出现。
2.3ID3决策树判定规则的应用
本文中,木马动态检测系统的判定规则就是图1中的决策树。通过Detours库对底层API进行拦截,拦截后得到的API通过该决策树的规则进行判定。
如:一个文件调用的API有Socket、CreateFile、WriteFile、 RegSetValue和RegCreateKey,判定过程就是:
第一步:DeleteFile为0,到Socket;
第二步:Socket为1,判定该文件是木马文件。
结束。
3基于ID3决策树的木马动态检测系统的测试
及结果
为了获得该决策树的性能,进行了测试,测试文件没有参加决策树的建立。参加测试的有250个木马文件,250个正常文件。木马文件的类型如2.1节所述。
测试环境是样本文件和木马动态检测程序。测试过程如下:检测程序依次自动运行样本文件,获得样本调用的API集合,将API集合利用决策树的判定规则进行判定。由于测试样本的类型是已知的,将判定结果与已知的样本类型进行比对,就可以得知判定结果是否正确。测试结果如表1所示。
虽然该决策树的准确率比较高,但也存在错检问题。分析错检原因主要有两个。一个原因是对于压缩包文件,打开时会调用CreateFile、WriteFile和DeleteFile,就导致了正常的压缩包文件被判定为了木马文件;另一个原因可能在于ID3算法是一种单变量决策树算法,忽略了属性间的相互联系[9]。另外还可能用于建立决策树的训练样本的种类不是足够多,可以使用更多种类的木马文件进行训练以得到更完善的决策树。
4结束语
本文总结了常用的木马检测方法的弊端,提出了行为分析与数据挖掘中的ID3决策树相结合的动态检测方法。首先得到包含木马文件和正常文件的训练样本的行为数据;编码实现了ID3算法;通过ID3算法对行为数据进行计算,得到了用于木马动态检测的决策树;将该决策树的判定规则嵌入到木马动态检测系统中,对未知的程序进行动态判定。最后,为了验证该决策树的判定能力,进行了验证测试。测试结果表明该决策树能有效地检测到木马文件。
下一步的研究重点是考虑各属性间的关联性,尽可能地减少相关度小的候选属性;收集更多的木马样本来进行决策树的训练和建立,进一步完善决策树。
参考文献:
[1] 陈桂清,伍乃骐,滕少华. 通过进程监视检测木马攻击[J]. 计算 机应用,2003,23(ll):130-133.
[2] 李伟斌,王华勇,罗平. 通过注册表监控实现木马检测[J]. 计算 机工程与设计,2006,27(l2):2220-2222.
[3] 戴敏,黄亚楼,王维. 基于文件静态信息的木马检测[J]. 计算机 工程,2006,32(6):198-200.
[4] 齐琪. 基于内存完整性的木马检测[D]. 武汉:华中科技大学,2006.
[5] 栾丽华,吉根林. 决策树分类技术研究[J]. 计算机工程,2004, 30(9):94-97.
[6] 黄晓芳. 数据挖掘中决策树算法及其应用[J]. 网络信息技术, 2005,24(2):36.
[7] 张维东,张凯,董青,等. 利用决策树进行数据挖掘中的信息熵 计算[J]. 计算机工程,27(3):71-72.
木马检测范文2
【关键词】水工工程;软基处理;监测;测试;分析
中图分类号: TU471.8文献标识码:A 文章编号:
在该项目中,工程内容主要有港池护岸、波堤、内护岸、栈桥、北防洪堤以及南防洪堤等。其中北防洪堤、栈桥以及南防洪堤等相关内容主要以预应力管桩作为基础,由于港池护岸的场地环境存在较厚的淤泥层,因此需要采用塑料排水板以及堆载处理,整一块软基处理面积的大小为10450平方米。
其中对该项目的检测测试主要包括了陆地回填和软土地基的处理以及水工构筑两年期位移和沉降观测两个内容,其中陆地回填和软土地基的处理主要包括了表面的沉降、水位、加固前后钻孔取土、载荷试验、十字板剪切、空隙水压力、深层位移以及水平位移;而水工构筑两年期位移和沉降观测则包括了防波提、提升机承台、港池护岸以及内护岸的观测。该项目的监测以及测试分析如下:
1 岩土工程监测
1.1 监测工期
该项目的陆地回填以及软土地基处理监测以及测试工作,主要开始于2011年5月2日,结束时间为2011年11月6日。两年期水工构筑物包括了防洪堤、提升机承台、港池护岸以及内护岸的观测工作开始于2011年9月20日,结束时间为2012年6月2日。
1.2 表层沉降监测结果
结合监测工作的相关方案和计划,并根据现场的实际情况,选择与施工过程不存在影响的区域范围进行沉降基准点的埋设,数量为3个,将其设为BM1、BM2以及BM3。假设BM1的高程为5米,并将其作为以基准点和监测点的高程测定为目的起算点。
场地存在有8个水准仪以及沉降盘,到2011年11月份为止,一共进行了111次的测试,结果显示最大沉降量为0.878米,最后一次测量显示沉降速度为每天0.003米。对监测曲线进行分析,可见,在填土堆载的刚开始阶段,因为机械以及局部填土堆积过高的原因,导致一些监测点存在沉降过大的情况;而在填筑预压的过程中,沉降曲线转折,并显著下沉,满载后曲线趋向于平缓状态。曲线如下图所示:
1.3 孔隙水压力监测结果
在对孔隙水压力进行监测的过程中,主要采用振弦式孔隙水压力计进行监测,在插板之前,将其埋设在软土层沿铅垂方向不同的位置,从而对于孔隙水压力进行测试。其中随着填砂厚度的不断增加,有两个孔的孔隙水压力也开始相应增大,当所有孔位区域处在加载后期的最大值使,孔隙水压力值将会小幅度下降,最终收敛。详细曲线如下图所示:
1.4 水位监测结果
将孔隙水压力计埋设后,将水位观测管进行布设,在插板以及堆载期间需要保持每隔24小时进行一次观测。当其满载后,则需要每隔48小时进行一次观测,并对观测的日期以及时间进行统计和记录。
根据该项目的监测结果显示,其中累加的最大位移量为-1596.5毫米,最后一次监测结果显示变化量是+4.0毫米,+号表示水位上升。在对软土地基进行处理的过程中,地下水位逐渐下降。如下图所示:
1.5 水平位移监测结果
结合监测方案的设计情况以及现场的实际情况,对水平位移基准点进行埋设,埋设区域需要保证不会受到施工影响,然后进行水平位移监测。在观测过程中,需要采用检验合格的全站仪进行观测,并使用极坐标对其进行分析,并对数据进行处理和分析。
根据该项目的监测结果显示,其中累加的最大位移量为-23.66毫米,最后一次的检测结果显示,位移速度为每天-0.52毫米,负号表示向堆载区域外进行移动。堆载区的水平位移在加载量增加的基础上相应增加,向堆载区外的位移量逐渐加大。
1.6 深层位移监测结果
采用埋设测斜管的方式对深层位移进行监测,测斜管在第二级堆载施工之前开始进行初始数据读取,在堆载期间,每隔24小时进行一次监测,满载一个月后则变更为每隔48小时进行一次监测,监测误差需要控制在1毫米以下。监测结果显示,累加的最大位移量为+155.0毫米。在堆载区,加载量的增加,测斜管向堆载区外位移量也加大。
1.7 十字板剪切试验
十字板的剪切试验过程中,对软土层进行每隔1米需要进程一次试验,使用原状土的Cu指标,十字板剪切试验的位置和深度在加固前后需要保持一致,从而有利于进行对比和分析。
经过对淤泥层堆载预压前后进行十字板剪切试验,表明了原状土在抗剪强度上比堆载预压之前较好,预压效果显著。
2 岩土工程测试
2.1 测试目的
对软土地基的处理亲后进行钻孔取土,并将其进行土工试验,从而对其物理指标以及力学指标进行确定,并对软土处理效果进行分析。
2.2 测试方法
加固前后进行取土,并将其进行土工试验,加固前后的取土位置需要对应,从而有利于分析,终孔深度为淤泥层以上粘土层两米,每一个2米进行一次土样获取。试验的主要内容包括了物质指标中的粘性土的天然含水量W、天然重度γ、液限等以及砂土的相对密度Gs、颗粒组成D、自然休止角等;力学指标则包括了固结试验的压缩系数,竖向和水平固结系数Cv和Ch,压缩模量以及压缩指数等。
2.3 试验完成情况以及资料整理结果
经过两次的取样和土工试验,并对加固前后的指标进行比较,过程中加固前后共有4个试验孔,详细数据如下表所示:
2.4 载荷试验
经过现场检测表明,最大试验荷载与最大试验压力和承压板面积的乘积相等,最大的试验压力需要为地基承载力特征值的2倍,此次检测的最大试验荷载为120kN。在正是试验前需要进行预压,取最大试验荷载的8%,预压后卸载为0,将百分表读数作为初始值。采用逐级等量加载的方法进行试验。每一级施加荷载的5、15、30、45和60分钟进行沉降量测量,之后每隔半小时进行一次。卸载过程采用逐级等量卸载。卸载过程中每级荷载需要维持在半小时,并对5、15、30分钟进行沉降量测量,卸载至0时测量一次,2小时后再测量一次。
2.5 水工建筑两年期水平位移以及沉降的观测结果
监测数据显示最大累加位移量为+10.1毫米,最后一次变化量为+2.5毫米,最大累加沉降量为-36.03毫米,最后一次沉降量为+9.18毫米。
2.6 软土层固结度的计算
公式如下:
其中为地基土的最终沉降量,S1-S3为地基满载后t1-t3的沉降量。
2.7 监测精度的统计和质量评价
闭合环线中的测站高差中误差公式如下:
计算显示表面沉降监测闭合环形的测站高差中误差为±0.247毫米,水工构筑物沉降观测闭合环线的测站高差中误差为±0.182毫米。均满足±0.50毫米的要求。
极坐标点位中误差估算公式如下:
结果显示点位测量误差为±1.5毫米,因测站以及目标对中误差各0.2毫米,点位观测精度有效控制在了±1.9毫米之内,坐标测量精度控制在了±1.4毫米之内。测量精度满足±3.0毫米的要求。
参考文献:
[1]王伟.重庆融侨大道双层螺旋桥模板支撑体系的地基处理[J].建筑施工,2010,1(8):11-13.
[2]关丽,范炳娟.道路软土地基处理方法分析[J].辽宁省交通高等专科学校学报,2006,2(1):23-24.
[3]刘宏.浅谈动力排水固结法处理沿海地区码头软弱地基技术[J].科技传播,2011,3(12):54-55.
木马检测范文3
关键词: 木马 端口 自启动 共性
特洛伊木马,简称木马,是指这样一种计算机程序:它们通常伪装成一个正常的程序进入用户的计算机中,并以欺骗的方式诱使用户运行,然后潜伏在被入侵的计算机中,窃取敏感资料,伺机将窃取的资料发送给木马客户端持有者,或控制被入侵的计算机。一台机器如果被植入了木马程序,其损失是无法估量的。
1 当前木马的概况
随着互联网技术的迅猛发展,网络安全问题正日渐凸显,单纯破坏计算机的病毒时代已经一去不复返了,取而代之的是更多具有非法谋利特征的木马病毒。木马病毒不但会破坏用户的计算机和数据,它们更多的是窃取用户机器中的敏感资料,在为木马的控制者非法谋利的同时,给用户造成更大的伤害。
1.1木马病毒的特点及危害
木马病毒的两个显著特点是窃取内容和远程控制。就是说,木马具有远程控制计算机系统以及捕获用户的屏幕、每一次击键、用户资料等的能力,这意味着木马能够轻松地窃取用户的密码、网络通讯记录、存储在计算机中的个人材料等信息。如果计算机上有麦克风,木马还可以进行窃听,如果计算机上连有摄像头,木马还可以把它打开进行视频监视。木马病毒不但威胁着用户的计算机,更加严重地威胁着用户的隐私,所以其危害程度远远超过其它的普通病毒。
1.2 木马的发展趋势
随着网络安全技术的不断提高,木马也在向更高的级别发展。以前的木马技术因为其植入方式明显、隐蔽性差等缺点,已经逐步失去了生存的空间。为了使木马躲过杀毒软件的查杀和防火墙,更进一步发挥木马的侵害性,木马高手们针对其弱点进行了多方探索和改进。在传播方式上,通过关联、QQ聊天、邮件附件、Flash点播、视频点播等多种方式诱骗用户点击下载木马服务器端;在木马的隐蔽性上也在大做文章:不产生图标,隐藏在系统文件夹中,无声息地启动,伪装成系统进程或DLL文件,甚至采用线性技术将木马服务以线程的方式运行在一个合法进程中间等方法,使得木马的检测难度大大增加。
2 木马的特征
木马的发展已有多年,种类有上万种之多,但是木马的主要目的是相似的,都是为了远程控制和窃取资料,因而它们存在着很多的共性,总结起来有以下几个:
2.1 隐蔽性
隐蔽性是木马的首要特征。木马程序的目的决定了它们必须长时间悄悄地运行于被入侵的主机中不被发现。木马的隐蔽性主要体现在以下几个方面:一、不在系统中产生任何提示性的图标;二、将自身文件隐藏在系统文件夹中,并命名成与系统文件极相似的名字;三、悄无声息地启动,并在任务管理器中隐形或直接以线程方式注入到系统进程中;四、伪装成DLL文件或驱动程序。
2.2 自动运行性
木马为了能长期控制入侵主机,随时窃取资料,一般会通过修改注册表或系统配置文件的方式使被入侵主机在重新启动后能自动加载木马程序。最常用的方法是潜入到系统配置文件中,随系统启动一起启动。
2.3 网络通信
木马为了远程控制被入侵主机或窃取资料后要将其传递到控制者手中,就必须要通过网络通信才能完成。
2.4 欺骗性
只有通过各种欺骗手段,木马的控制者才能将木马成功地值入被入侵主机中,并使用户运行木马客户端。例如:把木马服务器与多媒体文件捆绑或添加到网页超链接上。
一个成功的木马程序必须具备上述四个特征,缺一不可。因此,我们可以利用上述的任何一个特征来防范木马的入侵。一旦阻止了木马的上述特征中的某一个的实现,就可以成功阻止木马的入侵。
3 利用木马的共性防范木马
3.1 特征码检测技术
特征码检测技术是目前木马检测所采用的主要技术,即将木马看做是一种特殊的病毒,提取木马样本的特征码,放到病毒库中,当查毒时,如果扫描到文件与特征码符合,则断定其是木马程序。特征码检测技术对于已知病毒、木马等恶意代码非常有效,且检测速度快,因此现在在杀毒软件中被广泛使用。但是特征码技术也存在一个先天的缺陷,就是对出现的新特征病毒无能为力。
3.2 利用木马的自启动特征监控木马
自动运行性是木马的一个重要特性,是每一个木马所必须具备的。此方法正是利用了木马的这一共有特征来进行检测。只要从底层对系统启动文件夹和系统配置文件夹及注册表中与自启动相关的目录进行监控,就是可监控木马的入侵。这种方法不仅能够检测已知的木马程序,还可以检测新出现的木马。
4 防范木马的几点建议
4.1 不要轻易相信从任何地方得来的任何文件,打开前一定做好彻底的防毒检查。
4.2 要经常对操作系统的安全漏洞进行修补和更新,对严重的安全漏洞一定要及时修补。
4.3 安装新版正版杀毒软件和防火墙,并坚持每天升级。
4.4 上网时注意系统所使用的端口,对1024以上的端口要密切关注。
4.5 存放敏感信息的计算机发现运行情况不对时,要立即断开网络连接,然后进行木马的查杀。
5 小结
本文总结了木马所必须具备的四个共性,只要能够监控好其中任何一个特性,都可以阻止木马程序的入侵。下一步的工作是综合木马的这些特性,来进一步研究识别木马的技术,让这些害人之马无处藏身。
参考文献:
木马检测范文4
关键词:网络监听;网络攻击;通信隐藏;防火墙
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
Trojan Attack Analysis and Response
Tang Yi
(Suzhou University of Science and Technology,Suzhou215009,China)
Abstract:This paper analyzes Trojan horse attacks,Trojan horse attacks are described details the main technology,and then launched a discussion of their responses,given the idea of testing procedures.
Keywords:Network monitoring;Network attacks;Communication hidden;Firewall
一、引言
据公安部一份调查报道显示,我国近几年的计算机用户感染病毒、木马的比例连续多年都在80%以上。特洛伊木马(Trojan horse,简称木马)来源于古希腊神话,Dan Edwards将这一名称引入计算机领域。木马和病毒、蠕虫之类的恶意程序一样,具有很大的危险与破坏性。能够删除或修改文件、上传和下载文件、盗用客户信息等。这些年伴随着木马在通信隐藏、程序隐藏等方面的不断发展,对付其越来越具有了难度。本文针对木马及其一般攻击的方式进行分析,并且探讨应对措施。
二、典型的木马攻击方式
木马的攻击方式,在本文主要是知其如何地进行感染与渗透,并且进行自身的隐藏,以及进行资料的搜集或者破坏等活动。木马其攻击过程的一个典型过程如下:当服务器端在目标计算机上被执行后,这时木马程序开启默认的端口从而实现监听,而在客户机给服务器的程序发出链接请求要求时,就进行响应:有关程序开始运行实现对答客户机的应答,这样就建立了服务器端程序跟客户端之间的连接。建立链接以后,指令从客户端来发出,而服务器中则进行指令的分析与执行,并将数据传送到客户端,以达到控制主机的目的。
三、木马攻击方式重要技术分析
(一)目标的感染与植入
向目标主机成功植入木马是木马成功运行、发挥作用的前提。这一过程通常包含伪装、捆绑、漏洞利用等一切可能利用的技术手段。这个过程主要有:1.脚本种植技术。利用网页木马,网页木马就是当用户浏览某网页时,自动下载并运行某“木马”程序。2.利用脚本方式植入。通过ScriPt、Activex及AsP、cGI交互脚本的方式植入。3.利用系统漏洞植入。利用系统的其他一些漏洞进行植入。4.远程安装。通过一定的方法把木马执行文件传送到目标主机的电脑里再进行远程安装。
(二)自动加载
在自动加载过程,本身也是一个隐藏着的行为。这需要在操作系统启动的时候同步地启动自身,以此达到让木马在宿主机中自动运行的目的。常见的木马启动方式有:启动项加入注册表;win.ini和System.ini中的load节中添加启动项;Autoexe.bat中添加;修改Boot.ini的配置;修改Explorer.exe参数等等。
(三)进程隐藏以及文件隐藏
早期的木马进程的隐藏采取的措施比较简单,Windows9x系统要实现进程的隐藏可以通过把木马程序注册为服务的方式来达到。在Windows Nt/2000下,有些进程名字改得和系统进程非常相似,迷惑使用的人;也有的利用HOOK API技术修改函数的入口点欺骗列举本地进程的api函数;当然更好的是使用Rundll32.exe设计技术运行木马本身,这样在进程列表中显示出来的就是Rundll而非木马的可执行文件名,文件管理器中不能正确地列出木马的可执行文件。除了进程隐藏,还需要对静态文件的隐藏于保密,这里不赘述了。
总而言之,各怀鬼胎的木马通过以上隐秘的方式,实现了对计算机的攻击。
四、木马防范及应对
(一)意识层面
提高警惕,养成良好的习惯。时刻关注电脑运行的情况,当出现异常情况时如:系统自行运行文件、系统变慢、网络流量异常等,要提高警惕,查杀系统。养成良好的上网习惯,不要上一些有问题的网站,不要随意下载免费软件,不要随意打开邮件附件。
(二)技术层面
1.系统漏洞补丁的更新,及时为系统打上最新补丁。2.利用一些专杀工具。由于木马专杀工具往往对特点木马有非常好的效果,可以考虑周期性的进行应用。3.使用防火墙或者系统自带的功能如IP安全策略、端口筛选等,关闭系统特定端口,以阻断木马服务端与控制端的连接。
五、木马检测程序设计思路
对于一般使用者,可以积极采用4中所述的方法进行应对。对于更加专业的人员,可以根据木马的特点开发应对木马的工具。目前主要的木马检测方法都是对被人们已经发现的木马程序在在植入系统过程中及在系统中运行时的这些静态特征进行分析,提取出这些静态特征,构建木马的静态特征库,从而进行静态特征检测。但是这种方法强烈依赖于对木马的各种隐蔽和变化特征的深刻了解,所以检测能力不足,对未知的木马更是无能为力、有根本性的缺陷,更好的方法是应用对动态行为监测之方法。考虑到木马行为的隐蔽性和目的的恶意性,从这两点区别入手,用动态的方法控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,对木马进行检测和防范。当然,也可以从动静两方面结合来进行木马的监测与阻隔。
这些行为的实施,更加有赖于对木马攻击方式的了解,要看到木马技术一直处于发展与升级的过程中,所以应对它也决不能丧失警惕,需要不断发现其攻击方式的新技术、新特征,从而提出更好的应对方法。
参考文献:
[1]周宗元,孔健行,武克南.线程插入技术的研究与防范[J].电脑知识与技术(学术交流),2007,17
[2]王战浩.木马攻击与防范技术研究[D].上海交通大学硕士学位论文,2007
木马检测范文5
关键词:网络安全;网络入侵;网络检测
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1822-03
Network Intrusion Detection Technology Analysis
REN Wei
(Shanghai Dianji University, Shanghai 200093, China)
Abstract: Intrusion Detection is a relatively new and rapidly developing field, has become the network security architecture is an important link. This article describes the invasion of the main network technology, combined with the existing network intrusion detection technology, based on analysis of the key features of intrusion detection techniques based on anomaly intrusion detection technology, the two discussed the merits of intrusion detection techniques and problems, as well as Network intrusion detection technology application.
Key words: network security; hacking; network testing
1 主要网络入侵技术分析
1.1 木马入侵分析
特洛伊木马是Trojan Horse的中译,是借自”木马屠城记”中那只木马的名字。现今计算机术语借用其名,意思是”一经进入,后患无穷”。特洛伊木马原则上它和Laplink等程序一样,只是一种远程管理工具。而且本身不带伤害性,也没有感染力,但是却给入侵者提供了对主机的完全控制的权限,可以为所欲为。特洛伊木马驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。其实质只是一个通过端口进行通信的网络客户机用及务程序。对于特洛伊木马,被控制端就成为一台服务器,控制端则是一台客户机。木马程序的服务器端,为了避免被发现,多数都要进行隐藏处理,隐藏技术目前可分两种一种是作为服务和作为线程融入内核把木马服务器端的程序注册为一个服务,这样木马就会从任务列表中消失了另一种是木马作为一个线程,一个其它应用程序的线程,把自身注入其它应用程序的地址空间,增加查杀的难度。黑客还是用种种手段躲避了这种侦察,一种是合并端口法,使用特殊的手段,在一个端口上同时绑定两个TCP或者UDP连接,目前出现了使用类似方法的程序,通过把自己的木马端口绑定于特定的服务端口之上(比如80端口的http)从而达到隐藏端口的目地另外一种办法是使用ICMP协议进行数据的发送,原理是修改ICMP头的构造,加入木马的控制字段,这样的木马具备很多新的特点,不占用端口的特点,使用户难以发觉,同时使用ICMP可以穿透一些防火墙,从而增加了防范的难度。之所以具有这种特点,是因为ICMP不同于TCP,UDP,ICMP工作于网络的应用层不使用TCP协议。
当木马入侵成功时,会在主机上产生一些入侵特征。对木马入侵的分析,主要从以下几个特征入手:
1) 主机注册表的改动,一般的木马都会在主机的注册表中写入特定的信息。
2) 特定文件的出现,不同的木马程序在文件系统中会存在相应的特征文件。
3) 系统中新增服务的监测。
4) 系统中系统文件的修改信息新文件,或者文件修改的日期,大小变化等。
5) 陌生端口的开放。
6) 对开放端口的监听进程的变更信息。
7) 异常连接的出现。
8) 主机网络流量的异常。
9) 进程列表中的可疑进程。
10) 基于特定进程的CPU高达100%的情况,可能是木马在进行网络搜索。
1.2 Worm入侵分析
蠕虫自病毒是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性,同时具有自己的一些特征,如不利用文件寄生,对网络造成拒绝服务,以及和黑客技术相结合。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫病毒可以在短短的时间内蔓延整个网络,造成网络瘫痪。蠕虫在实质上是一个执行自动入侵过程的工具,其传播过程分为扫描,由蠕虫的扫描功能模块负责探测存在漏洞的主机攻击,攻击模块对找到的漏洞进行攻击,取得该主机的权限复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
当网络中发生蠕虫病毒攻击时,其主要的特征信息表现如下:
1) 主机文件系统中,特定文件被修改或者添加,修改内容包括文件的大小,最后修改时间。
2) 主机注册表发生变动,有新添加的内容。
3) 基于被怀疑主机对外进行扫描,产生大量的数据流量。
4) 被怀疑主机对不同的陌生主机产生大量异常连接。
5) 在一段时间内,被怀疑主机大量发送。
6) 被怀疑主机新增可疑进程。
7) 主机对陌生网站进行的访问或者下载操作等活动。
8) 在被怀疑的主机发出的邮件中含有特定的关键词。
9) 被怀疑感染的主机在特定的端口产生一个连接。
1.3 DOS攻击分析
拒绝服务攻击是目前黑客广泛使用的一种攻击手段,利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,从而导致宕机或网络瘫痪。分布式拒绝服务DDOS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。DDOS就是利用更多的傀儡机来发起进攻,以创造比从前更大的规模来进攻受害者。DOS攻击按原理分为两类一类是协议攻击,协议攻击是指黑客利用某个网络协议设计上的弱点或执行上的bug消耗大量资源,例如DNSDOS,SYN和LAND攻击,Ping of Death,碎片,Ping storm或者ICMP Flood,Smurf攻击,UDP Bomb或者flood,UDP Snork攻击等;另一类是暴力攻击,暴力攻击是黑客使用大量正常的联机消耗被害目标的资源,由于黑客会准备多台主机发起攻击目标,只要单位时间内攻击方发出的网络流量高于目标所能处理速度,即可消耗掉目标的处理能力,而使正常的使用者无法使用服务。
DOS攻击的特征主要表现为:
1) 一段时间内发往某主机或从主机发出的数据流量异常。
2) 特定类型的数据流量或者端口流量异常增加。
3) 发往特定主机的数据流量产生数次大的起伏。
4) 被攻击主机上有大量等待的连接。
5) 网络中充斥着大量的无用的数据包。
2 网络入侵检测技术
2.1 网络入侵检侧技术分类
按照判断入侵的方法分类,目前入侵检测主要还是分为基于特征的入侵检测技术与基于异常的入侵检测技术。
1) 基于异常的入侵检测
基于异常的入侵检测,简称异常检测。它的基本假设是入侵活动具有不同于正常用户活动的特征,即入侵活动表现为异常。首先根据主体的历史活动记录,为每个主体建立正常活动的“活动简档”,将当前的主体活动与“活动简档”进行比较,如果差异大于某个预定义的值,就认为这是一次入侵。
基于异常的入侵检测技术优点在于异常检测只检测被认为是不正常的行为,所以它可在不知道很多安全知识的情况下检测出攻击;另外由于统计学技术的使用,异常检测可发现新的攻击模式,甚至可用于产生误用检测的攻击特征库。这种技术存在最明显的缺点是因为用户和网络的行为变化很复杂,异常检测方法的误警率很高,另外异常检测方法需要大量和良好的训练数据,这个数据比较难得到。所以提高异常检测的准确度是一个很困难的工作,希望随着对网络行为有更深入的认识,异常检测技术可解决准确率不高的问题。
2) 基于特征的入侵检测
基于特征的入侵检测,简称特征检测。首先将已知的每种入侵方法都表示成一条入侵规则,将当前发生的活动与入侵规则集进行匹配,如果当前的活动与某条入侵规则匹配就认为是采用该种入侵方法发起的一次攻击。异常检测系统的优势在于能够发现未知的攻击,通过采用适当的自学习算法,
基于异常的入侵检测系统一旦建立,可以不必修改和更新。它的缺点是建立系统主体正常活动的“活动简档”和设置合适的临界值都比较困难、误警率高。特征检测系统的优点是准确率高,它的不足在于难以发现未知攻击,攻击模式库需要不断更新。
基于特征的入侵检测系统的优点在于它能够精确地确定攻击,相对于基于异常的系统来说,产生更少的误报(把正常的活动归类为恶意的)。这种系统容易实现,并且配置起来相对更简单,尤其对于大型网络更是如此。因而,几乎所有的商业系统和大多数正在使用的系统都采用基于特征的检测。尽管基于异常的系统提供了能够提前发现未知侵袭的优点,但是处理大量误报的花费使人们对它望而却步。因为异常检测方法难以实现,所以很少被采用所有的商业入侵检测系统都采用了某种形式的特征检测方法。
2.2 网络入侵检测技术的适用性
入侵监测系统的模式匹配即通过数据包的分析,并匹配自身的规则库,如果能够匹配就产生事件报警或者保留准备更多相关情况的分析,否则就丢弃。
模式匹配的类型有:
1) 协议匹配。通过协议分析模块,将数据包按照协议分析的结果对协议相应的部分进行检测。比如,TCP包的标志位,协议异常等。
2) 字符串匹配。目前,这是大多数IDS最主要的匹配方式,事件定义者根据某个攻击的数据包或者攻击的原因,提取其中的数据包字符串特征。通常IDS经过协议分析后,进行字符串的匹配。
3) 大小匹配,或者长度匹配。多数情况下,这也应该属于字符串匹配的一种,不过,这种匹配方式对数据包中某段数据的长度而不是对具体的字符串进行匹配。比如,通过数据长度限制来对缓冲区溢出攻击进行检测。
4) 累积匹配,或者量匹配。通过对某些事件出现的量来产生新的事件,比如某个IP在1分钟内报出100了条通用网关接口CGI事件,那么就属于一次扫描事件。
5) 逻辑匹配,或者是集合匹配。一些有更强事件检测能力的IDS,通过对不同类型的事件组合来进行判断,从而获得新的事件。少数IDS对多种事件的组合来构成逻辑推理,增强检测的智能,即关联。
虽然,入侵检测系统存在累计与简单的关联,但是缺乏综合分析多种安全设备发来的事件的能力。
入侵检测技术作为防火墙技术的重要补充,能对内部攻击、外部攻击和合法用户误操作进行实时检测,及时拦截和响应入侵。尽管目前基于入侵检测领域还有很多问题需要深入研究,但可以展望,基于入侵检测技术的发展将对信息的安全保护产生深远的影响。
参考文献:
[1] 韩德志,谢长生.一种高性能防火墙系统的设计与实现[J].计算机应用,2002(7):32-35.
木马检测范文6
关键词:机理;网络安全;特洛伊木马;端口
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)23-911-02
The Attack and Protection of TrojanHorse
WANG Fu-qiang1, CHEN Yan2, REN Zhi-kao1
(1.Qingdao University of Science and Technology, the College of Information Science and Technology, Qingdao 266061, China ;2.The 2nd Vocational Middle School of Baoding City of Hebei Province, Baoding 071000, China)
Abstract: Have defined TrojanHorse and have set forth whose reason, have come true using the VC Winsock control to compile and compose the network customer/ serving pattern procedure, the mechanism having discussed the TrojanHorse job, has analysed whose principal character , has moved and detecting and the software while you're at it checking the method weakening bilayer protecting damage must take TrojanHorse seriously as TrojanHorse method having made investigation and discussion , having suggested that need to defend the consumer information and the network safety reinforcing protection thereby.
Key words: Mechanism; Network Security; TrojanHorse; Port
1 引言
“特洛伊木马”也称trojanHorse,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户系统被破坏、信息丢失甚至系统瘫痪。
“特洛伊木马”的本质是一个程序,自动获取计算机相关系统信息和安全信息的程序,随计算机自动启动而启动,附在某一端口侦听目标计算机。其实质只是一个通过端口进行通信的网络客户/服务程序。
2 实现原理与控制原理
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。对于“特洛伊木马”,被控制端是一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_cliet.exe是客户端应用程序。
2.1 实现原理
可以VC的Winsock控件来编写网络客户/服务程序, 实现如下:
服务器端: G_Server.LocalPort=7626(冰河的默认端口,可修改);G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
(在这里分配一个本地端口给G_Client,也可让计算机自动分配)
G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close(关闭连接)
G_Server.Listen (再次监听)
End Sub
客户端上传一个命令,服务端解释并执行命令。
2.2 控制原理
以用户权限运行的木马程序主要功能进行简单的概述, 主要使用Windows API函数。
1)远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event模拟一个键盘动作;mouse_event模拟一次鼠标事件 ;mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags; MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置 ……
2)记录各种口令信息
keylog begin:将击键记录在一个文本文件里,同时还记录执行输入的窗口名
3)获取系统信息
(a) 取得计算机名 GetComputerName ;(b) 更改计算机名 SetComputerName
(c) 当前用户 GetUserName ;(d) 系统路径
Set FileSystem0bject = CreateObject("Scripting。FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject。getspecialfolder(1)(取系统目录) ……
4)限制系统功能
(a) 远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程,然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源
(b) 让对方掉线 RasHangUp
(c) 终止进程 ExitProcess
5)远程文件操作 :删除文件(File delete);拷贝文件(File copy);共享文件:Export list(列出当前共享的驱动器、目录、权限及共享密码)
6)注册表操作:
在VB中设置Set RegEdit=CreateObject ("WScript.Shell"),开放以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
TrojanHorse控制某些端口或链接某个端口,如20端口,21端口和80端口……,TrojanHorse通过远程控制、发送密码、记录键盘甚至发动Dos攻击等对源机实施泄漏、盗取账号和密码等破坏行为,故要引起高度重视,有效预防。
3 危害与基本特征
“特洛伊木马”程序一般分为服务器端程序和客户端程序两个部分,以寻找后门、窃取密码为主。 “特洛伊木马”通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
隐蔽性:“特洛伊木马”隐藏在系统中,通过修改注册表和ini文件依附在其他程序中,下一次启动后仍能载入木马程序(或者有把服务器端和正常程序通过exe-binder绑定程式完成入侵,甚至把自身的.exe文件和服务器端的图片文件绑定)等等。
自动运行性:当系统启动时即自动运行,潜入在相关系统启动文件中如win.ini、system.ini、winstart.bat以及启动组等。
欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名,如“dll\win\sys\explorer等字样,仿制一些不易被人区别的文件名,甚者借用系统文件中已有的文件名,另行保存或者设置ZIP文件式图标等等实现对机器和管理员的欺骗。
具备自动恢复功能:“特洛伊木马”功能模块不再是由单一的文件组成,而是具有多重备份,可相互恢复。
能自动打开特别的端口:“特洛伊木马”的目的是为了获取系统中有用的信息,一旦与远端客户通讯,“特洛伊木马”就会记录关键信息造成外泄。
功能的特殊性:“特洛伊木马”具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能特殊性。
如今为了防备被跟踪追查,“特洛伊木马”一般采用只有服务器端的“小”木马:把系统关键信息如密码等发到一个邮箱里,通过后续步骤完成对系统的控制,为此需要手动和软件查杀双层防护。
4 防护方法
1)软件查杀:现在对病毒的查杀,习惯于软件查杀,常用的反“特洛伊木马”软件有瑞星杀毒软件、木马克星、360安全卫士等它们对“特洛伊木马”都有一定的防护功能和查杀功能。建议:在使用杀毒软件查杀“特洛伊木马”时,一要保持杀毒软件的及时升级和更新,二要在断开网络在安全模式下完成查杀。
2)手动检测:根据“特洛伊木马”的特征,在注册表,文件名和端口以及进程等方面可以进行手动检测:
查找“特洛伊木马”特定文件 : “特洛伊木马”的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,删除了这两个文件,就等于关闭了“特洛伊木马”。
检查注册表 :“特洛伊木马”可以通过注册表启动(大部分的“特洛伊木马”都是通过注册表启动的),故通过检查注册表搜索注册表的蛛丝马迹。
端口扫描与查看连接: 扫描程序尝试连接某个端口或某个连接, 如果成功, 则说明端口(连接)开放;如果失败或超过某个特定的时间(超时), 则说明端口(连接)关闭。
Windows的“系统文件检查器”:对于驱动程序/动态链接库木马,通过Windows的“系统文件检查器”,“开始”“程序”“附件”“系统工具”“系统信息”“工具”“运行”“系统文件检查器”检测操作系统文件的完整性。如果这些文件损坏,检查器将其还原,甚至完成从安装盘中解压缩已压缩的文件(如驱动程序等)。如果驱动程序或动态链接库在没有升级的情况下被改动了,就有可能是“特洛伊木马” (或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。
任务管理器:通过查看空闲下性能状态:CPU和内存的使用率以及进程的开放量,检测是否多占用或超运作,完成检测。
5 结束语
随着信息技术的发展,“特洛伊木马”的变种也在日新月异,对系统造成的危害也在进一步加大,需要防患于未然。但只要在使用系统过程中,访问安全网站,对不信任的ActiveX控件不做连接尝试,并升级杀毒软件,使用正确的软件查杀,并定期进行手动检测,相信“特洛伊木马”必将无所遁形,用户信息的安全必将得到维护,系统的稳定性也必将得到保证。
参考文献:
[1] 闫峰,刘淑芬.基于逃避行为检测的特洛伊木马技术研究[J].吉林大学学报(信息科学版),2007,25(6):641-645.
[2] 匡立人,杨宇.“木马”原理及其VB简单实现分析[J].现代商贸工业,2007,(12):259-260.
[3] 张新宇,卿斯汉,马恒太,等.特洛伊木马隐藏技术研究[J].通信学报,2004,25(7):153-159.
[4] 林小进,钱江.特洛伊木马隐藏技术研究[J].微计算机信息,2007,(33):59-60.
[5] 张颖卓.特洛伊木马分析与防范[J].现代计算机(下半月版),2007,(11):79-80.