基於網路活動分析的竊密木馬檢測技術研究

在網路安全領域中，利用竊密木馬進行各類信息竊取的現象愈發嚴重，為解決這一問題，出現了很多有針對性的解決方法，其中大量的工作是針對數據內容本身的識別和標記，對竊密軟體特徵碼的檢測也占到了較大的比例。雖然這些方法能夠取得較高的檢測準確率，但是它們無法應對加密、加殼技術的出現，同時還需要維護一個不斷增大的樣本庫。.針對上述問題，本項目擬結合當前網路竊密手段的主流趨勢，從應對加密混淆技術、降低計算開銷和減少防護系統維護成本等方面出發，對網路竊密行為的檢測技術展開研究。本項目提出了一種新的基於NetFlow記錄檔案的網路竊密行為檢測方法，以此為基礎，研究一種基於IP對通信會話的遠控型木馬網路行為檢測方法，同時對對HTTP 隧道檢測和木馬 C&C 通信檢測提出基於TCP連線的竊密軟體通信傳輸行為的檢測方法，最終實現一個計算開銷較小，防護系統維護成本較低的檢測系統。

在網路安全領域中，利用竊密木馬進行各類信息竊取的現象愈發嚴重，為解決這一問題，出現了很多有針對性的解決方法，繼基於特徵碼的靜態檢測和基於主機行為的動態檢測之後，基於網路流量行為的動態檢測成為新的研究熱點。本項目結合當前網路竊密手段的主流趨勢，從應對加密混淆技術、降低計算開銷和減少防護系統維護成本等方面出發，對木馬檢測技術展開研究。具體從流量數據採集方法的研究、基於會話過程特徵的木馬檢測方法的研究、其他類型木馬的檢測方法探索三個方面展開研究，並取得以下成果：（1）流量數據採集方法的研究 針對目前在獲取流量數據方面普遍存在採集困難、特徵統計繁瑣等問題，本項目研究並套用Flexible Netflow技術進行原始流量數據的獲取。Flexible Netflow能夠在網路設備上對流經網路設備的網路流量實現自動的抽樣統計，能夠支持廣泛協定範圍的流量統計，簡化了配置的複雜性，支持用戶方便地自定義採集內容，具有更好的靈活性、擴展性和集成性，能夠同時滿足不同用戶不同的套用需求，顯著提高木馬檢測系統的整體性能和實際套用前景。（2）基於會話過程特徵的木馬檢測方法的研究 基於流量行為的木馬有效檢測依賴於流量特徵選擇和分類學習方法的結合研究。在流量特徵選擇方面，本研究從橫向和縱向兩個方面進行研究。橫向上對通信的不同階段進行網路行為特徵分析與提取，縱向上則在不同的網路層次上進行特徵選擇，全方位對木馬行為進行精準刻畫。在分類學習方法的設計方面，主要基於C4.5決策樹、隨機森林等機器學習算法設計了加權集成分類算法。（3）其他類型木馬的檢測方法探索 針對目前越來越多的攻擊者開始將攻擊目標轉向計算機底層，意圖通過硬體木馬來達到攻擊目的問題，本項目對基於旁路信號和機器學習的硬體木馬檢測技術進行研究，提出了基於主成分分析和Logistics Regression的旁路硬體木馬檢測模型。