一种基于网络行为分析的反弹式木马检测方法

被引：2

作者：

赵天福

周丹平

王康

张博

机构：

[1] 江南计算技术研究所

来源：

信息网络安全 | 2011年 / 09期

关键词：

反弹式木马检测; 网络行为分析; 心跳行为; 操控行为; 数据包簇;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

该文首先对反弹式木马的通信过程进行了分析,建立了反弹式木马的网络行为模型,提出了数据包簇的概念,并给出了形式化描述。接着从网络行为分析的角度,提出了通过3个网络行为特征去检测木马心跳行为,通过6个网络行为特征去检测反弹式木马的交互性操控行为,并给出了实现算法。实验结果表明,该算法对反弹式木马具有较好的检测效果。

引用

页码：80 / 83

页数：4

共 7 条

[1]

IDP Series. Juniper. http://kb.juniper.net/InfoCenter/index?p age=content&id=KB7316&cat=IDP_SERIES&actp=LIST . 2010

[2]

Web Tap:Detecting Covert Web Traffic. K.Borders,,A.Prakash. CCS’’04:Proceedings of the11th ACM conference on Computer and Communications Security . 2004

[3]

Detecting http tunnels withstatistical mechanisms. CROTTI M,DUSI M,GRINGOLI F,et al. Proc of the 42nd IEEE International Con-ference on Communications . 2007

[4]

Detecting Encrypted Interactive Stepping-Stone Connection. Ting He,Lang Tong. Tech.Rep.ACSP-TR-01-06-02,CornellUniversity . 2006

[5]

Robust.correlation of encrypted attack traffic through stepping stones by manipulation of interpacket delays. X.Wang,,D.Reeves. Proc.of the2003ACM Conference on Computer and Communications Security . 2003

[6]

Detection of Interactive Stepping Stones:Algorithms and Confidence Bounds. A.Blum,,D.Song,,S.Venkataraman. Conference of Recent Advance in Intrusion Detection(RAID) . 2004

[7]

Detecting stepping stones. ZHANG Yin,PAXSON V. Proc of the9th USENIX Security Symposium . 2000

← 1 →