技術領域

本發明屬于木馬防御領域，尤其涉及Windows平臺下根據行為特征進行木馬防御的，一種基于行為特征的擺渡木馬防御方法。

背景技術

木馬作為黑客間諜進行遠程控制和竊取信息的重要手段，對國家和個人的信息安全構成很大威脅。擺渡木馬作為在涉密網絡中一種非常具有代表性的木馬，通過植入涉密計算機竊取我國政治、經濟、文化等方面的涉密信息，通過后臺運行程序將涉密文件信息復制到可移動介質中，不斷嗅探計算機的端口信息，伺機將涉密信息發送到擺渡木馬控制端服務器，達到竊取信息的目的。

擺渡木馬攻擊原理通過插入涉密網絡中計算機的可移動存儲設備，隱蔽運行后臺進程，從可移動設備向目標計算機植入攻擊程序。木馬程序進行計算機遍歷搜索，搜索文件次數頻繁、類型全面，以文件名選項涉及政治、經濟、社會等敏感詞為依據。同時木馬程序也將對局域網內的IP以及端口進行掃描，感染內網中其他計算機，實現相同的文件搜索過程。木馬將獲取的涉密敏感信息文件通過偽裝以及綁定文件方式隱藏在系統中，不斷掃描可進行數據傳輸的可移動設備，當檢測到可移動存儲設備接入時，進行文件擺渡操作，將竊取的涉密敏感信息通過特定方式從涉密計算機傳輸到可移動存儲介質中。擺渡木馬對盜取的敏感文件轉移主要通過上網計算機完成，木馬程序對當前網絡環境進行分析，發現存在可用的網絡連接，就會將可移動設備中的敏感文件通過互聯網秘密發送到國外服務器。

國內針對擺渡木馬防御的研究工作非常少，研究基于行為特征的擺渡木馬防御技術方案對于該領域具有一定意義。通過內核層的行為監控和行為特征的分析判定擺渡木馬，可以實現對擺渡木馬的有效防御。

發明內容

本發明的目的是提供一種速度快、精度高、防御效果好的，基于行為特征的擺渡木馬防御方法。

一種基于行為特征的擺渡木馬防御方法，包括以下步驟，

步驟一：通過內核層的注冊表操作監控、文件操作監控、進程操作監控、網絡操作監控獲取擺渡木馬的行為特征；

步驟二：將內核層獲取的行為特征與行為特征庫的規則進行匹配，使用灰色模糊判定的方法完成擺渡木馬的判定；

步驟三：根據判定結果對擺渡木馬進行相關的隔離處理，對行為規則庫進行實施更新。

本發明一種基于行為特征的擺渡木馬防御方法，還可以包括：

1、使用灰色模糊判定的方法完成擺渡木馬的判定的方法為：

(1)使用攻擊樹結構表示擺渡木馬行為特征，將結點含義與攻擊過程的具體行為相對應；

(2)使用梯形模糊數將擺渡木馬各個攻擊行為威脅等級進行量化，分為威脅等級極低、威脅等級低、威脅等級中等、威脅等級高、威脅等級極高；

(3)設定理想的攻擊序列指標作為參考標準，同時將程序的行為序列對應的行為特征指標標準化處理；

(4)通過分析攻擊過程的比較序列和理想參考序列的相關性，得到攻擊行為序列的灰色模糊隸屬度，確定攻擊行為序列的灰色模糊優屬度，完成對擺渡木馬的判定。

2、攻擊行為序列的灰色模糊隸屬度為：

γij=Δmin+ζΔmaxΔij+ζΔmax]]>