远控型木马通信三阶段流量行为特征分析

摘要

随着互联网技术的发展,网络的应用也得到更好的普及,而保障网络安全成为亟待解决的问题.目前,木马是网络安全最严重的威胁之一,主要的检测方法是基于特征码的木马检测和基于行为的木马检测.论文从远程控制类型木马通信的三个阶段分析其流量行为特征,分析发现木马在建立连接阶段会有动态DNS行为,并且在数据传输时报文会置PSH标志位为1,导致PSH报文数量增大,以及在命令交互阶段上下行流量不对称、小数据包比例大和保持连接阶段会有心跳数据包等特征;实验比较正常应用通信流量与远程控制类型木马通信流量在上述特征上的表现行为,分析它们的异同点,为木马流量行为特征识别提供依据.