基于分层聚类的木马通信行为检测：远程控制型策略

本文主要介绍了一种在2012年中国计算机网络安全年会上提出的基于分层聚类方法的木马通信行为检测模型。该研究针对日益严重的网络窃密问题，尤其是木马这种隐蔽性强、危害大的恶意软件，着重关注远程控制型木马的检测。远程控制型木马由于其实时性和功能多样性，成为了研究的重点。 文章首先定义了几个关键概念，如被控端和控制端，它们分别位于目标主机和攻击者控制端，通过主连接和子连接进行通信。主连接在通信初期建立，持续整个周期，负责基本的信息交换。文章强调了木马通信行为分析的重要性，这涉及到网络层和传输层的深入剖析，通过对这些层次的通信行为特征进行提取。 作者采用了层次聚类算法来构建木马和正常应用的网络通信行为模型。这种方法将复杂的通信行为结构化，通过聚类分析，识别出木马特有的行为模式。这有助于区分正常网络流量和异常行为，提高检测的准确性。 基于网络的检测方法被进一步细分，包括对应用层负载和网络行为的分析。前者关注应用层数据的内容特征，后者则深入到协议层，提取底层通信的特征信息。通过建立的模型，可以有效地检测木马在这些层面上的异常活动。 本文的方法是一种创新的混合策略，结合了网络行为分析的深度洞察和层次聚类的高效分类能力，旨在提高对远程控制型木马的检测效率和准确性。这种方法对于保障网络安全具有重要的实践价值，为后续的研究和防御机制提供了新的思路和技术支持。