王 晨，郭 春+，申國(guó)偉，崔允賀

1.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴陽(yáng) 550025

2.公共大數(shù)據(jù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，貴陽(yáng) 550025

遠(yuǎn)控木馬（remote access Trojan，RAT）作為一類危害性極大且知名度極高的惡意程序，主要被用于控制目標(biāo)主機(jī)、監(jiān)控受害者的主機(jī)行為以及竊取機(jī)密信息等[1]。CNCERT 發(fā)布的2019 年度報(bào)告[2]指出，我國(guó)境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約582 萬(wàn)臺(tái)；ProofPoint 在其2019 年Q3 威脅報(bào)告[3]中顯示，盡管惡意程序數(shù)量呈現(xiàn)整體下滑趨勢(shì)，遠(yuǎn)控木馬的數(shù)量相比第二季度卻增長(zhǎng)了55%。由此可見(jiàn)，遠(yuǎn)控木馬相比于其他類型的惡意程序仍在高速增長(zhǎng)，儼然成為了互聯(lián)網(wǎng)所面臨的主要安全威脅之一。

與勒索軟件等以破壞信息系統(tǒng)可用性為主的惡意軟件不同，遠(yuǎn)控木馬以破壞信息系統(tǒng)機(jī)密性為主，其集成了鍵盤(pán)記錄、文件上傳和下載、系統(tǒng)信息竊取、桌面/攝像頭監(jiān)控、進(jìn)程與注冊(cè)表修改以及文件讀寫(xiě)等一系列危險(xiǎn)功能。遠(yuǎn)控木馬被攻擊者通過(guò)各種手段植入到目標(biāo)主機(jī)后進(jìn)行潛伏，待接收相關(guān)指令后向攻擊者返回指令執(zhí)行結(jié)果。由于遠(yuǎn)控木馬具有高隱蔽性的特點(diǎn)，其常被用于APT（advanced persistent threat）攻擊[4]的后滲透階段以竊取機(jī)密信息。

為應(yīng)對(duì)遠(yuǎn)控木馬所引發(fā)的安全威脅，近年來(lái)國(guó)內(nèi)外研究者提出了一系列遠(yuǎn)控木馬檢測(cè)方法?；诰W(wǎng)絡(luò)流量的檢測(cè)方法是現(xiàn)階段遠(yuǎn)控木馬檢測(cè)方法的主流[5-8]，但是這類方法中大多使用從整條流中提取的統(tǒng)計(jì)特征，對(duì)木馬通信流的完整性要求較高，致使可能出現(xiàn)在檢測(cè)到遠(yuǎn)控木馬流量的同時(shí)，被控主機(jī)已然執(zhí)行部分攻擊指令而泄露了隱私信息。因此，實(shí)現(xiàn)對(duì)遠(yuǎn)控木馬的有效防御，對(duì)檢測(cè)方法的檢測(cè)及時(shí)性有著很高的要求。

為及時(shí)檢測(cè)遠(yuǎn)控木馬流量，從遠(yuǎn)控木馬控制端和被控端建立會(huì)話后初期的流量中提取特征是一個(gè)可行思路。然而，若從遠(yuǎn)控木馬會(huì)話建立后初期的流量中所提取的特征不能較好地反映木馬的通信行為，則基于這些特征的檢測(cè)方法容易出現(xiàn)較高的漏報(bào)率或誤報(bào)率。針對(duì)上述情況，本文分析了遠(yuǎn)控木馬會(huì)話建立后初期的網(wǎng)絡(luò)流量行為，發(fā)現(xiàn)其控制端和被控端通常會(huì)在該時(shí)間段中出現(xiàn)不涉及人為操作而自動(dòng)進(jìn)行的、較為固定的數(shù)據(jù)包交互行為，且該行為與正常應(yīng)用同時(shí)期的流量存在明顯的差異?；谏鲜龇治鼋Y(jié)果，本文提出了一種利用序列分析的遠(yuǎn)控木馬早期檢測(cè)方法。該方法針對(duì)遠(yuǎn)控木馬會(huì)話建立后初期流量中的“上線包”及其后少量數(shù)據(jù)包所提取的包負(fù)載大小序列、包時(shí)間間隔以及包負(fù)載上傳下載比三個(gè)特征，運(yùn)用機(jī)器學(xué)習(xí)算法建立木馬檢測(cè)模型實(shí)現(xiàn)對(duì)遠(yuǎn)控木馬的早期檢測(cè)。

本文主要工作如下：

（1）對(duì)35 個(gè)遠(yuǎn)控木馬與12 個(gè)正常軟件的通信行為進(jìn)行實(shí)驗(yàn)分析，通過(guò)比較遠(yuǎn)控木馬和正常軟件各自通信會(huì)話建立后初期的流量，發(fā)現(xiàn)它們?cè)跀?shù)據(jù)包負(fù)載大小、數(shù)據(jù)包時(shí)間間隔等方面存在明顯區(qū)別，并進(jìn)一步分析了遠(yuǎn)控木馬通信會(huì)話建立后流量中首個(gè)具有較大負(fù)載的數(shù)據(jù)包（“上線包”）及其后數(shù)個(gè)數(shù)據(jù)包所具有的特性。

（2）基于遠(yuǎn)控木馬和正常軟件在會(huì)話建立后初期通信流量的差別，提出了一種利用序列分析的遠(yuǎn)控木馬檢測(cè)方法。該方法使用從“上線包”及其后少量數(shù)據(jù)包的負(fù)載大小序列與時(shí)間間隔序列中提取的三個(gè)特征，結(jié)合機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)對(duì)遠(yuǎn)控木馬的早期檢測(cè)。

（3）搭建模擬環(huán)境對(duì)所提出的遠(yuǎn)控木馬檢測(cè)方法進(jìn)行了實(shí)驗(yàn)測(cè)試，并探索了“上線包”后不同的數(shù)據(jù)包數(shù)量對(duì)于所提方法檢測(cè)結(jié)果的影響。實(shí)驗(yàn)結(jié)果表明本文方法能夠以通信會(huì)話建立后初期的數(shù)個(gè)數(shù)據(jù)包實(shí)現(xiàn)對(duì)已知和未知遠(yuǎn)控木馬的高準(zhǔn)確率檢測(cè)，有助于及時(shí)檢測(cè)出遠(yuǎn)控木馬流量。

1 相關(guān)工作

現(xiàn)今遠(yuǎn)控木馬檢測(cè)方法主要分為兩類，即基于主機(jī)的檢測(cè)方法與基于網(wǎng)絡(luò)的檢測(cè)方法。

1.1 基于主機(jī)的檢測(cè)方法

基于主機(jī)的檢測(cè)方法主要通過(guò)分析木馬源代碼構(gòu)建木馬特征庫(kù)以檢測(cè)遠(yuǎn)控木馬，亦或是在受控環(huán)境下（沙箱、虛擬機(jī)等）監(jiān)測(cè)遠(yuǎn)控木馬運(yùn)行時(shí)的主機(jī)資源消耗情況、注冊(cè)表編輯、端口隱藏以及關(guān)鍵API調(diào)用等敏感行為構(gòu)建模型進(jìn)行檢測(cè)。

Ahmadi 等人[9]通過(guò)將程序運(yùn)行中的API 調(diào)用轉(zhuǎn)化為灰度圖并運(yùn)用圖像識(shí)別相關(guān)技術(shù)來(lái)檢測(cè)木馬。Rhode 等人[10]通過(guò)收集惡意程序在沙箱中運(yùn)行的早期行為來(lái)進(jìn)行惡意程序判別。Canali 等人[11]基于n-gram 模型提出了一種木馬程序的檢測(cè)方法。基于主機(jī)的檢測(cè)方法需要將檢測(cè)系統(tǒng)部署在主機(jī)上，除了占用一定主機(jī)資源之外，還需要涉及對(duì)操作系統(tǒng)的底層操作，可能對(duì)主機(jī)的穩(wěn)定性造成一定影響。并且隨著隱蔽技術(shù)在遠(yuǎn)控木馬中的應(yīng)用及發(fā)展，基于主機(jī)的檢測(cè)難度逐漸增加。

1.2 基于網(wǎng)絡(luò)的檢測(cè)方法

早期基于網(wǎng)絡(luò)的檢測(cè)方法通常采用報(bào)文負(fù)載匹配技術(shù)，提取數(shù)據(jù)包負(fù)載與木馬特征庫(kù)進(jìn)行匹配以檢測(cè)遠(yuǎn)控木馬。該類檢測(cè)方法檢測(cè)速度快，同時(shí)還能具有較高的準(zhǔn)確率，但是基于報(bào)文負(fù)載匹配方法的識(shí)別能力依賴于特征庫(kù)的完備程度，且只能檢測(cè)已知木馬[12]。因此，基于通信行為分析的檢測(cè)方法更受現(xiàn)階段遠(yuǎn)控木馬檢測(cè)研究者的青睞，在網(wǎng)絡(luò)入侵檢測(cè)方法[13-14]中也常被運(yùn)用。

李巍等人[15]通過(guò)分析遠(yuǎn)控木馬的通信行為，將遠(yuǎn)控木馬運(yùn)行過(guò)程分為建立連接、命令控制與保持連接三個(gè)階段，從每個(gè)階段中提取不同的統(tǒng)計(jì)特征并結(jié)合C4.5 算法實(shí)現(xiàn)檢測(cè)。該方法需要使用完整的數(shù)據(jù)流，因而其檢測(cè)存在一定程度的滯后，這也是現(xiàn)今很多遠(yuǎn)控木馬檢測(cè)方法都存在的問(wèn)題。姜偉等人在文獻(xiàn)[16]及文獻(xiàn)[17]中設(shè)計(jì)了一種基于異常網(wǎng)絡(luò)行為的遠(yuǎn)控木馬檢測(cè)模型，但該方法同樣需要使用較長(zhǎng)的通信流。Jiang 等人[18]將遠(yuǎn)控木馬通信流量中出現(xiàn)在TCP 三次握手后且相鄰數(shù)據(jù)包時(shí)間間隔大于1 s之前的會(huì)話定義為早期階段，從中提取了數(shù)據(jù)包數(shù)量、上下行數(shù)據(jù)包數(shù)量比等6 個(gè)統(tǒng)計(jì)特征來(lái)快速檢測(cè)遠(yuǎn)控木馬，但該方法的漏報(bào)率較高；Adachi 等人[19]在Jiang 研究的基礎(chǔ)上將網(wǎng)絡(luò)會(huì)話與主機(jī)進(jìn)程進(jìn)行關(guān)聯(lián)，增加了4 個(gè)特征用于檢測(cè)遠(yuǎn)控木馬，但是其方法仍存在較高的誤報(bào)率。宋紫華等人[20]從TCP 會(huì)話的前5 個(gè)數(shù)據(jù)包中提取了14 個(gè)特征，并以此設(shè)計(jì)了一種木馬快速檢測(cè)方法，但此方法的檢測(cè)對(duì)象是TCP會(huì)話，因此需要對(duì)多個(gè)TCP 會(huì)話進(jìn)行檢測(cè)才能識(shí)別出具有主從連接的遠(yuǎn)控木馬。Wu 等人[21]受文獻(xiàn)[22]的啟發(fā)，以遠(yuǎn)控木馬的人為控制特性為檢測(cè)出發(fā)點(diǎn)，先對(duì)數(shù)據(jù)流進(jìn)行切片，再以每個(gè)切片中前3 個(gè)包的方向序列來(lái)判斷數(shù)據(jù)流是否屬于遠(yuǎn)控木馬會(huì)話，但該方法需要分析每條流中250 個(gè)數(shù)據(jù)包以檢測(cè)遠(yuǎn)控木馬會(huì)話。Pallaprolu 等人[23]從每個(gè)數(shù)據(jù)包中提取出特征向量，并運(yùn)用集成學(xué)習(xí)對(duì)每個(gè)分類器的檢測(cè)結(jié)果進(jìn)行投票來(lái)獲得高檢測(cè)率，但由于該方法以會(huì)話中全部數(shù)據(jù)包為分析對(duì)象，需要很長(zhǎng)的訓(xùn)練時(shí)間和檢測(cè)時(shí)間。

通過(guò)對(duì)上述文獻(xiàn)的分析可知，現(xiàn)階段基于網(wǎng)絡(luò)的檢測(cè)方法大多對(duì)數(shù)據(jù)流的完整性有較高的要求，其檢測(cè)存在一定程度的滯后；已有的遠(yuǎn)控木馬早期檢測(cè)方法則較少考慮數(shù)據(jù)流的序列特性而僅使用統(tǒng)計(jì)特征導(dǎo)致誤報(bào)率較高。因此，本文重點(diǎn)關(guān)注遠(yuǎn)控木馬通信會(huì)話建立后初期流量的序列特性，旨在高準(zhǔn)確率的前提下提高遠(yuǎn)控木馬流量檢測(cè)的及時(shí)性。

2 木馬通信行為分析

遠(yuǎn)控木馬包括控制端與被控端，植入受害主機(jī)的被控端通常會(huì)伴隨系統(tǒng)的啟動(dòng)而啟動(dòng)，而攻擊者通過(guò)控制端發(fā)送指令與被控端進(jìn)行交互。早期的遠(yuǎn)控木馬通常由控制端發(fā)出連接請(qǐng)求以連接被控端。但是隨著防火墻的廣泛應(yīng)用和發(fā)展，越來(lái)越多的遠(yuǎn)控木馬采用反彈式連接（即由被控端發(fā)起連接請(qǐng)求以連接控制端）來(lái)避開(kāi)防火墻的篩查。如圖1 所示，遠(yuǎn)控木馬的運(yùn)行過(guò)程可以劃分為建立連接、命令交互和保持存活三個(gè)“階段”。在建立連接階段，被控端與控制端通過(guò)TCP 三次握手完成連接，之后被控端會(huì)主動(dòng)回傳受害者的上線信息；命令交互階段中部分木馬會(huì)在主連接存在的情況下建立次連接用于執(zhí)行指令與回傳結(jié)果；而在保持存活階段，攻擊者通過(guò)設(shè)計(jì)心跳行為來(lái)保持連接，部分木馬的心跳包會(huì)以固定模式貫穿遠(yuǎn)控木馬整個(gè)通信周期。

Fig.1 RAT communication flow chart圖1 遠(yuǎn)控木馬的通信流程圖

據(jù)實(shí)驗(yàn)觀察，遠(yuǎn)控木馬建立連接階段流量具有以下特性：遠(yuǎn)控木馬為了逃避網(wǎng)絡(luò)監(jiān)控軟件的查殺，通常會(huì)盡可能減少被控端與控制端的交互來(lái)隱藏自己，這使得遠(yuǎn)控木馬在會(huì)話建立后初期傳輸?shù)臄?shù)據(jù)量不會(huì)太多；建立連接階段被控端需要反復(fù)發(fā)出連接請(qǐng)求直至控制端對(duì)其進(jìn)行響應(yīng)，之后被控端將收集到的受害者主機(jī)信息主動(dòng)回傳給攻擊者，這種回傳信息的數(shù)據(jù)包的負(fù)載通常較大，與該階段其余的數(shù)據(jù)包負(fù)載大小存在明顯區(qū)別。本文將由{源IP 地址、目的IP 地址、傳輸層協(xié)議}三元組確定的網(wǎng)絡(luò)通信流定義為IP 會(huì)話，并將IP 會(huì)話的第一條TCP 流中由內(nèi)部主機(jī)向外部網(wǎng)絡(luò)發(fā)送且數(shù)據(jù)包傳輸層負(fù)載大于α字節(jié)的第一個(gè)數(shù)據(jù)包定義為信息回傳包，也稱為上線包。表1 統(tǒng)計(jì)了35 個(gè)遠(yuǎn)控木馬在建立連接階段的上線包的負(fù)載大小情況，這些遠(yuǎn)控木馬均使用TCP 協(xié)議進(jìn)行信息回傳。

由表1 可知，上線包的負(fù)載在遠(yuǎn)控木馬建立連接階段的數(shù)據(jù)傳輸總量（不含三次握手）中占了極大比重，且orion、qusar 等遠(yuǎn)控木馬在該階段只進(jìn)行了上線操作。如圖2 所示，不同遠(yuǎn)控木馬的上線包負(fù)載大小因其傳輸內(nèi)容不同而不同，為能夠全部覆蓋本文所分析遠(yuǎn)控木馬的上線包，本文將α設(shè)定為60。遠(yuǎn)控木馬被控端向控制端主動(dòng)發(fā)送上線包后，控制端會(huì)發(fā)送一個(gè)ACK 包告知被控端已確認(rèn)接收，在這之后的數(shù)個(gè)數(shù)據(jù)包可能出現(xiàn)在以下不同階段從而具有不同特性：

（1）建立連接階段：這些數(shù)據(jù)包對(duì)應(yīng)控制端自動(dòng)發(fā)出的控制命令或者心跳行為，但是由于該階段下的所有行為均不涉及人為操作，遠(yuǎn)控木馬發(fā)生大數(shù)據(jù)量交互的可能性較低，因而上線包之后數(shù)個(gè)數(shù)據(jù)包的負(fù)載大小往往小于上線包的負(fù)載大小。

（2）命令交互階段：攻擊者觀察到受害者主機(jī)上線，在經(jīng)過(guò)一定的人為反應(yīng)時(shí)間后將向被控端發(fā)送指令以執(zhí)行相應(yīng)攻擊操作。由于指令對(duì)應(yīng)的數(shù)據(jù)包大多只包含少許指令參數(shù)，其負(fù)載通常較小。

Table 1 Payload of information return packet during phase of connection establishment表1 上線包在建立連接階段中的負(fù)載情況

Fig.2 Payload distribution of information return packet of used RATs圖2 實(shí)驗(yàn)所用遠(yuǎn)控木馬的上線包負(fù)載分布

（3）保持存活階段：出現(xiàn)在該階段的原因是此時(shí)攻擊者未能及時(shí)觀察到被控端上線，通信雙方在靜默狀態(tài)下進(jìn)入了通過(guò)心跳包維持通信的保持存活階段。由于心跳包在大多數(shù)情況下不涉及信息交互，其負(fù)載通常較小。

由以上分析可知，遠(yuǎn)控木馬在上線包之后的數(shù)個(gè)數(shù)據(jù)包傾向于使用小包傳輸，而正常應(yīng)用程序?yàn)閷?shí)現(xiàn)資源快速交互會(huì)在建立連接后進(jìn)行大量數(shù)據(jù)交換行為，其第一個(gè)傳遞數(shù)據(jù)的“大包”（負(fù)載大于α字節(jié)，本文方法將其視為正常應(yīng)用程序的“上線包”）發(fā)生之后通常會(huì)繼續(xù)傳遞大量由正常應(yīng)用服務(wù)端發(fā)出的響應(yīng)信息，由于不需要隱藏自身行為，后續(xù)幾個(gè)數(shù)據(jù)包的負(fù)載通常會(huì)很大，這與遠(yuǎn)控木馬形成了鮮明對(duì)比。同樣，此行為也使得正常程序在這幾個(gè)數(shù)據(jù)包的上下行字節(jié)比值較?。ㄆ渲?，本文將由遠(yuǎn)控木馬被控端（對(duì)應(yīng)正常應(yīng)用客戶端）向遠(yuǎn)控木馬控制端（對(duì)應(yīng)正常應(yīng)用服務(wù)端）的傳輸流量統(tǒng)稱為上行流量，反之為下行流量），遠(yuǎn)控木馬則與之相反。另外，對(duì)于在建立連接階段僅進(jìn)行上線操作的遠(yuǎn)控木馬，上線包與其后的數(shù)個(gè)數(shù)據(jù)包之間會(huì)因人為反應(yīng)或心跳間隙造成較大的時(shí)間間隔，而正常程序在網(wǎng)絡(luò)不發(fā)生堵塞時(shí)較少發(fā)生該情況。因此，本文在后續(xù)章節(jié)中將基于遠(yuǎn)控木馬的以上特點(diǎn)進(jìn)一步分析遠(yuǎn)控木馬通信會(huì)話建立后初期流量中的上線包及其之后的數(shù)個(gè)數(shù)據(jù)包所具有的特性，對(duì)其提取特征并結(jié)合機(jī)器學(xué)習(xí)算法建立模型及進(jìn)行檢測(cè)。

3 基于序列分析的遠(yuǎn)控木馬早期檢測(cè)方法

3.1 檢測(cè)方法

基于第2 章的分析結(jié)果，遠(yuǎn)控木馬在建立連接階段中存在自動(dòng)且相對(duì)固定的數(shù)據(jù)包交互行為，且該行為與正常應(yīng)用存在明顯區(qū)別。如果能在遠(yuǎn)控木馬實(shí)現(xiàn)命令交互以獲取受害者隱私信息前發(fā)現(xiàn)其流量，則能夠有效降低受害者隱私泄露的風(fēng)險(xiǎn)。因此，本文在對(duì)遠(yuǎn)控木馬通信會(huì)話建立后初期的數(shù)據(jù)包序列進(jìn)行分析的基礎(chǔ)上，運(yùn)用時(shí)序特征與統(tǒng)計(jì)特征，提出了一種利用序列分析的遠(yuǎn)控木馬早期檢測(cè)方法，該方法能夠在遠(yuǎn)控木馬會(huì)話建立后初期及時(shí)且高準(zhǔn)確率地檢測(cè)出遠(yuǎn)控木馬流量。由于部分遠(yuǎn)控木馬存在主從連接的情況，為能夠及時(shí)檢測(cè)出木馬流量，本文將檢測(cè)單元設(shè)定為IP 會(huì)話中的第一條TCP 流，由{源IP 地址、源端口、目的IP 地址、目的端口、傳輸層協(xié)議}五元組確定。如圖3 所示，本文所提出的利用序列分析的遠(yuǎn)控木馬早期檢測(cè)方法首先對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾并抽取通信會(huì)話，選取每個(gè)會(huì)話中的第一條TCP 流，以內(nèi)部主機(jī)向外部網(wǎng)絡(luò)發(fā)送的上線包為標(biāo)志，加上其后數(shù)個(gè)數(shù)據(jù)包共同用于提取時(shí)序特征及統(tǒng)計(jì)特征，然后運(yùn)用機(jī)器學(xué)習(xí)算法訓(xùn)練檢測(cè)模型，最后由訓(xùn)練好的檢測(cè)模型對(duì)待檢流量進(jìn)行判斷，以判別該流量是正常應(yīng)用流量還是遠(yuǎn)控木馬流量。

3.2 特征提取

本文選擇上線包及其后續(xù)數(shù)個(gè)數(shù)據(jù)包的傳輸負(fù)載大小序列、傳輸字節(jié)數(shù)和時(shí)間間隔作為特征，具體介紹如下。

Fig.3 RAT early detection method using sequence analysis圖3 利用序列分析的遠(yuǎn)控木馬早期檢測(cè)方法

3.2.1 傳輸負(fù)載序列

遠(yuǎn)控木馬在建立連接階段的主要操作目的是向攻擊者傳輸被控主機(jī)信息。據(jù)實(shí)驗(yàn)分析發(fā)現(xiàn)，部分遠(yuǎn)控木馬會(huì)在連接建立后主動(dòng)上傳受害者信息；部分遠(yuǎn)控木馬則是在接收到控制端自動(dòng)發(fā)出的請(qǐng)求信息之后再發(fā)送上線包；少數(shù)遠(yuǎn)控木馬還會(huì)在發(fā)送上線包之前進(jìn)行確認(rèn)版本以及握手等操作，但是相比于上線包，這些數(shù)據(jù)包由于只傳遞命令參數(shù)其負(fù)載往往較小。本文以上線包的大小作為閾值，將包負(fù)載字節(jié)數(shù)小于上線包大?。?0 B）的數(shù)據(jù)包稱為小包并記為0，反之則稱為大包并記為1。表2 統(tǒng)計(jì)了717條正常會(huì)話與985 條遠(yuǎn)控木馬會(huì)話上線包之后3 個(gè)數(shù)據(jù)包的負(fù)載大小序列(Slength)的分布情況，其中正常會(huì)話來(lái)源于實(shí)驗(yàn)室內(nèi)部主機(jī)流量，木馬會(huì)話包括35 個(gè)遠(yuǎn)控木馬的流量，表中序列長(zhǎng)度小于3 時(shí)表示網(wǎng)絡(luò)流中上線包后出現(xiàn)的數(shù)據(jù)包數(shù)量不足3 個(gè)。可以看出，正常應(yīng)用所產(chǎn)生的數(shù)據(jù)包的負(fù)載序列多集中在“011”與“11”類型，這與正常應(yīng)用在建立連接后需要接收來(lái)自于服務(wù)器的資源響應(yīng)有關(guān)；而遠(yuǎn)控木馬出于對(duì)自身隱蔽性的考慮，上線包后的數(shù)個(gè)數(shù)據(jù)包多為小包。因此，將上線包后的數(shù)個(gè)數(shù)據(jù)包的負(fù)載序列作為檢測(cè)遠(yuǎn)控木馬流量的特征之一。

Table 2 Statistics of different software's load sequence times of following three packets after information return packet表2 不同軟件的上線包之后3 個(gè)數(shù)據(jù)包負(fù)載序列次數(shù)統(tǒng)計(jì)

為方便機(jī)器學(xué)習(xí)算法進(jìn)行訓(xùn)練，本文將上線包后的數(shù)據(jù)包負(fù)載大小序列轉(zhuǎn)化為十進(jìn)制。對(duì)一個(gè)長(zhǎng)度為m的數(shù)據(jù)包負(fù)載序列d={d1,d2,…,dm}，將其每個(gè)字符di乘以2 的m-i次方后再進(jìn)行累加，即對(duì)應(yīng)的特征值應(yīng)表示為：

3.2.2 傳輸字節(jié)數(shù)

如第2 章所述，遠(yuǎn)控木馬在上線包之后的數(shù)個(gè)數(shù)據(jù)包傾向于使用小包傳輸。因此，遠(yuǎn)控木馬被控端所發(fā)出的上線包及之后交互的數(shù)個(gè)數(shù)據(jù)包的上下行字節(jié)比(Rlength)通常也會(huì)較大。圖4 展示了4 個(gè)遠(yuǎn)控木馬被控端與5個(gè)正常應(yīng)用客戶端所發(fā)出的上線包及其后交互的3 個(gè)包（4Pks）的上下行字節(jié)比值。由圖4可知，這些木馬流量的上下行字節(jié)比值在10 左右，而正常應(yīng)用的該值小于1。這是因?yàn)樯暇€包的負(fù)載較大，無(wú)論遠(yuǎn)控木馬在上線包發(fā)出后進(jìn)入操作狀態(tài)或靜默狀態(tài)，其后產(chǎn)生的數(shù)個(gè)數(shù)據(jù)包對(duì)應(yīng)的控制命令包或心跳包均多為小包；而正常應(yīng)用行為如瀏覽網(wǎng)頁(yè)、觀看視頻以及下載文件時(shí)產(chǎn)生的下行方向的數(shù)據(jù)包的負(fù)載較大，故正常應(yīng)用在其上線包及之后幾個(gè)數(shù)據(jù)包的上下行字節(jié)比值較小。

Fig.4 Ratio of different software's upstream and downstream bytes of information return packet and next 3 packets(4Pks)圖4 不同軟件的上線包及之后3 個(gè)數(shù)據(jù)包(4Pks)上下行字節(jié)比

由于本文方法需要使用的數(shù)據(jù)包數(shù)量較少，有可能出現(xiàn)下行數(shù)據(jù)包負(fù)載之和為0 的情況。本文方法在下行數(shù)據(jù)包負(fù)載之和為0 時(shí)將選擇所有上行數(shù)據(jù)負(fù)載之和作為特征值。對(duì)一個(gè)長(zhǎng)度為m的數(shù)據(jù)包負(fù)載序列d={d1,d2,…,dm}，當(dāng)其上行數(shù)據(jù)負(fù)載總和為Ulength，下行數(shù)據(jù)負(fù)載總和為Dlength，則上下行數(shù)據(jù)包負(fù)載字節(jié)比特征值為：

3.2.3 時(shí)間間隔

有別于建立連接階段，遠(yuǎn)控木馬在其命令交互階段的行為更多包含攻擊者的人為控制因素。該階段攻擊者可以通過(guò)控制端向被控端發(fā)送攻擊指令執(zhí)行惡意操作，包括但不限于下載文件、監(jiān)控?cái)z像頭等，不同的惡意操作對(duì)應(yīng)著不同的指令。通過(guò)第2 章的分析可知，部分遠(yuǎn)控木馬在建立連接階段中僅包含建立連接及上線包操作，之后便進(jìn)入命令交互階段或保持存活階段，但由于遠(yuǎn)控木馬的人為控制特性，在建立連接階段到進(jìn)入命令交互階段或保存存活階段之間的數(shù)據(jù)包間會(huì)出現(xiàn)相對(duì)較長(zhǎng)的時(shí)間間隔，這是由攻擊者需要一定的反應(yīng)時(shí)間或者由攻擊者自行設(shè)定的心跳間隔所導(dǎo)致的；而正常應(yīng)用在連接建立初期，其客戶端和服務(wù)端交互頻繁，因此處于該時(shí)期的數(shù)據(jù)包的時(shí)間間隔會(huì)相對(duì)較小。該過(guò)程的示意圖如圖5 所示，遠(yuǎn)控木馬在上線包發(fā)出后到接收到控制命令之間需要的攻擊者反應(yīng)時(shí)間為t（單位：s），而正常應(yīng)用客戶端在發(fā)出資源請(qǐng)求后服務(wù)器會(huì)很快返回大量的響應(yīng)數(shù)據(jù)包。

因此，本文選取上線包及其后數(shù)個(gè)數(shù)據(jù)包中最大的一個(gè)時(shí)間間隔作為特征，記為T(mén)interval。對(duì)一個(gè)長(zhǎng)度為m-1 的數(shù)據(jù)包時(shí)間間隔序列T={T1,T2,…,Tm-1}，其最大時(shí)間間隔特征值為：

Fig.5 Comparison of RAT and normal application in data stream transmission圖5 遠(yuǎn)控木馬與正常應(yīng)用數(shù)據(jù)流傳輸對(duì)比

綜上所述，所提方法提取特征的對(duì)象為n個(gè)數(shù)據(jù)包（nPks），即上線包及其后續(xù)n-1 個(gè)數(shù)據(jù)包，從會(huì)話時(shí)間與傳輸字節(jié)數(shù)兩方面提取了三維特征，具體描述如表3 所示。

Table 3 Feature description表3 特征描述

3.3 訓(xùn)練與檢測(cè)

本階段的主要工作是基于上述特征提取階段所得到的特征向量構(gòu)建一個(gè)檢測(cè)模型用于區(qū)分遠(yuǎn)控木馬流量與正常應(yīng)用流量。為實(shí)現(xiàn)該目標(biāo)，本文通過(guò)搭建實(shí)驗(yàn)環(huán)境采集了多個(gè)知名的遠(yuǎn)控木馬流量和正常應(yīng)用流量，從這些流量中提取傳輸負(fù)載大小序列、傳輸字節(jié)數(shù)和時(shí)間間隔等特征并添加類別標(biāo)簽（正常流量或遠(yuǎn)控木馬流量）以構(gòu)建訓(xùn)練集Dtr(Dtr={(x1,Y1),(x2,Y2),…,(xM,YM)}，其中Yi∈{正常流量，遠(yuǎn)控木馬流量},xi=(Tintervali,Rlengthi,Slengthi))。然后通過(guò)Dtr結(jié)合分類算法建立一個(gè)遠(yuǎn)控木馬檢測(cè)模型。為得到高準(zhǔn)確率的檢測(cè)結(jié)果，本文分別運(yùn)用了支持向量機(jī)（support vector machine，SVM）、貝葉斯（na?ve Bayes，NB）、K近鄰（K-nearest neighbor，KNN）、隨機(jī)森林(random forest，RF)以及決策樹(shù)（decision tree，DT）5 種分類算法訓(xùn)練檢測(cè)模型并對(duì)其檢測(cè)結(jié)果進(jìn)行對(duì)比。

在檢測(cè)階段，訓(xùn)練好的檢測(cè)模型將對(duì)測(cè)試集中的每條待檢流量進(jìn)行檢測(cè)，以判別各條流量屬于正常應(yīng)用流量還是遠(yuǎn)控木馬流量。

4 實(shí)驗(yàn)

4.1 實(shí)驗(yàn)環(huán)境

在搭建實(shí)驗(yàn)環(huán)境時(shí)，為保護(hù)內(nèi)網(wǎng)主機(jī)安全，本文將遠(yuǎn)控木馬的控制端安裝在具有公有IP 的云服務(wù)器上，而被控端安裝在局域網(wǎng)內(nèi)的Vmware 虛擬機(jī)中，虛擬機(jī)采用Windows 7 操作系統(tǒng)。檢測(cè)模型所在主機(jī)的硬件配置為8 GB 內(nèi)存，Intel i7-6700HQ 處理器，使用Wireshark 抓包，編程語(yǔ)言采用Python3.7，并使用scikit-learn 0.22.1 庫(kù)進(jìn)行檢測(cè)模型訓(xùn)練。實(shí)驗(yàn)拓?fù)淙鐖D6 所示。

Fig.6 Experimental topology圖6 實(shí)驗(yàn)拓?fù)?/p>

4.2 數(shù)據(jù)集

本文實(shí)驗(yàn)的遠(yuǎn)控木馬程序包括35 個(gè)知名遠(yuǎn)控木馬程序：black_worm、daleth、darkcomet、darktrack、killer、nanocore、njrat、pshare、quasar、remcos、revenge、slayer、spynet、troianos、ugsec、babylon、bozok、bxrat、cybergate、greame、mlrat、mega、paradox、ucul、orion、novalite、drat、proton、cloud、l6-rat、ctos、vantom、xena、xrat、xtreme。為體現(xiàn)正常應(yīng)用流量的覆蓋率，本文從瀏覽器、電子郵件、即時(shí)通信、視頻軟件、P2P 下載、云服務(wù)以及游戲7 種不同類型的正常應(yīng)用中共選取12款代表性程序。選取的正常應(yīng)用類型及程序如表4所示。實(shí)驗(yàn)中正常流量采集于實(shí)驗(yàn)室內(nèi)部主機(jī)正常使用表4 中的正常應(yīng)用程序時(shí)所產(chǎn)生的網(wǎng)絡(luò)流量。對(duì)于遠(yuǎn)控木馬，由于本文所提的檢測(cè)方法只涉及遠(yuǎn)控木馬會(huì)話建立后的少量數(shù)據(jù)包，對(duì)每個(gè)遠(yuǎn)控木馬每次采集約5 min 流量數(shù)據(jù)。由于正常應(yīng)用流量在實(shí)際通信環(huán)境中通常遠(yuǎn)多于遠(yuǎn)控木馬的流量，本文實(shí)驗(yàn)將正常流量與木馬流量按照約10∶1 的比例混合以模擬真實(shí)網(wǎng)絡(luò)環(huán)境的流量占比情況。本文將收集到的正常流量和木馬流量劃分為訓(xùn)練集、已知遠(yuǎn)控木馬測(cè)試集和未知遠(yuǎn)控木馬測(cè)試集，其中未知遠(yuǎn)控木馬測(cè)試集對(duì)應(yīng)未在訓(xùn)練集中出現(xiàn)過(guò)的killer、njrat、xrat、spynet 4 個(gè)遠(yuǎn)控木馬的流量，用于測(cè)試本文方法對(duì)于未知遠(yuǎn)控木馬流量的檢測(cè)能力。具體而言，如表5 所示，本次實(shí)驗(yàn)的訓(xùn)練集包括5 462 個(gè)正常應(yīng)用會(huì)話和452 個(gè)遠(yuǎn)控木馬會(huì)話；已知遠(yuǎn)控木馬測(cè)試集包括5 513 個(gè)正常應(yīng)用會(huì)話和449 個(gè)遠(yuǎn)控木馬會(huì)話；未知遠(yuǎn)控木馬測(cè)試集包含717 個(gè)正常應(yīng)用會(huì)話和84 個(gè)遠(yuǎn)控木馬會(huì)話。

Table 4 Normal applications used in experiment表4 實(shí)驗(yàn)所用正常程序

Table 5 Experimental data表5 實(shí)驗(yàn)數(shù)據(jù)

4.3 評(píng)估標(biāo)準(zhǔn)

本文采用準(zhǔn)確率（Accuracy）、漏報(bào)率（false negative rate，F(xiàn)NR）以及誤報(bào)率（false positive rate，F(xiàn)PR）這3 個(gè)常用評(píng)價(jià)指標(biāo)來(lái)衡量本文方法的檢測(cè)效果。這些指標(biāo)可以通過(guò)TP、TN、FP、FN計(jì)算得到。TP表示遠(yuǎn)控木馬流量被正確檢測(cè)的數(shù)量，F(xiàn)N表示遠(yuǎn)控木馬流量被誤判為正常應(yīng)用流量的數(shù)量，F(xiàn)P表示正常應(yīng)用流量被誤判為遠(yuǎn)控木馬流量的數(shù)量，TN表示正常應(yīng)用流量被正確檢測(cè)的數(shù)量。3 個(gè)指標(biāo)的含義及具體的計(jì)算方法為式（4）～（6）。

Accuracy表示預(yù)測(cè)的準(zhǔn)確率：

FNR表示所有預(yù)測(cè)為正的樣本中實(shí)際為負(fù)的比例：

FPR表示所有預(yù)測(cè)為負(fù)的樣本中實(shí)際為正的比例：

4.4 實(shí)驗(yàn)結(jié)果及分析

4.4.1 實(shí)驗(yàn)結(jié)果

本文實(shí)驗(yàn)采用SVM、NB、KNN、RF 和DT 在內(nèi)5種機(jī)器學(xué)習(xí)算法，利用相同的訓(xùn)練集構(gòu)建檢測(cè)模型，再使用已知遠(yuǎn)控木馬測(cè)試集與未知遠(yuǎn)控木馬測(cè)試集來(lái)分別測(cè)試檢測(cè)模型對(duì)已知遠(yuǎn)控木馬和未知遠(yuǎn)控木馬的檢測(cè)能力，并進(jìn)一步分析本文方法在不同數(shù)量數(shù)據(jù)包（上線包及其之后的數(shù)據(jù)包）下的檢測(cè)效果。

表6 顯示了本文方法在分別使用3、4、5 和6 個(gè)數(shù)據(jù)包時(shí)（包含上線包）運(yùn)用不同機(jī)器學(xué)習(xí)算法在已知遠(yuǎn)控木馬測(cè)試集上獲得的Accuracy、FNR以及FPR值。其中，使用4 個(gè)數(shù)據(jù)包（4Pks）時(shí)運(yùn)用RF 算法獲得的Accuracy最高，達(dá)到0.994，而對(duì)應(yīng)的FNR與FPR分別為0.029 與0.004。

如圖7 所示，當(dāng)本文方法在3Pks 進(jìn)行檢測(cè)時(shí)，DT與RF 能夠?qū)崿F(xiàn)0.989 的Accuracy；當(dāng)使用數(shù)據(jù)包數(shù)達(dá)到4 時(shí)，RF的Accuracy值能夠達(dá)到0.994；RF使用5Pks 與6Pks分別獲得了0.989 與0.987 的Accuracy。值得注意的是，5 種算法中SVM 與NB 的Accuracy較低，其余3 種算法均在4Pks 時(shí)取得最佳的Accuracy。經(jīng)分析發(fā)現(xiàn)，這是因?yàn)榉椒ㄋ褂玫牟糠痔卣麟S著用于提取特征的數(shù)據(jù)包數(shù)量增加，其特征值在正常應(yīng)用流量和遠(yuǎn)控木馬流量中愈發(fā)趨同。圖8 給出了本文訓(xùn)練集與測(cè)試集中正常與遠(yuǎn)控木馬流量在不同數(shù)據(jù)包下其特征Tinterval的值大于1 s 的樣本數(shù)量?？梢钥吹接糜谔崛√卣鞯臄?shù)據(jù)包數(shù)為4Pks 時(shí)，Tinterval的值大于1 s 的木馬流量樣本多于正常流量樣本；而當(dāng)用于提取特征的數(shù)據(jù)包數(shù)為5Pks 時(shí)，Tinterval的值大于1 s 的流量中正常流量樣本占了大部分。因此本文所提檢測(cè)方法將檢測(cè)數(shù)據(jù)包數(shù)設(shè)定為4Pks。

表7 為本文方法在4Pks 時(shí)對(duì)未知遠(yuǎn)控木馬測(cè)試集所得到的Accuracy、FNR與FPR值。表7 的結(jié)果顯示RF 的檢測(cè)效果最佳，其Accuracy達(dá)到0.985，F(xiàn)NR和FPR分別為0.012 與0.015。

Table 6 Results of 5 algorithms on known RAT test set with different packets表6 5 種算法在不同數(shù)據(jù)包數(shù)下對(duì)已知木馬測(cè)試集的檢測(cè)結(jié)果

Fig.7 Accuracy of 5 algorithms on known RAT test set圖7 5 種算法在已知遠(yuǎn)控木馬測(cè)試集上的Accuracy

Fig.8 Number of samples with Tinterval value greater than 1 s for different number of packets圖8 不同數(shù)據(jù)包數(shù)下Tinterval的值大于1 s的樣本數(shù)

Table 7 Detection results of 5 algorithms using 4Pks on unknown RAT test set表7 4Pks時(shí)5 種算法對(duì)未知遠(yuǎn)控木馬測(cè)試集的檢測(cè)結(jié)果

為進(jìn)一步對(duì)比所提方法的檢測(cè)效果，本文采用文獻(xiàn)[18]與文獻(xiàn)[23]的檢測(cè)方法分別對(duì)相同的流量進(jìn)行處理并提取特征，其中文獻(xiàn)[18]使用RF 算法訓(xùn)練模型并進(jìn)行檢測(cè)；文獻(xiàn)[23]使用集成學(xué)習(xí)方法訓(xùn)練模型，其所用分類算法包括KNN、J48 決策樹(shù)與SVM 三種。表8 和表9 分別給出了文獻(xiàn)[18]與文獻(xiàn)[23]的檢測(cè)方法對(duì)已知與未知遠(yuǎn)控木馬測(cè)試集的檢測(cè)結(jié)果。

Table 8 Detection results of different methods on known RAT test set表8 不同方法在已知遠(yuǎn)控木馬測(cè)試集上的檢測(cè)結(jié)果

Table 9 Detection results of different methods on unknown RAT test set表9 不同方法在未知遠(yuǎn)控木馬測(cè)試集上的檢測(cè)結(jié)果

由表8 的結(jié)果可知，本文方法在已知木馬測(cè)試集上的Accuracy和FPR分別為0.993 79 和0.004 35，優(yōu)于文獻(xiàn)[18]和文獻(xiàn)[23]方法所得到的Accuracy和FPR。在FNR指標(biāo)上，由于文獻(xiàn)[23]的方法是通過(guò)木馬控制端和被控端的所有數(shù)據(jù)包來(lái)提取特征，所獲得的FNR優(yōu)于僅使用部分?jǐn)?shù)據(jù)包來(lái)提取特征的文獻(xiàn)[18]方法和本文方法；同時(shí)，本文方法在FNR指標(biāo)上優(yōu)于文獻(xiàn)[18]的方法。由表9 可知，在對(duì)未知遠(yuǎn)控木馬數(shù)據(jù)集的檢測(cè)結(jié)果上，本文方法在僅使用會(huì)話中少量數(shù)據(jù)包的情況下獲得了0.985 02 的Accuracy和0.015 34 的FPR，該結(jié)果與文獻(xiàn)[23]方法使用會(huì)話中全部數(shù)據(jù)包所獲得的Accuracy和FPR相近。因此，從實(shí)驗(yàn)結(jié)果可以看到，本文方法能夠在遠(yuǎn)控木馬被控端和控制端開(kāi)始通信的初期，通過(guò)少量數(shù)據(jù)包來(lái)有效地區(qū)分正常應(yīng)用的通信會(huì)話和遠(yuǎn)控木馬的通信會(huì)話。

4.4.2 結(jié)果分析

本小節(jié)給出了本文方法分別運(yùn)用5 種不同機(jī)器學(xué)習(xí)算法在4Pks 時(shí)所需要的訓(xùn)練時(shí)間和檢測(cè)時(shí)間。如表10 所示，5 種算法中最長(zhǎng)的訓(xùn)練時(shí)長(zhǎng)為SVM 的0.315 s，最長(zhǎng)的檢測(cè)時(shí)長(zhǎng)為KNN 的0.040 s，而RF 的訓(xùn)練時(shí)長(zhǎng)為0.045 s，檢測(cè)時(shí)長(zhǎng)為0.017 s，表明本文方法使用這5 種算法均能獲得高的檢測(cè)效率。

此外，為進(jìn)一步分析本文方法對(duì)遠(yuǎn)控木馬流量及時(shí)檢測(cè)的能力，本文對(duì)比了文獻(xiàn)[18]與文獻(xiàn)[23]所用特征需要檢測(cè)的數(shù)據(jù)包數(shù)量（從通信會(huì)話建立后開(kāi)始統(tǒng)計(jì)），并依據(jù)是否有攻擊者操作木馬分別進(jìn)行統(tǒng)計(jì)，即靜默狀態(tài)與操作狀態(tài)，結(jié)果如表11 所示。

Table 10 Training and detection time of 5 algorithms on known RAT test set using 4Pks表10 4Pks時(shí)5 種算法對(duì)已知遠(yuǎn)控木馬測(cè)試集的訓(xùn)練及檢測(cè)時(shí)長(zhǎng) s

Table 11 Average number of packets need to be detected by different methods表11 不同方法所需要檢測(cè)的平均數(shù)據(jù)包數(shù)

由表11 可知，按照文獻(xiàn)[18]中對(duì)遠(yuǎn)控木馬早期的定義，由于正常應(yīng)用早期不需要隱藏自己的行為，通信雙方在會(huì)話建立后的短時(shí)間內(nèi)即進(jìn)行大量數(shù)據(jù)交互，導(dǎo)致該方法在正常程序流量中抽取數(shù)據(jù)包數(shù)量遠(yuǎn)多于本文方法；文獻(xiàn)[23]由于其檢測(cè)對(duì)象是數(shù)據(jù)包級(jí)，需要檢測(cè)通信雙方的所有交互數(shù)據(jù)包，而正常應(yīng)用的交互流量中存在多達(dá)幾萬(wàn)個(gè)數(shù)據(jù)包的長(zhǎng)會(huì)話，因此該方法所需要檢測(cè)的數(shù)據(jù)包數(shù)量大且效率較低，無(wú)法實(shí)現(xiàn)木馬通信流量的早期檢測(cè)；而本文方法關(guān)注于上線包，僅需要檢測(cè)通信會(huì)話建立后初期的少量數(shù)據(jù)包。綜上，本文方法所需的會(huì)話數(shù)據(jù)包數(shù)量較少，能夠較早地檢測(cè)出遠(yuǎn)控木馬通信流量。

5 結(jié)束語(yǔ)

本文通過(guò)分析遠(yuǎn)控木馬會(huì)話建立后初期的通信行為，發(fā)現(xiàn)木馬程序與正常應(yīng)用在該時(shí)期內(nèi)存在數(shù)據(jù)包序列差異，然后進(jìn)一步提出了一種利用序列分析的遠(yuǎn)控木馬早期檢測(cè)方法。本文實(shí)驗(yàn)通過(guò)提取上線包及其后續(xù)數(shù)個(gè)數(shù)據(jù)包的特征并采用五種不同機(jī)器學(xué)習(xí)算法進(jìn)行模型訓(xùn)練和檢測(cè)，實(shí)驗(yàn)結(jié)果表明本文方法運(yùn)用RF 算法能夠在4Pks 時(shí)對(duì)已知遠(yuǎn)控木馬測(cè)試集與未知遠(yuǎn)控木馬測(cè)試集分別獲得0.993 79 和0.985 02 的Accuracy，說(shuō)明本文方法能夠及時(shí)且以高準(zhǔn)確率檢測(cè)遠(yuǎn)控木馬流量。后續(xù)本文方法將在實(shí)際辦公環(huán)境中進(jìn)行測(cè)試，并研究如何進(jìn)一步降低檢測(cè)方法對(duì)未知遠(yuǎn)控木馬檢測(cè)的漏報(bào)率與誤報(bào)率。