木马攻击与防范技术分析.pdfVIP

第六章 动静结合的木马检测防范体系基本框架 35 6.1 基于动态行为的木马检测防范方法 35 6.2 木马检测防范系统框架 37 6.3 基于动静态特征的木马检测防范评价 48 第七章 结束语 49 参考文献 50 致 谢 52 攻读学位期间发表的学术论文目录 53 第 IV 页 第一章 绪论 随着互联网技术的发展和普及，计算机网络得到了广泛应用，，利用广泛开放的网络 环境进行全球通信已经成为时代发展的趋势，人们日常的经济和社会生活也越来越依赖互 联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁，例如黑客 攻击，计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下，如何保证自己的 信息安全就显的非常重要。 特洛伊木马（简称木马）是一种具有运行非预期或未授权功能的程序，例如可以记录 用户键入的密码，远程传输文件，甚至可以完全远程控制计算机等。一般黑客在攻击目标 得手之后，就会在主机上安装后门，即特洛伊木马。特洛伊木马可以在用户毫不知情的情 况下泄漏用户的密码、用户的秘密资料等，甚至可以远程监控用户的操作，因此，某些行 业，如国防、外交和商务部门，特洛伊木马的危害性更大，一旦这些部门被安装了木马， 损失就会非常惨重。 人们常常将特洛伊木马看成是计算机病毒，其实，它们之间还是有比较大的区别的。 计算机病毒具有数据的破坏性，而特洛伊木马最大的危害在于数据的泄密性，当然不乏有 将病毒技术和木马技术结合使用的恶意软件，即利用病毒的传染性使较多的计算机系统植 入木马。但特洛伊木马本身一般没有复制能力，不会感染其他的寄宿文件，一般在同一台 主机上只有一个特洛伊木马。而病毒具有传染性，会不断感染其他的同类文件，在同一台 主机上，会出现很多被感染的文件。 而目前，人们对计算机病毒的研究比较多，而对特洛伊木马的研究要相对滞后。许多 的反病毒软件也声称能反特洛伊木马，但是，现在的大多数反病毒软件采用的是特征码检 测技术，即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码，放入病毒库中， 将待检测的软件与病毒库中的特征码比较，如果吻合则判断为恶意代码。特征码技术对于 检测已知恶意代码，非常快捷有效，但是对于检测未知的恶意代码则无能为力。反病毒软 件的检测能力总是落后于新的恶意代码的出现的，在这个时间差内，新的恶意代码可能就 会泛滥，造成重大损失，特征码技术的这种局限性就决定了其滞后性。 在网络攻击与安全防范日益激烈的对抗中，特洛伊木马攻击技术在不断地完善。现在 特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一，是一系列网络攻击活 动中重要的组成部分，严重地威胁着计算机网络系统的安全。网络安全迫切需要有效的木 马检测防范技术。 然而，目前木马的检测方法都是基于木马静态特征的检测，是被动的检测，不能有效 地适应木马的各种检测对抗技术；其检测能力完全依赖于检测系统中根据已知木马建立和 维护的木马静态特征库。为了检测新型木马，需要及时收集、提取新型木马的静态特征、 更新静态特征库。这是一项持久繁重的工作，同时也制约着基于静态特征检测技术的木马 检测工具的有效性。 在大量模拟网络环境下的木马攻击行为的前提下，本文首先对木马的运行形式、通信 形式、启动方式的隐蔽技术以及在宿主机磁盘中的隐藏方法进行了深入分析。在这基础上， 第 1 页 重点研究了基于动态行为的木马检测防范方法。基于动态行为的木马检测防范方法是一个 基于行为的、主动的、动态的检测防范方法，能够克服基于静态特征检测技术的弱点，是 木马检测技术的发展方向。 如何区分正常的系统行为和非正常的木马行为是基于动态行为检测技术的重点和难 点。行为的隐蔽性和目的的恶意性是木马行为的主要特征。所以，动态检测防范的主要思 想就是：控制木马生存的系统资源，监控木马的隐蔽途径和行为，过滤并分析网络通信。 在这个思想下，通过对综合检测和防范技术的深入讨论，本文提出了一个基于动态行为进 行木马检测的入侵检测防范系统基本框架，把木马的动态检测技术运用到网络安全检测系 统中，提高木马检测与防