基于网络通信行为的 木马检测系统设计与实现-软件工程专业论文.docxVIP

万方数据 万方数据 A Dissertation Submitted to PLA Information Engineering University for the Degree of Master Designed and Implemnted of Trojan Horse Detection System Based on Behavior Detection Candidate: Yu An Supervisor： Prof.Zhangzheng Dec. 2015 原创性声明 本人声明所提交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表和撰写 过的研究成果，也不包含为获得信息工程大学或其他教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文题目： 基于网络通信行为的木马检测系统设计与实现 学位论文作者签名： 安雨 日期：2015 年 10 月 20 日 作者指导教师签名： 单征 日期：2015 年 10 月 20 日 学位论文版权使用授权书 本人完全了解信息工程大学有关保留、使用学位论文的规定。本人授权信息工程大学 可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允许论文被查阅和借阅； 可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 （保密学位论文在解密后适用本授权书。） 学位论文题目： 基于网络通信行为的木马检测系统设计与实现 学位论文作者签名： 安雨 日期：2015 年 10 月 20 日 作者指导教师签名： 单征 日期：2015 年 10 月 20 日 第 II 页 摘 要 随着互联网规模的不断扩大，新型的网络应用和服务不断涌现，满足了人们便捷、灵 活、快速获取各类信息的需求，但是各种网络的安全性问题也应运而生。木马作为互联网 上的恶意程序，危害了正常的网络环境，给整个互联网安全和个人信息安全造成了严重危 害，因此，互联网的“内容安全”问题受到了人们越来越广泛的关注。如何快速、准确、 有效地检测和防范计算机木马已经成为信息安全领域面临的一个重要难题和挑战。基于网 络通信行为特征的木马检测技术是一种基于数据流检测的计算机木马检测技术，该技术有 效地完善和发展了基于特征指纹的木马检测技术，满足了实时环境下的木马检测需求和实 战的检测标准。 本文根据现实的需求，研究并提出了一种基于网络通信行为特征的木马检测方法，即 基于进化矩阵的方法，首先，将网络通信数据流划分为特征流量和非特征流量，通过数据 流的静态内容特征，有效准确地识别出已知木马。实验测试结果显示基于特征流量分类的 准确率可以达到 92.6%，表明该方法对特定网络木马具有较高的检测准确率。由于木马检 测研究中关注的计算机木马大多己采用数据混淆和加密等技术手段，导致通信数据不存在 明显内容特征，因此，本文通过构建协议模型库来对未知的木马进行识别，该方法在对未 知木马的识别和分类中具有较好的效果。 最后，本文设计并实现了基于网络通信行为特征的木马检测原型系统，该系统划分为 网络通信行为检测和指纹检测两部分，以网络通信行为检测为主，系统将指纹检测设计为 一个触发引擎，匹配指纹规则的通信数据流将优先检测为木马，这样可以确保实现细粒度 检测。未匹配指纹规则的通信数据流将进一步通过网络通信行为检测，使用行为检测可以 有效解决深度包内容检测的一些弱点，能够有效地针对未知的通信数据流，采用协议判定 的方法进行检测，最终通过决策器来生成识别结果。使用原型系统在实际的环境中进行了 测试，针对 40234 个会话，数据集大小为 1G 的通信数据流进行检测，检测出木马的准确 率达到了 91.5%，满足了实际的需求。实验表明，本文的研究成果可以有效地提高网络中 计算机木马检测的效率和准确率，对更好地维护互联网安全和个人信息安全，打击网络犯 罪具有重要的作用。 关键词：计算机木马、数据流、行为检测、协议识别、聚类 ABSTRACT With the continuous expansion of Internet-scale, new network applications and services are emerging to meet the people convenient, flexible, quick access to all kinds of information needs, but a variety of network security issues have emerged. As Troja