基于主机状态的木马检测技术研究-计算机软件与理论专业论文.docxVIP

沈刚航空航天入学硕十学位论文摘 沈刚航空航天入学硕十学位论文 摘 要 目j，J．防范木马的手段主要是依靠杀毒软件和网络防火墙所附加的检查功能。杀毒软 件主要依靠对木马文件本身的特征以及木马对系统进行修改的行为特征来识别木马，防 火墙软件主要通过对网络通信的控制实现对木马通信的封锁。随着木马的变形，传统的 防火墙和反病毒防护软件的响应已经滞后于各种木马攻击。 本文首先介绍了木马及其分类、变形、已有的木马检测技术及其优缺点，同时涉及 到了反检测技术；其次着重分析了人工免疫系统的自我学习能力等优势，改进了动态克 隆选择算法：对最初候选检测器生成未成熟检测器在经过自我耐受后再与已有的检测器 匹配，若I匹配，候：筵检测器进行限次变异后再自我耐受，减少了检测器的数量和黑洞产 ，土的空问：而检测过程中成熟检测器和记忆检测器检测到自我抗原时被直接删除，造成 非我信息资源丢弃，本文失败检测器同样进行限次变异，保留了非我信息的同时，保持 了检测器的多样性，提高了系统的抵抗力：最后结合木马的各种实现技术对主机状态的 影响，如修改文件属性、修改注册表的白启动技术、隐藏进程名称、网络通信隐藏端口 的植入技术实现木马运行所需功能等，提出了以主机状态的非空子集进行木马检测的解 决方案。 以Windows XP操作系统平台的安全技术为突破口，结合人工免疫提出了文件监控、 注册表监控、进程监控和网络监控，并实现了系统设计，借用现有典型木马“广外女生” 等最终的验证测试工作等。 关键词：文件；注册表；进程；网络；检测器；动态克隆选择算法 沈阳航空航天大学硕士学位论文Abstract 沈阳航空航天大学硕士学位论文 Abstract At present the means to prevent Troj an is mainly rely on additional check function of antivirus software and network firewalls．Antivirus software identifies Troj ans mainly relied on the characteri sties of the Trojan document itself and the behavioral characteristics of Trojan to modifil the system．Firewall software mainly achieves the blockade of Trojans communications through the control of network traffic．With the deformation of Troj ans，the response of traditional firewalls、IDS and anti-virus protection software has lagged behind the various Trojan attacks． This paper first introduces the history、classification、deformation of Troj an，and existing detection techniques with their advantages and disadvantages．Meanwhile relating to anti-Trojan detection；Secondly，it analyzes self-leaming ability and other advantages of the artificial immune system，the randomly generated detectors will match with the existing detectors after self-tolerance to reduce the redundancy of the detectors and the space of black hole．If the detectors don’t match with self set but match with the existing detectors，they will be mutated the pJ‘e—set times，the mature and memory detectors which detected self antigens will be also mutated the pre-set times to maintains the diversity of detectors and im