基于網絡行為分析的單機木馬檢測技術的研究與實現(xiàn).pdf

1、隨著計算機網絡的不斷發(fā)展，網絡安全問題也漸漸浮現(xiàn)。作為黑客主要進攻手段之一的木馬，也在迅速發(fā)展更新。傳統(tǒng)的木馬偵測手段在木馬落地并且植入系統(tǒng)之后，檢測率便會大大下降，因此如何檢測已經被植入并且隱藏在系統(tǒng)中的木馬，是一個值得關注的安全問題。
　　本研究首先介紹了木馬的攻擊手段和隱藏技術，并通過分析傳統(tǒng)的木馬檢測技術在現(xiàn)階段的應用和特點，得出傳統(tǒng)木馬檢測技術的優(yōu)勢與局限性，提出了基于網絡行為分析的木馬檢測技術的研究思路，設計了一種從網

2、絡行為檢測到本地文件溯源的檢測架構。其次介紹了如何通過對網絡行為數據的分析，對比正常數據和木馬數據的差異和特點，提出命令包的概念，提取出上傳下載比、命令包個數、小包占比、會話時長和總包數等五個特征，采用決策樹算法來根據特征提取規(guī)則進行數據篩選分類。通過HOOK技術掛鉤發(fā)包函數，審查其中的傳入參數，對發(fā)包函數進行監(jiān)控，再通過棧回溯技術對調用的函數的調用棧進行追蹤，最后根據其調用地址反查到木馬文件具體位置，以達到對木馬程序進行定位的目的。最