基于沙箱的木马检测技术研究与实现

摘要

近年来，随着计算机技术的快速发展，互联网应用得到快速普及，网络用户也在急剧增加，这也使得互联网用户的机器时刻暴露于黑客的控制监控下，成为黑客的攻击目标，甚至将用户的机器作为攻击其它机器的终端。木马程序作为恶意程序的一种，经常被作为黑客窃取互联网用户的账号信息、私人资料或商业秘密等的重要攻击手段。相比其他种类的恶意程序，木马程序具有更大的破坏性和危险性，因此本文针对木马检测技术进行研究。
　　木马检测技术一般分为静态和动态两种检测技术，静态检测技术不需要直接运行程序，不仅不会对系统造成真实的破坏，而且检测速度快，误报率低，但需要庞大的特征库支撑，并且在面对已知木马程序的隐藏和变化时略显不足，对于未知木马程序亦是无能为力;而动态检测技术可以实时截获木马行为，也能依据木马行为检测出新的木马，但是运行程序需要占用较多的系统资源导致效率不高，对于已经发现的木马程序，会造成事实上的危害。沙箱(Sandbox)技术是一种通过对程序实施限制隔离的安全保护机制，可用于测试可疑程序，为避免其恶意行为对系统造成危害，把程序生成和修改的资源重定向到沙箱中，程序操作的并不是真实的资源，而是虚拟的资源或者是一个副本，从而实现程序的隔离。因此，本文采用沙箱作为动态检测木马的隔离环境，可以保护真实主机不受破坏且具备与真机运行一样的效果。
　　本文主要针对Windows下的PE文件，分析了当前木马检测技术的不足并进行了总结。重点研究木马行为特征分析技术及扩展攻击树模型在木马检测中的应用。提出了一种改进的基于扩展攻击树模型的木马检测方法，通过分析对比静态分析PE文件及基于沙箱的行为监控技术的特点，采用静态检测和基于沙箱的动态检测相结合的方法，实现了对木马更高效、完整地的检测。
　　本文的主要创新包括如下:
　　(1)基于行为特征分析技术，将扩展攻击树模型引入到木马检测中，通过扩展节点属性信息对模型进行扩展，实现了更精确的匹配模型。
　　(2)提出了一种改进的基于扩展攻击树模型的木马检测方法，改进了危险指数算法及模型匹配算法。采用基于木马行为特征的检测技术，实验证明改进后的方法降低了木马检测的误报率和漏报率。
　　(3)运用C++编程技术，设计并实现了用于木马检测的沙箱原型系统。

目录

摘要

第一章 绪论

1．1 研究背景

1．2 国内外研究现状

1．3 论文主要内容

1．4 本文的结构

第二章 相关技术分析

2．1 常用木马攻击技术

2．1．1 木马植入技术

2．1．2 通信隐藏技术

2．1．3 自启动技术

2．2 木马检测关键技术分类

2．2．1 特征码检测技术

2．2．2 虚拟机技术

2．2．3 实时监控技术

2．2．4 行为分析技术

2．2．5 沙箱技术

2．3 木马行为分析技术

2．3．1 行为分析技术在木马检测中的原理

2．3．2 行为分析特点

2．3．3 木马行为特征分析

2．4 相关算法介绍

2．5 本章小结

第三章 扩展攻击树模型的构建

3．1 攻击树概要

3．2 扩展攻击树模型的构建

3．2．1 扩展攻击树模型的提出

3．2．2 PE文件特征提取

3．2．3 原始扩展攻击树的构建方法

3．3 扩展攻击树模型定义

3．4 本章小结

第四章 基于扩展攻击树模型的木马检测方法

4．1 扩展攻击树的匹配

4．1．1 待检测程序API短序列提取

4．1．2 攻击子树的匹配与生成

4．2 算法研究与实例分析

4．2．1 改进危险指数算法

4．2．2 实例分析

4．3 动态调整扩展攻击树方法

4．4 静态检测木马程序的实验与测试

4．4．1 测量指标定义与阀值确定

4．4．2 静态检测实验与结果

4．5 本章小结

第五章 基于沙箱的木马检测系统设计与实现

5．1 系统设计要求

5．2 系统设计方案

5．3 系统执行流程

5．4 沙箱关键技术研究

5．4．1 API HOOK技术

5．4．2 重定向技术和虚拟执行技术

5．5 基于内核级API HOOK的木马行为监控技术

5．6 基于沙箱的木马检测实验与测试

5．6．1 系统实现环境

5．6．2 系统行为监控界面

5．6．3 动态检测实验与结果

5．7 本章小结

总结与展望

参考文献

攻读硕士学位期间发表的论文及著作权

声明

致谢