基于主机和网络特征关联的木马检测方法研究

摘要

近年来高级可持续威胁（Advanced Persistent Threat，APT）攻击事件频频发生，木马程序作为一种高潜伏性、高威胁性、高隐蔽性的恶意软件在APT攻击中扮演着重要的角色。木马程序对个人、企业、社会组织以及国家的网络空间安全造成严重的威胁。对木马程序的检测一直是网络安全领域的研究热点，国内外的研究者已经提出了许多的木马检测方法，但是目前的检测方法大多是单独分析主机或网络的特征表现，其检测的漏报率和误报率仍有待降低，并且检测结果的可靠性也有待提高。 本文首先深入分析了木马程序的运行原理及其通信过程中的不同阶段的不同表现。针对目前基于网络的木马检测方法需要一段时间来统计流量特征而导致的检测延迟问题，提出了一种基于网络流量分析的快速木马检测方法，实现了在木马通信早期对木马通信会话进行快速检测。其次，为了进一步降低木马检测的误报率和漏报率，增强木马检测抵抗混淆技术的能力，提出了一种基于主机和网络特征关联的分段木马检测方法，该方法将主机特征和网络特征进行关联，并为木马通信的两不同阶段使用机器学习分类算法训练了不同的检测器。最后，搭建了真实的实验环境进行了实验。实验结果表明基于网络流量分析的快速木马检测方法可以在木马通信早期快速检测木马通信，基于主机和网络特征关联的方法在增加抗混淆技术的基础上进一步降低了检测的漏报率和误报率，验证了方法的有效性。

目录

第一章 绪论

1.1 研究背景及意义

1.2 国内外研究现状

1、基于主机的木马检测方法

2、基于网络的木马检测方法

3、基于主机和网络的检测方法

1.3 主要研究内容

1.4 论文组织结构

第二章 相关理论与技术基础

2.1 木马概述

2.1.1 木马概述及分类

2.1.2 木马运行流程

2.2 常用的机器学习分类算法

2.3 本章小结

第三章 一种基于网络流量分析的木马检测方法研究

3.1 网络流量识别技术分析

1、基于端口的流量识别方法

2、基于深度包检测的流量识别方法

3、基于行为模式的流量识别方法

4、基于机器学习的流量识别方法

3.2 木马网络通信特征分析

3.2.1 木马的网络通信流程分析

3.2.2 木马的网络通信特征分析

3.3 一种基于网络流量分析的快速木马检测方法

3.3.1 检测模型特征抽取

3.3.2 木马通信快速检测模型

3.4 实验结果与分析

3.4.1 实验环境及数据集

3.4.2 检测结果

3.4.3 结果分析

3.5 本章小结

第四章 基于主机和网络特征关联的分段木马检测方法研究

4.1木马运行时资源占用情况分析

4.1.1 木马运行时主机资源占用情况

4.1.2 木马运行时网络资源占用情况

4.2 木马的主机特征和网络特征分析

4.2.1 主机特征

4.2.2 网络特征

4.3 一种基于主机和网络特征关联的木马检测方法

4.3.1 检测模型框架

4.3.2 特征抽取与关联

4.3.3 检测模型构建

4.3.4 检测结果输出

4.4 实验结果与分析

4.4.1 实验环境及数据集

4.4.2 检测结果

4.4.3 结果分析

4.5 本章小结

第五章 总结与展望

5.1 总结

5.2 展望

致谢

参考文献

附录

A 作者在硕士期间参加项目及发表论文情况

B 表目录

C 图目录

声明