基于网络通信行为的木马检测系统设计与实现

摘要

随着互联网规模的不断扩大，新型的网络应用和服务不断涌现，满足了人们便捷、灵活、快速获取各类信息的需求，但是各种网络的安全性问题也应运而生。木马作为互联网上的恶意程序，危害了正常的网络环境，给整个互联网安全和个人信息安全造成了严重危害，因此，互联网的“内容安全”问题受到了人们越来越广泛的关注。如何快速、准确、有效地检测和防范计算机木马已经成为信息安全领域面临的一个重要难题和挑战。基于网络通信行为特征的木马检测技术是一种基于数据流检测的计算机木马检测技术，该技术有效地完善和发展了基于特征指纹的木马检测技术，满足了实时环境下的木马检测需求和实战的检测标准。
　　本文根据现实的需求，研究并提出了一种基于网络通信行为特征的木马检测方法，即基于进化矩阵的方法，首先，将网络通信数据流划分为特征流量和非特征流量，通过数据流的静态内容特征，有效准确地识别出已知木马。实验测试结果显示基于特征流量分类的准确率可以达到92.6％，表明该方法对特定网络木马具有较高的检测准确率。由于木马检测研究中关注的计算机木马大多己采用数据混淆和加密等技术手段，导致通信数据不存在明显内容特征，因此，通过构建协议模型库来对未知的木马进行识别，该方法在对未知木马的识别和分类中具有较好的效果。设计并实现了基于网络通信行为特征的木马检测原型系统，该系统划分为网络通信行为检测和指纹检测两部分，以网络通信行为检测为主，系统将指纹检测设计为一个触发引擎，匹配指纹规则的通信数据流将优先检测为木马，这样可以确保实现细粒度检测。未匹配指纹规则的通信数据流将进一步通过网络通信行为检测，使用行为检测可以有效解决深度包内容检测的一些弱点，能够有效地针对未知的通信数据流，采用协议判定的方法进行检测，最终通过决策器来生成识别结果。使用原型系统在实际的环境中进行了测试，针对40234个会话，数据集大小为1G的通信数据流进行检测，检测出木马的准确率达到了91.5%，满足了实际的需求。实验表明，本文的研究成果可以有效地提高网络中计算机木马检测的效率和准确率，对更好地维护互联网安全和个人信息安全，打击网络犯罪具有重要的作用。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景

1.2 国内外研究现状

1.3 研究的目的和意义

1.4 本文主要研究内容

1.5 本文的结构安排

第二章 计算机木马检测的原理与技术

2.1 木马概述

2.2 木马的通信机制

2.3 木马的检测方法

2.4 网络出口数据采集的技术

2.5计算机木马的通信模型

2.6 本章小结

第三章 计算机木马特征检测技术概述

3.1 深度流与深度包检测技术

3.2木马数据流检测过程

3.3属性特征常用的算法

3.4 本章小结

第四章 基于进化矩阵的计算机木马检测方法

4.1 木马检测方法概述

4.2 基于进化矩阵的计算机木马检测方法的设计思想

4.3 基于进化矩阵的计算机木马检测方法的核心算法与实现原理

4.4 模型库选定与生成

4.5 本章小结

第五章 基于网络行为特征的木马检测系统设计与实现

5.1系统的整体架构

5.2 系统设计与实现

5.3 触发引擎会话管理组合链表设计

5.4 实际效果测试

5.5 本章小结

第六章结束语

6.1全文总结

6.2 下一步工作

致谢

参考文献