基于网络传输内容的木马检测系统的设计与实现

摘要

随着计算机网络技术的迅速发展，Internet逐渐渗透到政府、工业、教育、国防领域，网络在方便地带来大量信息的同时，也带来了病毒、木马、蠕虫等诸多安全问题，特别是木马，严重威胁着联网计算机的信息安全。单机检测方法针对木马文件信息进行检测，无法保证发现所有木马。行为分析虽然有效，但是如果网络中存在未采用单机检测的计算机，就可能存在木马，危害整个网络的信息安全。入侵检测系统主要针对外部对内部的病毒攻击，对于网络内部的监控审计有所欠缺。因此，设计一种专用于检测网络中活动木马的系统是必要的。
　　本文主要研究基于网络传输内容的木马检测系统的设计与实现。实现对网络数据进行实时采集，通过对捕获到的帧进行协议分析和处理，从而有效的监测网络中存在的木马。即使在被检测的网络内部，用户没有安装防护软件，也能够由网络监管人员发现木马并及时采取措施，避免造成不必要的损失。该系统采用C/S架构，利用PF_RING、NAPI、实时中断的帧捕获技术进行网络接口层的帧捕获;采用协议分析技术对TCP/IP各层协议头部的解析并获取传输层数据;使用WM多模式匹配算法，对传输层数据进行木马检测并将检测结果输出到数据库;对可疑的TCP连接，通过伪造并发送RST包，进行强制阻断。该系统采用MySQL数据库保存木马通信特征码、TCP阻断名单和木马检测结果，为静态数据库分析提供数据支持。
　　本文首先介绍了基于网络传输内容的木马检测系统的设计背景及相关技术，通过分析系统的可行性和需求，采用模块化设计思想完成整个系统的总体设计和详细设计。实现部分详细介绍了系统各个功能模块的具体实现流程、主要数据结构和模块接口，完成系统木马检测功能和TCP阻断功能。通过在构建的实验环境下对该系统进行了相关测试，并对实验数据和实验结果进行了分析，系统功能能够达到预期目标。最后对本文的设计进行了总结，指出设计中有待改进的地方，明确下一步的研究方向。

目录

声明

摘要

第1章 绪论

1．1 研究背景

1．2 国内外研究现状

1．2．1 木马攻击技术发展现状

1．2．2 木马检测技术发展现状

1．3 课题意义

1．4 论文的组织结构

第2章 相关技术

2．1 木马概述

2．1．1 木马的基本概念

2．1．2 木马的基本特征

2．1．3 木马的通信原理

2．2 帧捕获技术

2．2．1 传统的Libpcap

2．2．2 Memory-Map技术

2．2．3 NAPI机制

2．2．4 PF_RING机制

2．2．5 帧捕获技术比较

2．3 字符串的模式匹配

2．3．1 AC算法

2．3．2 ExB算法

2．3．3 WM算法

2．3．4 模式匹配算法性能比较

2．4 本章小结

第3章 系统分析

3．1 系统可行性分析

3．1．1 经济可行’陛

3．1．2 技术可行性

3．1．3 操作可行性

3．2 需求分析

3．2．1 系统实现目标

3．2．2 功能性需求分析

3．2．3 非功能性需求分析

3．3 本章小结

第4章 系统设计

4．1 系统框架设计

4．2 系统功能结构设计

4．3 服务器端功能模块设计

4．3．1 帧捕获模块

4．3．2 协议分析模块

4．3．3 木马检测模块

4．3．4 响应操作模块

4．4 客户端功能模块设计

4．4．1 服务器状态管理模块

4．4．2 数据库管理模块

4．4．3 检测结果管理模块

4．5 数据库设计

4．5．1 数据库选择

4．5．2 数据字典设计

4．6 本章小结

第5章 系统实现

5．1 系统开发环境

5．1．1 操作系统

5．1．2 开发工具和语言

5．2 帧捕获模块

5．2．1 工作流程

5．2．2 数据结构

5．2．3 模块接口

5．3 协议分析模块

5．3．1 工作流程

5．3．2 数据结构

5．3．3 模块接口

5．4 木马检测模块

5．4．1 WM算法流程

5．4．2 工作流程

5．4．3 数据结构

5．4．4 模块接口

5．5 响应操作模块

5．5．1 工作流程

5．5．2 模块接口

5．6 服务器状态管理模块

5．7 数据库管理模块

5．8 检测结果管理模块

5．9 本章小结

第6章 系统测试

6．1 测试环境

6．2 帧捕获及协议分析模块测试

6．3 TCP阻断测试

6．4 系统整体测试

6．5 测试结果分析

6．6 本章小结

第7章 总结与展望

7．1 本文工作总结

7．2 进一步工作展望

参考文献

致谢

攻读硕士学位期间发表的论文和参加的项目