TrojanAntier:一种基于统计分析的Web木马防范系统

摘要

随着互联网的发展，Web服务逐渐成为人们日常生活的一个基本部分，人们的生活也因互联网变得更加便利和丰富多彩。Web服务在带给人们便利的同时也带来了新的安全问题。基于Web的恶意软件已经成为互联网上的用户计算机最主要的威胁。基于Web的恶意软件不仅传播速度快，而且增长迅速，怎样快速有效的防范基于Web的恶意软件就成了当今安全研究领域的新课题。
　　 本文对互联网和基于Web的恶意软件的特征进行了研究，通过对比Web威胁与传统威胁的区别，利用互联网的独有特性，本文提出了一种实用的新型Web木马防范系统TrojanAntier。TrojanAntier系统的目的是利用互联网上受害计算机提供的证据，结合互联网上其他计算机的数据，通过算法以最快的响应速度推算出木马URL。一旦木马URL被认定，该URL的木马将从此被阻挡在所有用户计算机之外。
　　 TrojanAntier被设计成客户端服务器结构的分布式系统，客户端主要完成两个工作：一是用户浏览Web应用时，过滤木马URL，为用户提供保护；二是收集用户计算机数据，发送给服务器。服务器也完成两个工作：一是向用户的验证请求返回结果，二是利用客户端发送的数据进行木马检测。
　　 TrojanAntier系统并不能保证所有用户都不被Web木马侵害，但是它可以利用收集的互联网用户计算机数据来检测木马URL，从而最大可能的保护了整个互联网上的计算机的安全。实验结果证明TrojanAntier在Web木马检测的有效性和效率上都达到了设计的目标，并且客户端程序的性能也完全不影响用户的正常上网体验。

目录

文摘

英文文摘

第一章 绪论

1.1 研究背景

1.2 国内外研究现状

1.3 研究问题

1.4 主要工作

1.5 论文的组织结构

第二章 行为检测和状态监视相关技术

2.1 进程注入技术

2.1.1 注册表方式注入进程

2.1.2 Windows钩子方式注入

2.1.3 远程线程方式注入进程

2.1.4 BHO方式注入进程

2.2 Windows钩子

2.2.1 用户级钩子

2.2.2 内核级钩子

2.3 Detours开发库

2.3.1 Detours原理

2.4 本章小结

第三章 TrojanAntier设计与实现

3.1 网页木马入侵机理与实现技术

3.1.1 网页木马入侵机理

3.1.2 网页木马实现技术

3.2 网页木马监测与防范技术

3.2.1 信誉及URL过滤器

3.2.2 反病毒扫描

3.3 TrojanAntier总体设计

3.4 URL过滤模块

3.4.1 URL过滤模块设计

3.4.2 URL过滤模块实现

3.5 URL记录模块

3.5.1 URL记录模块设计

3.5.2 URL记录模块实现

3.6 计算机状态监视模块

3.6.1 计算机状态监视模块设计

3.6.2 计算机状态监视模块实现

3.7 数据提交模块

3.7.1 数据提交模块设计

3.7.2 数据提交模块实现

3.8 本章小结

第四章 木马URL检测算法

4.1 网页木马特征的假设

4.2 网站流量分布

4.3 URL嫌疑度评估

4.4 服务器木马检测算法

4.4.1 底层服务器算法

4.4.2 中间层服务器检测算法

4.4.3 顶层服务器检测算法

4.5 本章小结

第五章 实验验证与分析

5.1 客户端软件的性能实验与分析

5.2 TrojanAntier系统效率评估实验

5.2.1 TrojanAntier仿真系统

5.2.2 实验和结果

第六章 结束语

致谢

参考文献

作者在读期间的研究成果