基于流量的木马检测技术

摘要

当前计算机木马已成为传播最广泛影响最深远的病毒种类,已成为不法分子获取经济利益的广泛手段之一。然而针对木马检测的技术手段仍不完善,当前主流杀毒软件都已具备较强的木马查杀功能,但它们面向的主要是用户级对象,而针对企业级网络的专业木马检测系统并未出现。在此背景下,论文着手研究木马技术及其检测原理,并提出基于流量的木马检测新思路。
　　本论文的核心是研究当前成熟的PC端木马检测技术和入侵检测系统,并将前者采用的技术以某种形式转换利用于后者,最终形成一套针对企业网络级的木马检测系统方案。
　　论文主要工作包括木马及其检测技术研究、流量检测模型及关键技术研究、系统开发与测试。第一部分,木马技术研究着重对各类主流木马进行分析,了解木马核心技术和原理等;第二部分,木马检测技术则从PC端检测技术和入侵检测技术两方面进行研究,前者对当前PC端主流检测技术进行详尽分析,深入了解其中原理和方法,而对入侵检测技术的研究则主要是对入侵检测模型及其中关键问题进行深入分析;论文第三部分为本系统核心,提出了基于流量检测模型及模型中关键技术设计,包括流量处理、数据包乱序及实时检测三大部分。论文第四部分在前文的基础上详细设计整个系统并实现前述算法思想,在系统原型的基础上搭建测试环境并进行充分测试。
　　为验证论文所提方案的可行性,系统分别对系统负载压力、木马检测能力做测试。实验证明系统对大流量的抗压能力较好,随着系统的运行时间加长,系统对抗负载压力逐渐提高。其次系统具备良好的木马检测能力,针对木马植入及活动阶段,系统能有效检测出内网中活动主机潜在风险,但系统漏报率及误报率相对终端检测软件偏高。本系统证明基于流量进行木马监控是可行的,面向终端的检测技术可应用于面向网络流量的检测技术中,且与前者相比具有部署成本低、覆盖面广的特性。论文对未来病毒木马检测技术具有一定的参考意义,对当前及未来入侵检测系统、入侵防御系统具有拓展性意义。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1 研究工作的背景

1.2 研究目的及意义

1.3 国内外研究现状

1.4 本文的组织安排

第二章 木马检测技术

2.1 木马技术

2.2 木马检测技术

2.3 本章小结

第三章 基于流量的木马检测模型及关键技术研究

3.1 引言

3.2 预处理关键技术

3.3 过滤器关键技术

3.4 木马检测关键技术

3.5 本章小结

第四章 基于流量的木马检测系统原型设计与实验验证

4.1 总体架构

4.2 预处理模块

4.3 中间层模块

4.4 数据检测模块

4.5 异常响应模块

4.6 实验

4.7 系统能力对比及网络性能分析

4.8 小结

第五章 全文总结与展望

5.1 全文总结

5.2 后续工作展望

致谢

参考文献

攻读硕士学位期间取得的成果